Сервис «Слетать.ру» обвинили в утечке информации о сотнях турагентств и тысячах клиентов
Как сообщила сегодня газета «КоммерсантЪ», компания DeviceLock сообщила об обнаружении в открытом доступе базы данных сервиса по подбору туров «Слетать.ру».По словам основателя и технического директора DeviceLock Ашота Оганесяна, 10 мая компания проинформировала об этом сервис, доступ к базе был закрыт в тот же день в промежутке между 11:00 и 15:00.По словам г-на Оганесяна, в базе были логины и пароли нескольких сотен подключенных к системе агентств, с которыми можно войти в личный кабинет агентства и получить доступ ко всем данным поездок, включая паспортные данные клиентов и данные билетов. Кроме того, в ней содержатся данные трансакций по покупке туров, где также есть данные клиентов, информация о самих турах и их оплате, а также присутствуют минимум 11,7 тыс. адресов клиентских e-mail. Вся информация датируется мартом 2018-го — маем 2019 года.По данным SimilarWeb, число посещений сайта в апреле составило 3,35 млн. Несмотря на отсутствие в скомпрометированной базе платежных данных, хранилище могло представлять интерес для злоумышленников, считают опрошенные изданием эксперты по кибербезопасности. «Туристическая отрасль — конкурентный и далеко не самый высокомаржинальный бизнес, поэтому клиентские базы высоко ценятся на рынке, и для недобросовестных конкурентов база могла представлять интерес»,— указывает аналитик InfoWatch Андрей Арсентьев.Кроме того, при попадании информации о заказанных турах в руки злоумышленников нельзя исключать случаев фишинговых атак под видом доверенного турагента, отмечает он. Узнав подробные сведения о предстоящих поездках, злоумышленник может связаться с покупателем путевки, представившись сотрудником турагентства, и попросить провести дополнительную оплату, например, включив в тур новые услуги или сославшись на изменения в стоимости, согласна аналитик Positive Technologies Екатерина Килюшева. Другой вариант использования данных — таргетированные рассылки рекламных предложений, добавляет руководитель отдела страхования финансовых рисков компании АИГ Владимир Кремер. При этом привлечь виновных в подобных утечках данных лиц к ответственности в России нереально, уверен партнер адвокатского бюро «Деловой фарватер» Сергей Литвиненко. «Законодательство не раскрывают самого понятия утечки персональных данных. Ответственность может наступать не за саму утечку, а за нарушение требований безопасности, административный штраф по которой настолько несерьезен, что легче заплатить его, чем привести системы безопасности в порядок»,— констатирует он. Закон О персональных данных необходимо ужесточить по примеру европейского регламента по защите данных (General Data Protection Regulation, GDPR), чтобы избегать случаев утечек данных россиян, как произошло с сервисом Слетать.ру, заявил между тем сегодня в интервью РИА «Новости» руководитель Агентства кибербезопасности, член экспертного совета комитета Госдумы по информполитике Евгений Лифшиц.GDPR комплексно меняет подход, где хозяин своих данных разрешает, как именно их использовать, это другой подход в отличие от просто разрешения на использование. Компании, нарушив, попадают на огромные штрафы вплоть до процента на оборот компании, — напомнил он. Между тем в компании «Слетать.ру» сегодня опровергли опубликованную информацию. Руководитель компании Андрей Вершинин сообщили в интервью СМИ, что «Слетать.ру» предоставляет ряду крупнейших туроператоров-партнеров доступ к истории запросов в поисковой системе. Он предположил, что DeviceLock получила его, «однако в указанной базе нет паспортных данных туристов, логинов и паролей турагентств, платежных данных и т.д.».«Сейчас мы пытаемся связаться с компанией DeviceLock. Полагаем, что это заказуха. Кому-то не нравится наш стремительный рост», — заклюсил он.
