Главная Чем для пользователей опасны сливы баз данных на примере Best2pay Чем для пользователей опасны сливы баз данных на примере Best2pay

Чем для пользователей опасны сливы баз данных на примере Best2pay

02.02.2023 в 16.08 281Просмотров: 281 0Комментариев: 0
В открытый доступ

 

Best2pay раскрыл детали утечки данных о клиентах.

В открытый доступ попала база платёжного сервиса Best2pay, сообщили «Известиям» эксперты по кибербезопасности. В сливе содержится 1 млн строк с ФИО, номерами телефонов и частичными платёжными данными клиентов.

Что попало в интернет

Актуальность массива данных, попавшего в открытый доступ, относится к периоду с начала 2019-го по июнь 2021-го, заявили «Известиям» в сервисе Best2pay. Там уточнили: в похищенной базе отсутствуют полные данные карт, а только только их маска , то есть первые шесть и последние четыре цифры карты, а также иные платёжные реквизиты.

В декабре 2022 года информационные системы нашей компании подверглись спланированной атаке с использованием скомпрометированного корпоративного аккаунта одного из наших подрядчиков, работавшего в изолированной тестовой среде. С его использованием была скомпрометирована тестовая система формирования отчётов.
Из объяснений Best2pay

В Best2pay подчеркнули: тестовая среда полностью изолирована от основных информационных систем компании, а размещённые в ней данные были подготовлены специально для работы с внешними подрядчиками.

Best2pay — это интернет-эквайринг с облачной кассой. Сервис обрабатывает онлайн-платежи для интернет-магазинов и мобильных приложений и взимает комиссию с каждой успешной операции. Так, например, среди основных клиентов организации — BoxBerry, служба такси Maxim, страховая компания «Гелиос» и другие, указано на сайте организации.

Информация об утечке базы данных начала распространяться 31 января. По данным Telegram-канала in2security, опубликованный файл содержит 1 млн строк.

Утечка включала:

  • ФИО; 
  • фрагмент номера карты — первые шесть и последние четыре цифры; 
  • дата; 
  • сумма и назначение платежа; 
  • адреса электронной почты; 
  • телефоны пользователей сервиса.

По сообщениям в Telegram-канале, в базе содержатся 824 тыс. уникальных номеров телефонов и 204 тыс. уникальных банковских карт. По сведениям канала, утечка более свежая — последняя информация датируется 28 января 2023 года.

О сливе также написал Telegram-канал «Утечки информации». Там отмечается, что базу разместил тот же источник, который раньше уже выкладывал в открытый доступ данные, в том числе образовательного портала Geek Brains, и компания 1 июня 2022-го подтвердила утечку.

Чем грозит слив

В компании Infosecurity a Softline Company, которая специализируется на кибербезопасности, заявили «Известиям», что изучают данные утечки в 1 млн строк. Аналитик отдела анализа и оценки цифровых угроз Максим Грязев пояснил: косвенные сведения указывают, что база относится именно к платёжной системе, так как в дампе содержится информация с адресом платёжного шлюза Best2pay, а также адреса электронных почт с доменом Best2pay.

По слитым данным можно идентифицировать организации, которые выдали банковские карты пользователям. В список вошли и представители топ-10 российских банков. Названия можно понять по БИНам, данные о которых содержатся в утечке. Банковский идентификационный номер (БИН) — часть номера, расположенного на пластиковой карте. Она используется для идентификации банка в рамках карточной платёжной системы при авторизации, процессинге и клиринге.
Максим Грязев, аналитик Infosecurity a Softline Company

О сливе данных Best2pay также известно основателю сервиса разведки утечек данных и мониторинга даркнета DLBI Ашоту Оганесяну. По его словам, наиболее вероятным сценарием утечки стало подключение хакеров к рабочему месту специалиста, имеющего доступ к серверу баз данных, и последующая их выгрузка. Нечто схожее утверждает и сама компания, правда виноват, по её версии, подрядчик, и доступ он имел не к базе данных, а к тестовой среде, отметил эксперт.

Злоумышленники могут использовать полученную информацию в мошеннических схемах с использованием методов социальной инженерии, подтвердил руководитель аналитического центра компании Zecurion Владимир Ульянов. Он пояснил: располагая достоверными и актуальными сведениями, включая имена, контактные данные, географию и сведения о совершённых финансовых операциях, нетрудно втереться в доверие и заставить выдать нужные сведения или совершить какое-либо действие для кражи денег.


Источник iz.ru  Источник фото www.pexels.com
Нравится
В это поле Вы можете ввести, что угодно: свой номер телефона, кличку собаки или прозвище начальника. Единственное условие - запомните введенный код, потому что без него Вы уже не сможете снова воспользоваться выбранным ником. Зачем это нужно? Гостевой код не позволяет посторонним людям оставлять комментарии от Вашего имени. Сегмент.Ру заботится о своих пользователях и их репутации!
Необходимо пройти авторизацию на сайте!
Регистрация
Войти через loginza