Заказал кебаб – жди хакеров: выявлена масштабная утечка данных в сервисах доставки еды
NewsMakerПочему владельцы уязвимой платформы упорно не хотят исправлять найденную ошибку?
Исследовательская группа Cybernews обнаружила утечку данных клиентов, использующих популярные турецкие сервисы доставки еды. Инцидент связан с компанией Paketle Lojistik Hizmetleri, которая занимается маршрутизацией заказов через платформу на базе Kafka , не обеспечивая должный уровень безопасности.
На вышеупомянутой платформе доступен обширный перечень личных данных клиентов, такие как имена, домашние адреса, номера телефонов, электронная почта, детали заказов, IP-адреса и токены аутентификации. Эта информация доступна всем, кто подключается к системе, без какой-либо аутентификации.
«Каждый раз при поступлении нового заказа любой посторонний может узнать чувствительную информацию о любом клиенте», — заявили исследователи Cybernews. «В настоящий момент система представляет из себя фонтан, разбрызгивающий персональные данные».
Исследователям удалось найти заказы, размещённые через следующие турецкие приложения для доставки еды:
Платформа хранит данные о заказах за последние десять дней, а новые добавляются буквально каждую минуту. В течение года злоумышленники могли получить доступ к более чем 3 миллионам уникальных заказов.
Эта утечка создаёт серьёзную угрозу для безопасности турецких клиентов. Злоумышленники могут использовать эти данные для раскрытия местоположения, кражи заказов, подделки курьеров, фишинговых атак и других киберпреступлений. Также пострадать могут и рестораны, интегрированные в систему Paketle, которые могут подвергнуться фальсификации заказов и хаосу в работе.
Исследователи Cybernews подчёркивают необходимость срочного устранения уязвимости. Платформодержателям рекомендуется внедрить систему аутентификации, настроить белые списки IP-адресов, применить шифрование SSL/TLS, а также механизмы мониторинга для обнаружения и реагирования на подозрительную активность.
Исследовательская группа Cybernews обнаружила утечку данных клиентов, использующих популярные турецкие сервисы доставки еды. Инцидент связан с компанией Paketle Lojistik Hizmetleri, которая занимается маршрутизацией заказов через платформу на базе Kafka , не обеспечивая должный уровень безопасности.
На вышеупомянутой платформе доступен обширный перечень личных данных клиентов, такие как имена, домашние адреса, номера телефонов, электронная почта, детали заказов, IP-адреса и токены аутентификации. Эта информация доступна всем, кто подключается к системе, без какой-либо аутентификации.
«Каждый раз при поступлении нового заказа любой посторонний может узнать чувствительную информацию о любом клиенте», — заявили исследователи Cybernews. «В настоящий момент система представляет из себя фонтан, разбрызгивающий персональные данные».
Исследователям удалось найти заказы, размещённые через следующие турецкие приложения для доставки еды:
- Getir: 4,8 млн посещений сайта в месяц, более 10 млн скачиваний на Google Play;
- Yemek Sepeti: 4,8 млн посещений сайта в месяц, более 10 млн скачиваний на Google Play;
- Migros: 184 тыс. посещений сайта в месяц, более 10 млн скачиваний на Google Play;
- Trendyol: 27 тыс. посещений сайта в месяц, более 1 млн скачиваний на Google Play.
Платформа хранит данные о заказах за последние десять дней, а новые добавляются буквально каждую минуту. В течение года злоумышленники могли получить доступ к более чем 3 миллионам уникальных заказов.
Эта утечка создаёт серьёзную угрозу для безопасности турецких клиентов. Злоумышленники могут использовать эти данные для раскрытия местоположения, кражи заказов, подделки курьеров, фишинговых атак и других киберпреступлений. Также пострадать могут и рестораны, интегрированные в систему Paketle, которые могут подвергнуться фальсификации заказов и хаосу в работе.
Исследователи Cybernews подчёркивают необходимость срочного устранения уязвимости. Платформодержателям рекомендуется внедрить систему аутентификации, настроить белые списки IP-адресов, применить шифрование SSL/TLS, а также механизмы мониторинга для обнаружения и реагирования на подозрительную активность.