Хакер #305. Многошаговые SQL-инъекции
Еще вчера в сети появились сообщения об утечке миллиона строк пользовательских данных с популярного развлекательного сайта Pikabu. Сегодня администрация ресурса признала факт атаки.
В частности, об утечке сообщал Telegram-канал «Утечки информации», заявляя, что свободном доступе были опубликованы список логинов, адресов электронной почты и телефонов российских и белорусских пользователей ресурса.
Сегодня, 5 марта 2022 года, администрация Pikabu официально подтвердила, что утечка действительно имеет место.
«Некоторое время назад произошла утечка данных, о которой нам сообщил один из бдительных пользователей, за что ему (@LLlkoJlbHuk) большое спасибо. В результате в интернет попали номера телефонов и адреса электронных почт пользователей.
В течение ночи наша команда искала источник и установила, что утечка произошла в декабре 2021 года, единоразово, и злоумышленники не имели доступа к нашим базам данных. Сведений об утере паролей, социальных сетей, других персональных данных, попыток взлома аккаунтов не зафиксировано, и утерянных данных недостаточно для входа в аккаунт.
О мотивах злоумышленников и их целях нам ничего неизвестно, и мы можем лишь предполагать, почему декабрьская утечка была выложена именно сейчас», — гласит официальное сообщение.
В настоящее инженеры ресурса «устанавливают оставшиеся обстоятельства утечки, проверяют настройки безопасности и находятся в процессе поиска и устранения уязвимостей, которые могут послужить причиной повторения в обозримом будущем». Также администрация обещает разработать комплекс мер по усилению безопасности и приватности пользователей.
Пока же пользователям рекомендуют «разорвать связь со слитыми данными» и, например, сменить ник на сайте. Также администрация советует придумывать сложные пароли и использовать двухфакторную аутентификацию везде, где это возможно.