Информационная безопасность IT

В начале марта «Яндекс» сообщил об утечке данных пользователей популярного сервиса доставки «Яндекс Еда». Теперь же слитые сведенья «всплыли» в Сети — обнаружен сайт с картой, содержащей пользовательские данные, всего 58 тыс. адресов, сообщает российский Forbes.

Сотрудник издания обнаружил свои данные и данные некоторых знакомых, которые также пользовались услугами «Яндекс Еды», на карте на сайте, созданном ещё 14 марта. Среди представленных данных значатся Ф.И.О., номер телефона, адрес, электронная почта и даже общая сумма заказов.

Данные можно узнать, кликнув на точку на карте или введя в поиске номер телефона или фамилию пользователя. Что интересно, на карте имеются данные в том числе о заказах за пределами России — «Яндекс Еда» помимо РФ присутствует также в Беларуси и Казахстане.

Над картой на сайте имеется объявление: «…в результате массовых кибер атак на веб ресурсы РФ множество личных данных было незаконно выложено в сеть. Мы публикуем базу с персональной информацией россиян, которой могут воспользоваться с целью запугивания и обмана. Вы можете проверить на карте какая информация есть у преступников, чтобы понимать риски. Предупрежден значит вооружен!» (орфография и пунктуация сохранены).

Также указывается номер телефона, по которому якобы следует обратиться, чтобы убрать свои данные «со следующим обновлением сайта». Но это обман, каждый раз заходя на сайт подгружается новый телефон из базы и Вы попадаете на кого то из тех кому не повезло находиться в базе.

Представитель «Яндекс Еды» заявил Forbes, что «специалисты проверяют данные на сайте». Других комментариев получить не получилось.

Ссылка:

https://www.forbes.ru/tekhnologii/459941-v-seti-poavilas-kar...

В комментариях выложу ссылку на карту, но думаю модераторы её удалят, т.к. там много личных данных.

Видим 4 IP CF-а и 2 IP хостинг провайдера digitalocean, переходим по ip адресам 178.62.144.114 и 188.166.141.106 нас редиректит на сайт pythontutor.ru. Да, это могут быть прокси сервера или балансеры, но проект маленький и вряд ли там будет какая то highload инфраструктура.

По крайней мере я сделал для себя такой вывод банально по простому фактору - попробовал постучаться по ssh

ssh 188.166.141.106
The authenticity of host '188.166.141.106 (188.166.141.106)' can't be established.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
X@188.166.141.106's password:

ssh 178.62.144.114
The authenticity of host '178.62.144.114 (178.62.144.114)' can't be established.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
X@178.62.144.114's password:

Как вы могли бы заметить, там нет ни вайтлиста по IP адресу, да и доступ по паролю не отключен.

Я тестировал на разных доменных именах, но не у всех была история изменений, точной причины их отсутствия я, увы, не знаю.

Если кто то несведущий дочитал до конца и ему непонятно, чем может грозить скомпрометированный IP адрес сервера, находящийся под CF-ом, я поясню, - самый простой пример, это DDoS атака. Если атака будет проводиться по домену, то сначала весь трафик будет фильтровать Cloudflare, а затем поступать на сервер. Атака же на сам сервер по IP адресу минует CF и сервер, по факту, не защищен. Хотя может быть еще сетевой экран на уровне хостера, но все же.

Спасибо за внимание.