Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Социальный стартап раскрыл 50 млн записей
Испанский социальный сервис 21 Buttons оставил незащищенным облачное хранилище на сервере Amazon, пишет портал SiliconAngle.
Сервис 21 Buttons известен как социальная сеть, посвященная модной индустрии. Кроме того, подписчикам предлагают приобрести одежду в онлайн-магазине, интегрированном в ту же платформу.
Группа исследователей безопасности компании vpnMentor во главе с Ноамом Ротемом (Noam Rotem) обнаружила некорректно настроенное хранилище 21 Buttons, размещенное на Amazon Web Services (AWS). В скомпрометированной базе насчитывалось порядка 50 млн записей персональных данных. Эта информация включала записи о пользовательских аккаунтах, сообщения, полные имена, адреса, почтовые индексы, банковские реквизиты, национальные ID-номера, адреса электронной почты из системы PayPal, а в некоторых случаях записи содержали сведения о размере комиссионных с продаж, полученных через приложение 21 Buttons. По словам исследователей, среди найденной информации были детали платежей, которые совершили известные персоны.
Утечка была раскрыта еще 2 ноября. Специалисты vpnMentor как минимум трижды – 5 и 12 ноября, а также 8 декабря – пытались проинформировать 21 Buttons, но каждый раз не получали ответа. Также исследователи 10 ноября и 8 декабря по поводу утечки связывались со службой AWS, но лишь 22 декабря им пришло сообщение о том, что уведомление об инциденте направлено в корреспондентский отдел Amazon.
Известно, что технологический стартап 21 Buttons был основан в 2015 г. в Барселоне и финансируется венчурным капиталом. В 2017-2018 гг. социальная платформа смогла привлечь инвестиции в размере более $30 млн. Поскольку сервис 21 Buttons зарегистрирован в Испании, то он подчиняется требованиям общеевропейского регламента по защите данных – GDPR. Тот факт, что стартап довольно давно был проинформирован об утечке, но никак не отреагировал на это сообщение, значительно увеличивает вероятность назначения крупного штрафа. Нарушив требования GDPR, компания 21 Buttons может быть оштрафована на сумму до 20 млн евро или 4% годового оборота.