Приложение для заказа массажистов на дом «поделилось» контактами пользователей

30.11.2018

Вернуться к списку новостей

Британский стартап Urban Massage по неосторожности обнародовал личные записи сотен тысяч пользователей, включая данные о клиентах, обвиняемых в сексуальных домогательствах.

Urban Massage – сервис, с помощью которого можно заказать услуги красоты – массаж, маникюр, уход за лицом – на дом в Лондоне, Бирмингеме и Манчестере. Сделать это можно в том числе через мобильное приложение.

Утечка данных произошла по вине компании, которая разместила свою базу данных ElasticSearch в Google без пароля. В публичном доступе оказались имена, адреса электронной почты и номера телефонов более 309 000 пользователей мобильного приложения. А также свыше 351 000 записей о бронировании услуг и более 2 000 контактов городских массажистов (имена, e-mail и номера телефонов). Нашлись в этом массиве и жалобы сотрудников сервиса на «опасных» клиентов и клиентов, которые попали под наблюдение полиции из-за запросов на «массаж в области половых органов».

Открытую базу данных обнаружил ИБ-исследователь Оливер Хью. О своей находке он сообщил журналистам TechCrunch, через которых о проблеме узнали в Urban Massage. Компания исправила ситуацию, однако неизвестно, как долго база данных оставалась без защиты. По оценкам издания, она была выставлена в Сети в течение нескольких недель.

Исполнительный директор стартапа Джек Танг заверил, что Urban Massage воспринимает случившееся как вопрос крайней важности и примет все нужные меры в отношении пользовательских данных и сообщений.

Об инциденте компания уведомила ICO, британского регулятора в области обработки персональных данных. Пресс-секретарь организации сообщил TechCrunch, что регулятор оценит произошедшее с точки зрения законодательства в области персданных.

Поскольку компания как оператор пользовательских данных подпадает под европейские правила GDPR, она может столкнуться с большими финансовыми санкциями. Вплоть до выплаты 4% от годового дохода в качестве штрафа.

Похожим образом недавно утекли и личные данные граждан США. На незащищенном сервере ElasticSearch «хранились» полные имена, e-mail, домашние адреса с почтовыми индексами, номера телефонов и IP-адреса почти 57 млн американцев. После того, как о проблеме публично объявил исследователь безопасности, базу заблокировали. При этом установить, кто ее владелец, не удалось.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними