Произошла утечка данных из крупной российской транспортной компании

Более 400 тысяч адресов электронной почты и 160 тысяч телефонных номеров, а также 1200 пар логин-пароль для доступа в личные кабинеты клиентов крупнейшей транспортной компании Fesco оказались в открытом доступе, сообщили D-Russia.ru в российской компании DeviceLock, производителе средств защиты от утечек информации.

Оценка относится к числу записей данных. Утраченной информации, вероятно, меньше, поскольку номера телефонов, e-mail и иные сведения, попавшие в открытый доступ, могут повторяться в различных записях.

Логины и пароли действующие, они позволяют получить полные сведения о перевозках, выполненных Fesco для конкретного заказчика, включая акты выполненных работ и сканы товарных накладных с печатями.

Утраченные данные дают доступ к истории клиентских заказов.

Данные попали в открытый доступ через журналы (логи), оставленные программным обеспечением CyberLines, который используют в Fesco. CyberLines, в свою очередь, использует для индексации записей свободно распространяемый программный продукт Elasticsearch. Доступ к серверу Elasticsearch с данными о заказчиках Fesco открывался просто по IP-адресу – именно из-за этого компания утратила контроль над чувствительными данными.

Помимо логинов и паролей в логах также содержатся персональные данные представителей компаний–клиентов Fesco: имена, номера паспортов, телефоны.

После того как с Fesco связались из Devicelock, доступ к чувствительным данным по IP-адресу сервера Elasticsearch прекратился. Однако эти данные находились в открытом доступе как минимум с марта по май, и компания не сообщила об утечке, говорят в DeviceLock.

Ранее в апреле, напомним, по вине казанского ООО «Простые платежи» также вследствие небрежного использования Elasticsearch в открытом доступе оказались персональные данные сотен тысяч граждан, а именно – подробные сведения о сотнях тысяч платежей в ГИБДД и ФССП. Уязвимость не устранялась более месяца, несмотря на то, что в ООО «Простые платежи» знали об утечке.

Роскомнадзор проверяет этот инцидент. О результатах проверки, на которую регламент отводит 30 дней, D-Russia.ru сообщит позднее.