РЖД Бонус

Продукт

Разработчики:	Российские железные дороги (РЖД)
Отрасли:	Транспорт
Технологии:	CRM - Системы лояльности

2020: Утечка данных 1,36 млн участников программы

В ноябре 2020 года стало известно об утечке данных 1,36 млн участников программы лояльности «РЖД Бонус». Оказалось, что файл с базой данных сотрудники компании оставили прямо в корневом каталоге, сообщил основатель сервиса поиска утечек и мониторинга даркнета DLBI Ашот Оганесян.

По его словам, резервная копия (бекап) MySQL-дампа с базой данных сайта «РЖД Бонус» (rzd-bonus.ru) размером около 2.4 ГБ по какой-то непонятной причине была выложена администратором в корне сайта. Оказалось, что как минимум несколько человек успели ее скачать до того момента, как сайт стал недоступен. Вдобавок там же были размещены и доступны для сохранения: bash-скрипт, в котором был прописан путь к дампу базы данных и находился логин и пароль пользователя, а также приватный ключ RSA.

Произошла утечка данных 1,3 млн участников программы «РЖД Бонус»

Ашот Оганесян говорит, что база данных клиентов РЖД получила широкое распространение в интернете – она находится в свободном доступе на многих профильных форумах.

В пресс-службе РЖД заявили, что была обнаружена попытка взлома системы «РЖД Бонус», однако компании удалось предотвратить доступ к личным данным пользователей.

6 ноября зафиксирована попытка взлома программы лояльности «РЖД Бонус», в ходе которой злоумышленнику удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей. Система безопасности предотвратила доступ к персональным данным участников. Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов, — сообщает ТАСС со ссылкой на пресс-службу РЖД.

В РЖД сообщили, что после попытки взлома были проведены защитные мероприятия, а работоспособность программы удалось восстановить к вечеру субботы, 7 ноября 2020 года.^[1]