Более 400 тысяч адресов электронной почты и 160 тысяч телефонных номеров, а также 1200 пар логин-пароль для доступа в личные кабинеты клиентов крупнейшей транспортной компании Fesco оказались в открытом доступе, сообщили D-Russia.ru в российской компании DeviceLock, производителе средств защиты от утечек информации.
Оценка относится к числу записей данных. Утраченной информации, вероятно, меньше, поскольку номера телефонов, e-mail и иные сведения, попавшие в открытый доступ, могут повторяться в различных записях.
Логины и пароли действующие, они позволяют получить полные сведения о перевозках, выполненных Fesco для конкретного заказчика, включая акты выполненных работ и сканы товарных накладных с печатями.
Данные попали в открытый доступ через журналы (логи), оставленные программным обеспечением CyberLines, который используют в Fesco. CyberLines, в свою очередь, использует для индексации записей свободно распространяемый программный продукт Elasticsearch. Доступ к серверу Elasticsearch с данными о заказчиках Fesco открывался просто по IP-адресу – именно из-за этого компания утратила контроль над чувствительными данными.
Помимо логинов и паролей в логах также содержатся персональные данные представителей компаний–клиентов Fesco: имена, номера паспортов, телефоны.
После того как с Fesco связались из Devicelock, доступ к чувствительным данным по IP-адресу сервера Elasticsearch прекратился. Однако эти данные находились в открытом доступе как минимум с марта по май, и компания не сообщила об утечке, говорят в DeviceLock.
Ранее в апреле, напомним, по вине казанского ООО «Простые платежи» также вследствие небрежного использования Elasticsearch в открытом доступе оказались персональные данные сотен тысяч граждан, а именно – подробные сведения о сотнях тысяч платежей в ГИБДД и ФССП. Уязвимость не устранялась более месяца, несмотря на то, что в ООО «Простые платежи» знали об утечке.
Роскомнадзор проверяет этот инцидент. О результатах проверки, на которую регламент отводит 30 дней, D-Russia.ru сообщит позднее.