Ещё до войны в сеть утекало огромное количество данных ежедневно. Это далеко не всегда связанно с хакерами или какими-то плохими ребятами. Примеров полно и мне не нужно перечислять их всё. Возьму парочку из тех с которыми доводилось связываться мне. Первое это наверное сберзвук. Я не знаю баг или фича, но если реверсивным циклом пройтись по ручкам получения информации о пользователе, с вбиванием туда userid на единицу меньше то можно было перебрать всех их клиентов. В добавок к этому сберзвук замечательно держит нагрузки и такой перебор в 5-6 потоков ускорит получение информации. Конечно от туда мало ценного можно унести - ФИО если пользователь вбил или же email если так же пользователь вбил. У меня получалось где-то один заполненный профиль против 200-250 пустых. Кстати возможно БД раздута фейковыми пользователями специально, для красивой отчётности. Но в любом случае это было давно, может они уже такое не допускают.
Другой же пример у меня был с фирмой eLama. Это рекламное агенство или что-то в этом роде. Там была возможность добавить пользователей в свой аккаунт, то есть твой аккаунт главный, ты добавляешь в него субаккаунт. Для подтверждения этой операции необходимо было ткнуть в email на кнопочку в письме. При нажатии на кнопку происходил переход по ссылке, в самой ссылке был вшит ключ подтверждения. Вроде бы идея не плохая, но когда нужно было указать какой аккаунт ты хочешь подключить, а вид Id аккаунта имел циферный, нужно указать id и email. В итоге можно указать совсем левый email и просто на него спамить письмами. В добавок, и это было шоком, при аппруве этой операции в ответе с бэка приходил тот самый ключ для подтверждения. В общем eLama меня сильно удивила. А их ещё Яндекс купил кажется. В общем схема этого бага была определённо интересной. После того как на свой аккаунт добавляешь кучу других реальных пользователей просто проходишься по ним и забираешь с них всё что душе угодно. Там была и платежная информация,и телефоны,и emailы, фио, куча инфы по рекламе, всё что душе угодно. Но на самом деле они вроде как починили это всё через какое-то время, естественно бд у них была очень раздутая тоже. Куча всяких левых аккаунтов, но меньше чем в сберзвуке.
Я это к тому что за информацию, которая фирма очень небрежно хранит, обязательно прийдут и не какие-то хакеры а обычные любители потыкать, поизучать, да поломать. Фирма отделается штрафом в 30к рублей а для тех чья эта информация на самом деле - будет больше проблем. Вот например есть сайт (тут цензура на него) который на территории РФ заблочен, но впн тут спасёт. На этом сайте собрано огромное количество этой самой слитой инфы и людей кто пользовался разными услугами можно спокойно пробить по номеру телефона. Написал бота чтоб людям было доступно это без впн https://t.me/russian_sieve_bot . 30 тысяч рублей для крупной фирмы это ничто в сравнении с убытками которые понесут люди. Я не знаю русский ли это авось или халатность с которой люди работают, но как минимум нужно что-то менять в законодательстве, Яндекс у которого слили гигабайты инфы стоит как ни в чем не бывало, база ГИБДД была слита и на сколько я помню никто не понёс никакой ответственности. Как минимум нужно ужесточать ответственность у фирм которые допускают такие утечки.
В общем если вы работаете в какой-то из этих фирм, то относитесь внимательно к работе.