Персональные данные: из маркетплейса утекли 1,75 млрд записей

Исследователи безопасности сообщили об утечке шокирующих масштабов: бразильская электронная площадка Hariexpress случайно скомпрометировала персональные данные покупателей и поставщиков. По словам специалистов, персональные данные находились в открытом доступе более месяца. Такую информацию приводит портал HackRead.

Запущенный в 2018 г., маркетплейс Hariexpress объединяет множество электронных торговых площадок на единой платформе. Как выяснила группа исследователей безопасности во главе с Анурагом Сеном (Anurag Sen) из компании Safety Detectives, бразильский маркетплейс стал виновником одной из самых крупных утечек в истории. К компрометации огромных объемов конфиденциальной информации привели неверные настройки сервера Elasticsearch. В результате любой человек мог получить доступ к хранилищу конфиденциальной информации Hariexpress.

В общей сложности специалисты Safety Detectives обнаружили на сервере более 1,75 млрд записей общим объемом 610 ГБ. Среди скомпрометированных данных есть сведения как о конечных заказчиках, так и о поставщиках Hariexpress, то есть интернет-магазинах, подключенных к маркетплейсу. В части покупателей утекшие записи включают изображения, полные имена, электронные адреса, телефонные номера, а также реквизиты для выставления счетов (включая полные адреса). Из-за некорректных настроек сервера также утекли такие данные поставщиков, как полные имена, номера бразильской системы регистрации юрлиц (CNPJ), платежные реквизиты, телефонные номера, адреса электронной почты, домашние адреса и адреса регистрации компаний. Кроме того, как отметили исследователи в своем блоге, Hariexpress также скомпрометировал внутренние имена пользователей и зашифрованные пароли.

По словам Анурага Сена и его коллег, утечка данных бразильского маркетплейса с сервера Elasticsearch была обнаружена еще 12 мая, и на момент публикации (13 октября) данные все еще находились в свободном доступе, а сама компания Hariexpress и бразильский CERT никак не отреагировали на сообщения об инциденте информационной безопасности. Сен сообщил журналистам, что его коллеги пытаются связаться с группой облачной безопасности холдинга Alibaba, поскольку сервер бразильской торговой площадки расположен в облаке AliCloud-US.

Тот факт, что более миллиарда записей персональных данных до сих пор находятся в открытом доступе, может обернуться катастрофой для ничего не подозревающих клиентов и партнеров маркетплейса. Киберпреступники могут использовать данные с целью фишиговых атак, кражи других данных, а конкуренты интернет-магазинов могут устроить корпоративный шпионаж. Кроме того, хакеры способны захватить все данные с сервера Elasticsearhc и потребовать выкуп с компании Hariexpress или попытаться скачать информацию с целью дальнейшей продажи в даркнете.