В минувшие выходные специалисты Data Leakage & Breach Intelligence (DLBI) обнаружили, что в сети появилась часть базы данных сервиса покупки билетов «Туту.ру» (tutu.ru). В компании подтвердили факт взлома и уже занимаются расследованием инцидента.
В своем Telegram-канале эксперты DLBI писали, что за слив базы ответственен тот же источник, который недавно распространял дампы «Школы управления Сколково», службы доставки Delivery Club и образовательного портала Geek Brains.
Судя по названию файла (TutuBusorders), который опубликовал хакер, в нем содержатся данные покупателей билетов на автобус – 2 627 166 строк, включая имена и фамилии, телефоны (2,29 млн уникальных номеров) и адрес электронной почты (более 2 млн уникальных адресов).
Хакер утверждает, что кроме этого списка, ему также удалось получить дампы таблиц зарегистрированных пользователей (7 млн строк с хешированными паролями) и заказов билетов (32 млн строк с паспортными данными). Однако никаких доказательств он не предоставил.
Представители «Туту.ру» уже подтвердили факт взлома в официальном блоге компании на «Хабре». По их данным, в три часа ночи 1 июля 2022 года был сформирован файл с данными покупок автобусных билетов, сделанных через сайт tutu.ru. В общей сложности — 2,5 млн строк технических неочищенных данных (в том числе с повторами). В дамп вошли номера заказов, имена пассажиров и email-адреса. Подчеркивается, что платежных данных и данных о маршрутах файл не содержал.
«Похоже, это действительно часть данных наших заказов. Там нет пунктов прибытия-отправления, дат заказа, но есть фамилия и имя плательщика (но не всех пассажиров), телефон и почта для отправки чека.
Произошло следующее: с 24 февраля мы вошли в списки целей для атак в хакерских и краудхакерских группах. Сначала нас банально дидосили, потом небанально дидосили, после чего хакерам удалось на короткий промежуток времени уронить сайт РЖД (фронты, но не АСУ Экспресс), и мы стали целью №1, потому что продолжали выписывать билеты. Положить нас тогда так и не удалось. С тех пор продолжаются и волны DDoS, и атаки на почту и другие типы направленных атак», — пишут представители компании.
Уже идет расследование инцидента, а среди основных версий этой утечки названы следующие.
- Сопоставление данных пользователей с утечками крупных сервисов (вроде «Яндекса», Delivery Club, «Пикабу») и взломами почт. Эту версию разработчики считают маловероятной, так как «в таблице есть технические учетные записи».
- Слить данные мог один из внешних технических контрагентов, связанных с эквайрингом.
- Дамп могли сделать собственные разработчики или члены инфраструктурной команды. Подчеркивается, что «эту версию нельзя исключать никогда, ни на каком проекте, ни при каких условиях».
- Направленная атака на неизвестный баг.
В компании говорят, что пока хакеры анонсировали три таблицы. В них, предположительно, собраны данные о билетах разные виды транспорта. Судя по анализу той таблицы, к которой удалось получить доступ, база включает данные более чем за два месяца. Это части заказов по одному продукту (автобусам).
В заявлении «Туту.ру» подчеркивается, что слитая база далеко неполная — это менее 1% от общего объема заказов через сервис.