Данные турагентств и их клиентов попали в открытый доступ

База данных туристического сервиса «Слетать.ру» попала в открытый доступ. Утечку обнаружила компания DeviceLock.

По словам основателя и технического директора DeviceLock Ашота Оганесяна, которые приводит «КоммерсантЪ», 10 мая компания проинформировала об этом сервис, доступ к базе был закрыт в тот же день в промежутке между 11:00 и 15:00.

По словам А. Оганесяна, в базе были логины и пароли нескольких сотен подключенных к системе агентств, с которыми можно войти в личный кабинет агентства и получить доступ ко всем данным поездок, включая паспортные данные клиентов и данные билетов. Кроме того, в ней содержатся данные трансакций по покупке туров, где также есть данные клиентов, информация о самих турах и их оплате, а также присутствуют минимум 11,7 тыс. адресов клиентских e-mail. Вся информация датируется мартом 2018-го — маем 2019 года.

Случаи похищения данных из облачных хранилищ происходят регулярно. Ранее DeviceLock изучила более 1,9 тыс. серверов в российском сегменте интернета, использующих популярные облачные базы данных MongoDB, Elasticsearch и Yandex ClickHouse, и пришла к выводу, что более половины из них (52%) предоставляли возможность неавторизованного доступа, а каждая десятая содержала персональные данные россиян или коммерческую информацию компаний. Еще 4% уже были до этого взломаны хакерами и получали требования о выкупе. Эксперты тогда указывали, что это распространено в небольших компаниях и связано с низкой квалификацией администраторов.

Привлечь виновных в подобных утечках данных лиц к ответственности в России нереально, уверен партнер адвокатского бюро «Деловой фарватер» Сергей Литвиненко. «Законодательство не раскрывают самого понятия утечки персональных данных. Ответственность может наступать не за саму утечку, а за нарушение требований безопасности, административный штраф по которой настолько несерьезен, что легче заплатить его, чем привести системы безопасности в порядок», — констатирует он.

Фото: Lori.ru, Freepik.com