Xakep #305. Многошаговые SQL-инъекции
В минувшие выходные специалисты Data Leakage & Breach Intelligence (DLBI) обнаружили в открытом доступе дамп базы данных зарегистрированных пользователей онлайн-кинотеатра Start.
Исследователи сообщили, что дамп в JSON-формате, вероятно, был получен из MongoDB и имеет размер 72 Гб. В общей сложности база содержит информацию о 43 937 127 пользователях (включая тестовые записи). Судя по информации из дампа, он был сделан не ранее 22 сентября 2021.
Так, среди утекших данных можно обнаружить:
- имена и фамилии (на русском или английском языках);
- адрес электронной почты (7 455 926 уникальных адресов);
- хешированные (частично md5crypt) пароли;
- IP-адреса;
- данные о стране пользователя (24,6 млн из России, 2,3 млн из Казахстана, 2,1 млн из Китая, 1,7 млн из Украины);
- даты начала/окончания подписки, последнего входа и так далее (с 19.09.2017 по 22.09.2021).
Эксперты DLBI сообщили, что выборочно проверили случайные записи из дампа через функцию восстановления пароля на сайте start.ru и все логины (email-адреса) оказались действительными.
Представители онлайн-кинотеатра уже подтвердили в официальном Telegram-канале, что утечка подлинная, но уверяют, что все не так страшно:
«1. Действительно, мы столкнулись с очень неприятной ситуацией. Мы уже исправили уязвимость и доступ к нашим данным закрыт. Бережное обращение с персональными данными пользователей очень важно для нас.
2. Информация в базе не является полностью актуальной, данные в ней за 2021 год.
3. База не представляет собой большого интереса для злоумышленников, самое существенное, что там есть — email или телефон, с которого пользователь мог подключаться.
В базе нет паролей в открытом виде, истории просмотров и главное - нет и не может быть данных банковских карт и другой финансовой информации.
Пароль менять не обязательно, но мы рекомендуем всем пользователям регулярно это делать и придумывать уникальные для каждого сервиса.
Извините нас, пожалуйста. Мы постоянно работаем над улучшением защиты базы пользователей», — сообщают в Start.