Британский стартап Urban Massage по неосторожности обнародовал личные записи сотен тысяч пользователей, включая данные о клиентах, обвиняемых в сексуальных домогательствах.
Urban Massage – сервис, с помощью которого можно заказать услуги красоты – массаж, маникюр, уход за лицом – на дом в Лондоне, Бирмингеме и Манчестере. Сделать это можно в том числе через мобильное приложение.
Утечка данных произошла по вине компании, которая разместила свою базу данных ElasticSearch в Google без пароля. В публичном доступе оказались имена, адреса электронной почты и номера телефонов более 309 000 пользователей мобильного приложения. А также свыше 351 000 записей о бронировании услуг и более 2 000 контактов городских массажистов (имена, e-mail и номера телефонов). Нашлись в этом массиве и жалобы сотрудников сервиса на «опасных» клиентов и клиентов, которые попали под наблюдение полиции из-за запросов на «массаж в области половых органов».
Открытую базу данных обнаружил ИБ-исследователь Оливер Хью. О своей находке он сообщил журналистам TechCrunch, через которых о проблеме узнали в Urban Massage. Компания исправила ситуацию, однако неизвестно, как долго база данных оставалась без защиты. По оценкам издания, она была выставлена в Сети в течение нескольких недель.
Исполнительный директор стартапа Джек Танг заверил, что Urban Massage воспринимает случившееся как вопрос крайней важности и примет все нужные меры в отношении пользовательских данных и сообщений.
Об инциденте компания уведомила ICO, британского регулятора в области обработки персональных данных. Пресс-секретарь организации сообщил TechCrunch, что регулятор оценит произошедшее с точки зрения законодательства в области персданных.
Поскольку компания как оператор пользовательских данных подпадает под европейские правила GDPR, она может столкнуться с большими финансовыми санкциями. Вплоть до выплаты 4% от годового дохода в качестве штрафа.
Похожим образом недавно утекли и личные данные граждан США. На незащищенном сервере ElasticSearch «хранились» полные имена, e-mail, домашние адреса с почтовыми индексами, номера телефонов и IP-адреса почти 57 млн американцев. После того, как о проблеме публично объявил исследователь безопасности, базу заблокировали. При этом установить, кто ее владелец, не удалось.
Сookie-файл — текстовый файл, сохраненный в браузере компьютера (мобильного устройства)
пользователя интернет-сайта при его посещении пользователем для отражения совершенных
им действий, используемые для обеспечения или повышения работоспособности сайтов,
а также для получения аналитической информации.
С перечнем обрабатываемых cookie-файлов можно ознакомиться в
Политике обработки cookie-файлов Searchinform.
Файлы, осуществляющие хранение информации для обеспечения функционирования веб-ресурсов, информацию о выборе пользователя относительно принятия/отклонения cookie-файлов и не использующие какую-либо информацию о пользователе, которая может быть использована в маркетинговых целях или для учета посещаемых сайтов в сети Интернет.
Файлы, осуществляющие хранение информации о выборе пользователя. СёрчИнформ не устанавливает функциональные cookie, однако мы подключаем сервисы предоставляющие шрифты и карты, которые устанавливают собственные cookie. В случае отключения данного вида мы заблокируем данные сервисы, что повлечет изменение шрифта и перестанет работать карта.
Файлы, предназначенные для оценки работы веб-ресурсов и осуществляющие хранение информации о пользовательских предпочтениях и наиболее просматриваемых страницах веб-ресурса. СёрчИнформ не устанавливает аналитические cookie, однако мы подключаем сервисы предоставляющие шрифты и карты, которые устанавливают собственные cookie. В случае отключения данного вида мы заблокируем данные сервисы, что повлечет изменение шрифта и перестанет работать карта.
Чтобы продолжить регистрацию, пожалуйста, разрешите обработку функциональных файлов cookie
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
