Вход на сайт

МЕДИАМЕТРИКА

Облако тегов

3500 документов с личными данными клиентов РЖД, «Аэрофлота» и S7 оказались в открытом доступе

Аватар пользователя ®man

Группировка хакеров-подростков Hello Kitty обнаружила в открытом доступе архив из 3,5 тысяч туристических квитанций, билетов, броней отелей и других документов, содержащих личные данные клиентов нескольких авиаперевозчиков, отелей и РЖД. Об этом они рассказали TJ.

Документы оказались в открытом доступе из-за оплошности администрации сервиса traveladmin.ru — системы управления продажами билетов, бронирования отелей и оплаты страховок. Просмотреть все 3,5 тысячи документов можно по прямой ссылке — доступ к ним никак не ограничен, но Hello Kitty дополнительно загрузили копию всех файлов на хостинг MEGA.

Самые старые документы датированы мартом 2015 года, самые свежие — 19 апреля 2016 года. Из этого можно сделать вывод, что на traveladmin.ru загружаются свежие клиентские документы для дальнейшего использования.

Основная часть документов — билеты РЖД и «Аэрофлота», а также бронирования отелей по всей России: в файлах содержатся не только имена и даты отправления и прибытия, но и адреса проживания, личные телефоны и другие персональные данные. Встречаются и билеты авиакомпаний «Уральские авиалинии», S7 и UTair.

По словам хакеров, они занимались мониторингом сайтов финансовых организаций и натолкнулись на утечку случайно.

Время от времени мы мониторим сайты, которые связаны с финансами. Раньше мы писали напрямую разработчикам. Сейчас, когда нет необходимости в финансах, можем себе позволить заниматься этим ради удовольствия. Hello Kitty

Сервис traveladmin.ru принадлежит туристической фирме «Туринфо группа РФР», имеющей несколько филиалов по всей России. На сайте traveladmin.ru говорится, что модуль для установки системы на свой сайт можно получить по запросу, то есть пользоваться им могли другие туристические агентства: по данным с сайта турфирмы, среди её партнёров около 1,5 тысяч компаний в России и за рубежом.

TJ позвонил в «Туринфо группа РФР», однако взявшая трубку секретарь заявила, что не сможет связать с техническим персоналом или руководством до следующего дня. По электронной почте представители компании оперативно ответить на запрос TJ не смогли.

На сайте «Туринфо группа РФР» говорится, что компания работает с 1991 года и считается старейшей российской турфирмой. Она является официальным агентом по продаже билетов таких крупных авиакомпаний, как American Airlines, Air France, Lufthansa и British Airways, и крупнейшим агентом «Аэрофлота».

tjournal.ru


ссылки все убрал (да и подчищены они уже)

вот такая вот она сетевая безопасность...

Фонд поддержки авторов AfterShock

Комментарии

Аватар пользователя VAL
VAL(1 год 7 месяцев)(12:24:34 / 21-04-2016)

А в чём "хакерство" то? перебор незакрытых тупымиадминами директорий?

Аватар пользователя babaycheg
babaycheg(3 года 6 месяцев)(13:18:28 / 21-04-2016)

а вы  считаете, что хакерство обязательно взлом баз данных через миллион проксей с использованием   сложных приемов шаманства включающих танцы с бубнами вокруг серверов?

Аватар пользователя Bledso
Bledso(4 года 8 месяцев)(12:27:32 / 21-04-2016)

вот такая вот она сетевая безопасность...

Да причем тут это... Судя по картинке, криворукий сын/племянник бухгалтерши компании админ просто не выставил права доступа на папки.

Аватар пользователя ®man
®man(3 года 8 месяцев)(12:30:29 / 21-04-2016)

так а права доступа и их настройка к чему относится? по-моему как раз безопасность (один из уровней) и есть

Аватар пользователя Bledso
Bledso(4 года 8 месяцев)(12:35:35 / 21-04-2016)

Не, ну это даже не начальный уровень квалификации, а где-то минус пятый. :) То есть в данном случае мы имеем дело не с проблемами софта, железа или продажным человеческим фактором, а с (на выбор) кумовством, вопиющим непрофессионализмом, халатностью.

Аватар пользователя ®man
®man(3 года 8 месяцев)(12:37:47 / 21-04-2016)

согласен и мы уже говорили об этом много раз...

безответственность

Аватар пользователя И-23
И-23(2 года 2 месяца)(12:46:57 / 21-04-2016)

Не совсем так.
Полноценная настройка безопасности на кажом уровне просит изрядно ресурсов. Причём почти все труды в нормальнмо режиме не работают.
Что на это скажут борцуны за экономическую эффективность? Которые и сопровождение норовят на аутсорс отдать… С «профессиональными» рекомендациями типа «ошибка может быть вызвана неправильной настройкой пакетного фильтра, выключите его» (ибо до владения культурой жцрналирования профессионалы явно не доросли).

Аватар пользователя ®man
®man(3 года 8 месяцев)(13:04:47 / 21-04-2016)

мы немного о разном говорим

вы о профессиональных качествах, навыках, опыте и принципах

а я об ответственности которую берёт (или в данном случае не берёт) на себя работодатель (собственник) при отборе и приёме на работу персонажей с низким уровнем квалификации, которые в свою очередь тоже не осознают с чем имеют дело, даже если админ и не новичок, понимал ли он какова может быть цена его ошибки?

в данном случае явно решили сэкономить...

Аватар пользователя И-23
И-23(2 года 2 месяца)(12:43:43 / 21-04-2016)

Обычный профессионал.

Аватар пользователя VAL
VAL(1 год 7 месяцев)(12:31:44 / 21-04-2016)

школо-хакер "победил" школо-админа! 11!

Аватар пользователя SM-brain
SM-brain(1 год 10 месяцев)(12:36:17 / 21-04-2016)

угу...вот так и формируются поисковые базы на митинском рынке......, а из-за чего? ОЙ оплошность! Ой не уследили!  Мое предложение простое. Расстрел! Четвертование! Ицых с гвоздями!  К чему это я? А вот к чему

Буквально на днях в почту пришло от сети Магнит (супермаркеты) уведомление об участии в неких работах (хотели нас нанять) Ну ладно бы просто договорчик и освоение средств...Так нет. к уведомлению прикреплена анкета.  12 страниц. Я прочитал и мне стало плохо. ощущение, что выворачивают наизнанку и хотят купить за бесценок компанию. Дал команду в секретариат не отвечать на письмо, ибо требования  заоблачные. Магнит..на то он и Магнит не успокоился.... Звонок нач. управления закупок. Ну пообщался и указал ей (женщина) что корпоративный стриптиз для меня в принципе неприемлем, что я не уверен, что данная инфа не уйдет на сторону.  

Просто поверьте на слово. Требования такие, что РОСАТОМ отдыхает...а там и доступы и гостайна и  особо чистые работы.  

Кстати а вот камрадам интересно у меня есть коллекция таких требований (ну коплю.....по-стариковски от Газпрома, Росатома и так далее  об участии в неких внутрисведомственных торгах  и анкеты к ним....)

Это просто феерично, что они запрашивают.....

Аватар пользователя qwweer
qwweer(2 года 2 месяца)(13:01:21 / 21-04-2016)

Везде, где эта новость появляется - в заголовке РЖД и Аэрофлот. Причем они к этому никакого отношения не имеют. Сферический такой наброс в вакууме. Надеялся, что хотя бы на АШ напишут нормально. Увы.

Аватар пользователя ®man
®man(3 года 8 месяцев)(13:07:07 / 21-04-2016)

если бы утекли данные клиентов пепсиколы или макдональца, то в заголовке фигурировали бы названия этих компаний. так что я вижу сферический такой пук в лужу в комментариях...

Аватар пользователя qwweer
qwweer(2 года 2 месяца)(13:13:50 / 21-04-2016)

То есть, если бы утекли данные клиентов онлайнового продуктового магазина, то было бы нормально написать, что это данные клиентов пепсиколы и данона? Ведь они в том числе колу и молоко покупали...

Аватар пользователя ®man
®man(3 года 8 месяцев)(13:20:00 / 21-04-2016)

если бы да кабы... у продуктовых ретейлеров номенклатуры не две/три позиции как в данном случае

впредь и РЖД и S7 и прочие перевозчики будут думать, прежде чем заключать партнёрские соглашения с мутными перекупами

 

Аватар пользователя VAL
VAL(1 год 7 месяцев)(13:15:44 / 21-04-2016)

сами читали, что копипастили то?
" а также бронирования отелей по всей России: в файлах содержатся не только имена и даты отправления и прибытия, но и адреса проживания, личные телефоны и другие персональные данные. Встречаются и билеты авиакомпаний «Уральские авиалинии», S7 и UTair. "

так что... выше все правильно написано - наброс и есть!angry

Аватар пользователя ®man
®man(3 года 8 месяцев)(13:22:11 / 21-04-2016)

ещё один

что не так? данные не утекли? или утекли, но не тех компаний которые озвучены? или тупо решили дурака включить?

Аватар пользователя monk
Аватар пользователя ®man
®man(3 года 8 месяцев)(13:57:44 / 21-04-2016)

прочитать таки не судьба?

Основная часть документов — билеты РЖД и «Аэрофлота»

 

Аватар пользователя monk
monk(5 лет 9 месяцев)(14:11:06 / 21-04-2016)

В моих примерах аналогично. Основная часть пользователей, личные данные которых утекли, является пользователями упомянутых операционных систем. Хочешь опровергнуть?

Аватар пользователя ®man
®man(3 года 8 месяцев)(14:15:20 / 21-04-2016)

да неужели? в статье про юбер даже скрин вендовый, а про андроид чисто твои домыслы

к чему срач то развели, непонятно? по сути есть что, нет?

Аватар пользователя monk
monk(5 лет 9 месяцев)(14:38:18 / 21-04-2016)

По сути вместо нормального загловка "3500 документов с личными данными клиентов сервиса traveladmin.ru" сделал абсолютно желтопрессный заголовок. Не надо из АШ делать СпидИнфо.

Аватар пользователя ®man
®man(3 года 8 месяцев)(15:02:13 / 21-04-2016)

документы утекли с мутного сервиса, а клиенты были озвученных компаний, по той простой причине, что услуги перевозок этот мутный сервис не оказывает, т.е. перекупщик тупо просрал личные данные клиентов перевозчиков, которые не озаботились предъявить подрядчику хоть какие-то требования по уровню безопасности...

или по твоему РЖД и Аэрофлот не заключали с этим мутным сервисом никаких партнёрских соглашений?

может пора всё-таки прекратить этот бессмысленный спор?

если бы в сеть утекли только логины/пароли/почты/данныекредиток конкретно к этому (от этого) мутному перекупщику, то в этом случае справедливо было бы ограничится упоминанием только этого сервиса

Аватар пользователя monk
monk(5 лет 9 месяцев)(17:28:09 / 21-04-2016)

> по твоему РЖД и Аэрофлот не заключали с этим мутным сервисом никаких партнёрских соглашений

Теперь твои домыслы. Аналогичные моим про Uber и Android.

> логины/пароли/почты/данныекредиток

Я думаю, тогда ты указал бы, что это клиенты <почтового сервиса такого-то> и <банка такого-то>. Или не указал бы. Тогда это определённо указывает на твою личную неприязнь к РЖД и Аэрофлоту (и S7, да -- иначе почему в заголовке именно S7, а не «Уральские авиалинии» и UTair).

Аватар пользователя ®man
®man(3 года 8 месяцев)(17:38:32 / 21-04-2016)

сегодня вроде не первое апреля, откуда вы вылезли?

попробуй купить у РЖД 5000 билетов и просто так продать их со своего сайта. вообще с продажей любых билетов (не только гос.компаний) знаком? а у гос.компаний мало того, что договор необходимо заключать, так это всё ещё и делается через площадки типа «портал поставщиков»

туроператоры даже меджу собой партнёрские договора заключают, так что это не домыслы, в отличие от твоих

и вот это определённо указывает на то, что ты даже если и прочитал текст, то ничего в нём не понял

покажи мне конкретное место, конкретное слово, конкретную букву в заголовке, которая(ые) противоречит остальному тексту

Аватар пользователя monk
monk(5 лет 9 месяцев)(17:53:30 / 21-04-2016)

> попробуй купить у РЖД 5000 билетов и просто так продать их со своего сайта

Легко. Только не заранее, а по факту заявки от физлица (с паспортом). Единственная проблема -- с бронированием. Но если места на направление в принципе есть, то можно не заморачиваться.

> в отличие от твоих

На том же уровне и "партнерское соглашение между Uber и Google (Android)". Оно гарантированно существует, так как Uber присутствует в Google Play.

> конкретную букву в заголовке, которая(ые) противоречит остальному тексту

Заголовок подразумевает причинно-следственную связь между фактами "человек являлся клиентом РЖД, «Аэрофлота» или S7" и "личные данные этого человека оказались в открытом доступе". А в тексте явно указано, что причиной второго факта является "человек являлся клиентом traveladmin.ru".

Получается что-то вроде "99,9% всех людей умерших от рака, ели огурцы" (с).

Аватар пользователя ®man
®man(3 года 8 месяцев)(18:08:18 / 21-04-2016)

так ты и про юбер нихренанепрочитал пальцем в небо ткнул... там вообще про водителей самого юбера речь и дыру на их сайте...

зачем данный сервис собирал личные данные, для чего они ему?

можешь не отвечать. утомил

Аватар пользователя monk
monk(5 лет 9 месяцев)(18:04:13 / 21-04-2016)

> там вообще про водителей речь и дыру на сайте

А здесь про туристов и дыру на сайте. Туристы пользуются услугами РЖД и Аэрофлота, водители -- сотовыми телефонами.

> зачем данный сервис собирал личные данные, для чего они ему?

Ты про Uber или про traveladmin.ru ?

> можешь не отвечать.

Разумеется могу.

> утомил

Так можешь не отвечать :-)

 

 

Аватар пользователя EugenP
EugenP(2 года 11 месяцев)(16:42:47 / 21-04-2016)

Если я правильно понял информацию, то утекли данные все-таки не из баз РЖД и Аэрофлота, а из базы туркомпании, которая у себя фактически вела параллельную базу своих клиентов. Да, потом (или в тот же момент) эти заказы и данные уходили в то же РЖД. Но о базе РЖД не говориться, что там есть дырки. Дырки в базе данных туркомпании.

Аватар пользователя ®man
®man(3 года 8 месяцев)(16:56:38 / 21-04-2016)

да, всё именно так

Лидеры обсуждений

за 4 часаза суткиза неделю

Лидеры просмотров

за неделюза месяцза год

СМИ

Загрузка...