ИТ / Новости
информбезопасность технологии
9.11.2020

В Сеть утекли данные более 1,3 млн пользователей «РЖД Бонус»

На сайте «РЖД Бонус» в свободном доступе находился MySQL-дамп базы данных этого сайта и два других файла (bash_history-файл и закрытый RSA-ключ). В bash_history, помимо пути к дампу базы данных, находился логин и пароль пользователя.

Об этом RSpectr рассказал основатель сервиса поиска утечек и мониторинга даркнета DLBI Ашот Оганесян. Он также отметил, что резервная копия MySQL-дампа с базой данных сайта «РЖД Бонус» (rzd-bonus.ru) размером около 2.4 ГБ была выложена администратором в корне сайта. Оказалось, что как минимум несколько человек успели ее скачать до того момента, как сайт стал недоступен. Также там были размещены и доступны для сохранения: bash-скрипт, в котором был прописан путь к дампу базы данных и находился логин и пароль пользователя, а также приватный ключ RSA.

А. Оганесян объяснил, что одной из таблиц дампа содержится более 1,3 млн строк, в том числе адрес электронной почты, ID пользователя, хешированный пароль, дата регистрации и последнего входа в систему. Кроме того, в таблице b_event_log находился детальный лог доступа пользователей к сайту.

«Шестого ноября зафиксирована попытка взлома программы лояльности «РЖД Бонус», в ходе которой злоумышленнику удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей. Система безопасности предотвратила доступ к персональным данным участников. Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов», – цитирует ТАСС сообщение РЖД.

Изображение: lori.ru

Еще по теме

Почему будущих специалистов по информбезопасности разбирают еще со школы

Новые схемы интернет-мошенников и как им противостоять

Почему буксует импортозамещение электронных компонентов

Почему рынок коммерческих дата-центров нуждается в регулировании

Что ждет начинающего тестировщика в 2024 году

Как найти перспективные зарубежные рынки для российских решений

Какие угрозы несет интернет тел человечеству

Успеют ли банки заменить импортный софт и оборудование до 2025 года

Зачем компании вкладывают деньги в ИТ-состязания?

Импортозамещение и внутренняя разработка ПО в страховании

Почему рынок информационных технологий РФ возвращается к классической дистрибуции

Что сделано и не сделано в цифровизации России за 2023 год

Как заботу о вычислениях переложить на вендоров и почему не все к этому готовы

Когда российский бизнес начнет замещать импортное ИТ-оборудование

Чего добились за два года активного импортозамещения ПО