19 марта 2020

Клиентская база московских магазинов и ресторанов попала в Сеть

В открытом доступе оказался сервер с персональном информацией об участниках программы лояльности сервиса «Премиум бонус».  

Основатель и технический директор DeviceLock Ашот Оганесян на днях обнаружил в открытом доступе сервер с персональной информацией клиентов сервиса «Премиум Бонус», который обеспечивает программы лояльности популярным кафе и ресторанам. Несмотря на то что компанию предупредили об уязвимости в тот же день, сервер пропал из свободного доступа лишь через несколько часов.

В частности, на открытом сервере хранилась информация о посетителях ресторанов «Му-Му», «Жан-Жак», «Империя пиццы», «Тарелка», «Ташир Пицца», «Грузинские каникулы», «Джон Донн», «Тапчан», «Контакт бар», а также о покупателях магазинов «Органик Маркет», French Kiss, «Добрынинский и партнеры», «Интермода», рассказал газете технический директор DeviceLock.

Только в одном из индексов (разделов) сервера находилось 55 млн строк, из них 21 млн строк содержали телефонные номера. С учетом того, что в базе были в основном «логи» системы, то есть информация не только о клиентах и их заказах, но и об обновлениях статуса этих заказов и других служебных действиях, назвать точное число пострадавших сложно, пояснил Оганесян.

По его оценкам, на сервере находилось не менее 300 тыс. записей, включающих клиентские данные, однако и они могли содержать повторы, и число граждан, чьи данные оказались в свободном доступе, может быть не так велико, уточняется в статье.

«Обладая этой информацией, злоумышленники могут обманывать клиентов методами социальной инженерии. Например, распространять фишинговые письма от имени ресторанов, предлагая скидки, подарки или акции. Для получения бонусов клиенту могут предложить ввести данные карты, с которой потом будут похищены средства», — отметил в беседе с изданием основатель DeviceLock.

По словам экспертов, с помощью этих данных мошенники могут рассылать не только таргетированную рекламу, но и красть бонусы или убеждать клиента перевести деньги на чужой счёт.

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

Телеграм: moi_fee
Signal: moi_fee.13

18+

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.