РЖД допустили утечку информации о более чем 1,3 млн участников программы «РЖД бонус». Файл с базой данных сотрудники компании оставили прямо в корневом каталоге сервера этой программы, и он получил очень широкое распространение в интернете.
В свободном доступе в интернете оказалась база с данными пользователей бонусной программы компании РЖД. В Сеть попала резервная копия MySQL-дампа. Объём файла составил 2,4 ГБ, и изначально он был выложен администратором сайта «РЖД Бонус» прямо в корневом каталоге. Вместе с самой базой были доступны для скачивания приватный ключ RSA и bash-скрипт с прописанным в нем путем к дампу БД, логином и паролем пользователя. В РЖД утечку официально не подтвердили, но разослали всем клиентам письмо, в котором просили немедленно поменять пароли в учётных записях программы «РЖД Бонус».
Утечка произошла 6 ноября около 15:00 по Москве. Файлы были неоднократно скачаны прежде, чем их удалили из корневого каталога, в котором они находились приблизительно до 19:00 того же дня. После этого скаченная база данных пользователей «РЖД Бонус» начала появляться в свободном доступе на многих профильных форумах.
Файл с базой данных содержит информацию о более чем 1,36 млн пользователей. В таблице есть сведения об их логинах и хэшированных паролях (MD5). Вместе с этим присутствуют сведения о датах их регистрации в системе и последней авторизации в ней, плюс приведен адрес электронной почты, указанный при регистрации. В таблице также есть поля с ФИО, но для многих пользователей они оставлены пустыми.
В дополнение к перечисленному слитый дамп БД содержит массу сведений о пользователях – к примеру, в нем есть IP-адреса устройств, с которых они подключались к системе, версия операционной системы и др. Эта информация охватывает период с 7 августа по 8 октября 2020 года.
В РЖД считают, что утечка базы данных «РЖД бонус» связана с попыткой взлома, обнаруженной специалистами компании. «6 ноября 2020 года зафиксирована попытка взлома программы лояльности «РЖД бонус», в ходе которой злоумышленнику удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей. Система безопасности предотвратила доступ к персональным данным участников. Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов», – заявили представители РЖД.
По их словам, после атаки специалисты провели «защитные мероприятия», не уточнив, что именно подразумевается под этим. Они добавили также, что «в настоящий момент времени ведется служебное расследование, по результатом которого будет принято решение о передаче материалов в правоохранительные органы». В РЖД также настоятельно рекомендуют пользователям сменить пароли.