Хакер #305. Многошаговые SQL-инъекции
В даркнете злоумышленники выставили на продажу данные пользователей российского кикшерингового сервиса Whoosh. Хакеры оценили дамп в 4200 долларов.
Напомню, что об утечке данных стало известно еще несколько недель назад, и тогда сообщалось, что причиной утечки стало нарушение правил безопасности одним из сотрудников компании, с которым Whoosh уже прекратила трудовые отношения. Через этого сотрудника злоумышленники смогли получить доступ «к части первичных данных нескольких миллионов клиентов», а именно:
- никнеймам пользователей;
- телефонам;
- адрес электронной почты;
- замаскированным (неполным) номерам банковских карт.
При этом представители сервиса заявили, что им удалость «обнаружить и пресечь утечку части данных нескольких миллионов пользователей». В компании подчеркивали, что «утечка не затронула чувствительные данные пользователей, такие как доступы к аккаунтам, информацию о транзакциях или детали поездок», а также уверяли, что процедуры безопасности Whoosh исключают возможность получения доступа третьих лиц к полным платежным данным банковских карт пользователей.
Как теперь сообщают Telegram-каналы Data1eaks и Data Leakage & Breach Intelligence (DLBI), данные пользователей кикшерингового сервиса были выставлены на продажу на хакерском форуме в даркнете. Согласно сообщению продавца, дамп содержит данные о 7,2 миллионах клиентов сервиса, а также файл с промокодами.
Аналитики DLBI изучили дамп, и сообщают, что в нем содержатся:
- имена;
- телефоны (7,23 млн уникальных номеров);
- адрес электронной почты (6,89 млн уникальных адресов);
- частичные номера банковских карт (6 первых и 4 последних цифры), имена/фамилия латиницей, типы карты (VISA, MASTERCARD и так далее);
- дата создания записи и последней аутентификации (с 23.01.2019 по 19.09.2022);
- GPS-координаты.
Также исследователи рассказали журналистам, что хакеры несколько месяцев бесплатно катались на самокатах сервиса, используя промокоды Whoosh.
Представители сервиса еще раз подтвердили факт атаки, но подчеркнули, что пострадали только «нечувствительные данные»:
«В сети пишут о данных, о которых мы заявили ранее: нечувствительные данные части наших пользователей. Утечка не затронула чувствительные данные пользователей, такие как доступы к аккаунтам, информацию о транзакциях или детали поездок. Наши процедуры безопасности также исключают возможность получения доступа третьих лиц к полным платежным данным банковских карт пользователей», — сообщили в компании.