19 March 2020

Клиентская база московских магазинов и ресторанов попала в Сеть

В открытом доступе оказался сервер с персональном информацией об участниках программы лояльности сервиса «Премиум бонус».  

Основатель и технический директор DeviceLock Ашот Оганесян на днях обнаружил в открытом доступе сервер с персональной информацией клиентов сервиса «Премиум Бонус», который обеспечивает программы лояльности популярным кафе и ресторанам. Несмотря на то что компанию предупредили об уязвимости в тот же день, сервер пропал из свободного доступа лишь через несколько часов.

В частности, на открытом сервере хранилась информация о посетителях ресторанов «Му-Му», «Жан-Жак», «Империя пиццы», «Тарелка», «Ташир Пицца», «Грузинские каникулы», «Джон Донн», «Тапчан», «Контакт бар», а также о покупателях магазинов «Органик Маркет», French Kiss, «Добрынинский и партнеры», «Интермода», рассказал газете технический директор DeviceLock.

Только в одном из индексов (разделов) сервера находилось 55 млн строк, из них 21 млн строк содержали телефонные номера. С учетом того, что в базе были в основном «логи» системы, то есть информация не только о клиентах и их заказах, но и об обновлениях статуса этих заказов и других служебных действиях, назвать точное число пострадавших сложно, пояснил Оганесян.

По его оценкам, на сервере находилось не менее 300 тыс. записей, включающих клиентские данные, однако и они могли содержать повторы, и число граждан, чьи данные оказались в свободном доступе, может быть не так велико, уточняется в статье.

«Обладая этой информацией, злоумышленники могут обманывать клиентов методами социальной инженерии. Например, распространять фишинговые письма от имени ресторанов, предлагая скидки, подарки или акции. Для получения бонусов клиенту могут предложить ввести данные карты, с которой потом будут похищены средства», — отметил в беседе с изданием основатель DeviceLock.

По словам экспертов, с помощью этих данных мошенники могут рассылать не только таргетированную рекламу, но и красть бонусы или убеждать клиента перевести деньги на чужой счёт.

Contacts

For general questions

[email protected]

For legal questions

[email protected]

Contacts for media:

Telegram: moi_fee
Signal: moi_fee.13

18+

On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.