Xakep #305. Многошаговые SQL-инъекции
Мировой суд в Петербурге привлек к административной ответственности ПАО «Ростелеком» за нарушение законодательства о персональных данных. Суд назначил наказание в виде штрафа в размере 60 000 рублей.
Согласно материалам дела, в июне 2022 года компания «предоставила неправомерный доступ к информационным системам, повлекший распространение неограниченному кругу лиц данных персональных клиентов и работников оператора в телеграм-канале и на сайте».
По информации пресс-службы судов, защитник ПАО просил прекратить дело в связи с отсутствием состава, однако факт утечки данных не оспаривал.
В частности, речь шла о выставленных на продажу базах данных, совпадающих с информацией из сервиса «Умный дом» (rt.ru/smarthome).
Напомню, что тогда в июне прошлого года злоумышленники опубликовали шесть текстовых файлов, где суммарно содержались 712 999 строк: ФИО, email-адрес, телефон, хешированный (bcrypt) пароль, IP-адрес, дата регистрации и последней активности (наиболее «свежая» из них была датирована 18.12.2021).
Тогда в компании начали внутреннюю проверку и заверили, что приняли все необходимые меры по защите интересов клиентов. Но после этого «слива» Роскомнадзор составил в отношении компании протокол по ч. 1 ст. 13.11 КоАП РФ за обработку персональных данных с нарушением законодательства, приведшую к утечке данных клиентов.
Также следует отметить, что прошлым летом у компании «слили» и таблицу внутренних аккаунтов. Дамп включал в себя 109 300 строк, которые содержали: ФИО, email-адреса в домене rt.tu и поддоменах, данные о занимаемой должности, телефоны (служебный и мобильный), логин и домен, дату создания записи (с 19.01.2021 по 15.12.2021), признаки уволенного и активного сотрудника.