База клиентов сайта «РЖД Бонус» утекла в сеть⁠⁠

6 ноября 2020 года основатель сервиса поиска утечек и мониторинга даркнета «DLBI» Ашот Оганесян сообщил, что база данных сайта «РЖД Бонус» попала в открытый доступ.

Первый информацию об этой утечке опубликовал Telegram-канал DC8044 F33d.

Оганесян в Telegram-канале «Утечки информации» пояснил, что резервная копия (бекап) MySQL-дампа с базой данных сайта «РЖД Бонус» (rzd-bonus.ru) размером около 2.4 ГБ по какой-то непонятной причине была выложена администратором в корне сайта. Оказалось, что как минимум несколько человек успели ее скачать до того момента, как сайт стал недоступен. Вдобавок там же были размещены и доступны для сохранения: bash-скрипт, в котором был прописан путь к дампу базы данных и находился логин и пароль пользователя, а также приватный ключ RSA.

Оганесян в своей публикации на Facebook напомнил, что скачивать на свой ПК и распространять в сети Интернет подобные архивы нежелательно. Технически это может попасть под некоторые статьи УК РФ, например, ч. 1 ст. 183 УК РФ — незаконное получение и разглашение сведений, составляющих коммерческую тайну; ч. 1 ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации.

Анализ части данных показал, что в утекшем дампе есть таблица «b_user», в которой содержатся данные 1 360 836 зарегистрированных пользователей. Там есть логины и хешированные пароли (сайт на Битриксе, поэтому там обычный MD5 с солью), адреса электронной почты, ID-пользователей, даты регистрации и последнего входа в систему.

При этом по сообщению РИА Новости

"Шестого ноября зафиксирована попытка взлома программы лояльности "РЖД Бонус", в ходе которой злоумышленнику удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей. Система безопасности предотвратила доступ к персональным данным участников. Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов", - сообщили в РЖД в субботу.

via Habr.com