Хакер #305. Многошаговые SQL-инъекции
По информации ИБ-специалистов, вчера в открытом доступе оказался дамп, содержащий 189 833 строки данных пользователей. В компании заявили, что по результатам предварительного анализа, утечка действительно имела место.
Сервис «1С:Урок» предназначен для использования электронных образовательных ресурсов учителями при подготовке к урокам и проведении занятий с учащимися начальной и средней школы, а также для самостоятельного освоения предложенного материала школьниками дома, говорится на сайте сервиса.
Об утечке сообщили аналитики Data Leakage & Breach Intelligence (DLBI), по словам которых дамп «1С:Урок» (urok.1c.ru) содержит:
- email-адреса (185 000 уникальных адресов);
- хешированные пароли (MD5 с солью и SHA512-Crypt);
- ФИО;
- телефоны (7500 уникальных номеров);
- даты создания профилей и последнего входа в систему (с 21.08.2020 по 12.01.2023).
Как сообщили СМИ представители «1С», в компании уже изучают ситуацию с утечкой данных зарегистрированных пользователей образовательного сервиса, и причина попадания этой информации в открытый доступ уже устранена.
«По результатам предварительного анализа, утечка данных с сайта urok.1c.ru имела место. В открытом доступе опубликованы ФИО пользователей, их неверифицированные адреса электронной почты и небольшое количество неверифицированных телефонов», — сообщил представитель компании Алексей Харитонов, подчеркнув, что пароли и «другая более критичная информация» в открытый доступ не попали.