Стремительный рост или клоунада — «Слетать.ру» обвинили в утечке базы
Онлайн-сервис несет положительные имиджевые потери на фоне сообщений об обнаружении в свободном доступе базы данных с логинами и паролями подключенных к системе турагентств.
На минувшей неделе газета «Коммерсант» со ссылкой на компанию DeviceLock (занимается защитой от утечек информации) известила об обнаружении в открытом доступе базы данных сервиса по подбору туров «Слетать.ру». В базе были логины и пароли нескольких сотен подключенных к системе агентств, с какими можно войти в личный кабинет агентства и получить доступ ко всем данным поездок, включая паспортные эти клиентов и данные билетов. Кроме того, в ней содержатся данные транзакций по покупке туров, где также есть эти клиентов, информация о самих турах и их оплате, а также присутствуют минимум 11,7 тыс. адресов клиентских e-mail. Вся информация датируется мартом 2018-го — маем 2019 года.
По словам основателя и технического директора DeviceLock Ашота Оганесяна, 15 мая компания проинформировала об этом сервис, доступ к базе был затворён в тот же день в промежутке между 11:00 и 15:00.
Несмотря на отсутствие в скомпрометированной базе платежных данных, хранилище могло воображать интерес для злоумышленников, считают эксперты по кибербезопасности. Туристическая отрасль — конкурентный и далеко не самый высокомаржинальный бизнес, потому клиентские базы высоко ценятся на рынке, и для недобросовестных конкурентов база могла представлять интерес. Кроме того, при попадании информации о заказанных турах в длани злоумышленников нельзя исключать случаев фишинговых атак под видом доверенного турагента.
Узнав подробные сведения о предстоящих поездках, злоумышленник может снестись с покупателем путевки, представившись сотрудником турагентства, и попросить провести дополнительную оплату, например, включив в тур новые услуги или сославшись на изменения в стоимости. Иной вариант использования данных — таргетированные рассылки рекламных предложений.
В «Слетать.ру» информацию об утечке базы данных опровергли. Глава компании Андрей Вершинин через отраслевое СМИ пояснил, что «Слетать.ру» предоставляет ряду крупнейших туроператоров-партнеров доступ к истории запросов в поисковой системе. И предположил, что DeviceLock получила его: «Однако в показанной базе нет паспортных данных туристов, логинов и паролей турагентств, платежных данных и т. д.». Андрей Вершинин отметил, что никаких доказательств столь положительных обвинений «Слетать.ру» до сих пор не получила. «Сейчас пытаемся связаться с компанией DeviceLock. Полагаем, что это заказуха. Кому-то не нравится наш стремительный рост», – добавил он.
В свою очередность в DeviceLock заявление А. Вершинина назвали клоунадой. Ашот Оганесян утверждает, что найденная база — с логов сервиса, и она кормит логины и пароли турагентств. Персональные данные туристов, включая паспорта, доступны в личном кабинете агентства, доступ в какой открывается по найденным логинам и паролям. База также содержит данные о проведенных платежных транзакциях. В подтверждение своих слов технический директор выложил у себя на странице в Facebook скриншоты с кодом базы и аккаунта розничного дилера «Слетать.ру», на каком видны отчества его клиентов и замазаны графы, где должны быть указаны их имена и фамилии, номера телефонов, паспортные эти и другие сведения.
Ранее в журнале TourSuper.RU: Авиакомпания «Россия» сообщила о случаях мошенничества в сети.
