Личные данные клиентов Sony Centre и Street Beat попали в открытый доступ

База данных покупателей магазинов Sony Centre и сети спортивной одежды Street Beat, принадлежащих концерну Inventive Retail Group (IRG), оказалась в открытом доступе, сообщает «Коммерсантъ». Уязвимости систем интернет-магазинов street-beat.ru и sc-store.ru обнаружила компания Device Lock, которая уведомила об этом IRG.

Причиной инцидента стала неправильная конфигурация сервера Elasticsearch, допускающая доступ без авторизации, сообщил изданию основатель и технический директор компании Ашот Оганесян. По его словам, база включала данные с ноября 2018 года.

Всего в ней было более 3 млн записей, содержащих email-адреса, более 7 млн записей, содержащих телефоны, а также более 21 тысяча пар логин-пароль к личным кабинетам покупателей магазинов Sony и Street Beat, включая дублирующиеся записи. Подобные данные – потенциально востребованный товар в даркнете, отмечает операционный директор центра мониторинга и реагирования на кибератаки Solar JSOC компании “Ростелеком-Solar” Антон Юдаков. Они могут использоваться для спама, фишинга и других типов социальной инженерии, телефонного мошенничества, перечисляет эксперт. К тому же, утекшие логины и пароли с большой вероятностью могут использоваться и в других онлайн-сервисах вплоть до интернет-банка, добавляет он.

Чтобы избежать использования данных из личных кабинетов пользователей в целях мошенничества, ритейлер сменил пароли к ним на временные и провел проверку всех проектов группы. Также IRG обратилась в правоохранительные органы на предмет расследования вероятного неправомерного доступа и хищения данных.

В IRG (входит в группу “Ланит”, управляет сетями re:Store, Samsung, Sony Centre, Nike, Street Beat и др.) уже закрыли доступ к базе. В компании уверены, что утечек не произошло, однако обратились в правоохранительные органы на предмет расследования вероятного хищения.