Xakep #305. Многошаговые SQL-инъекции
ИБ-исследователи сообщили, что у сервиса вертикальных видео Yappy (аналог TikTok, принадлежащий холдингу «Газпром-медиа») произошла утечка данных. В самой компании уверяют, что в сеть попали только неактуальные дампы обезличенных пользовательских данных, при этом содержащие никнеймы и номера телефонов.
Об утечке стало известно вечером 8 ноября 2022 года. Как, к примеру, сообщают эксперты Data Leakage & Breach Intelligence (DLBI), за этим «сливом» стоит тот же источник, который ранее информацию о клиентах службы доставки Delivery Club, образовательной платформы GeekBrains, «Почты России» и так далее.
По словам исследователей, в сети были опубликованы четыре текстовых файла, в которых содержатся:
- телефоны (более 2,1 млн уникальных номеров);
- имена (менее 400 000 записей);
- логины (половина автогенерируемые);
- email-адреса (около 300 000);
- хешированные (PBKDF2) пароли (всего 76);
- данные о мобильном устройстве и ОС;
- данные о дате регистрации и последнем использовании (за период с 15.06.2021 по 19.07.2022).
Telegram-канал in2security так же пишет, что размер дампа составляет примерно гигабайт, и в четырех файлах содержится около 2 миллионов строк.
Представители пресс-службы Yappy уже подтвердили СМИ факт утечки, однако утверждается, что в открытом доступе оказались неактуальные дампы обезличенных пользовательских данных, содержащие никнеймы и номера телефонов.
В компании говорят, что Yappy не собирает с пользователей фамилии, даты рождения и другие составляющие персональных данных, никакая утечка не могла бы привести к риску их бесконтрольного распространения.