Серьезная утечка: хакер получил доступ к данным более 10 000 пользователей Itella Smartpost
(3)Вчера один хакер обнаружил в системе Itella Smartpost серьезную уязвимость, что дало ему доступ к ярлыкам свыше 10 600 посылок. На ярлыках указаны отправитель и получатель, а также телефоны обеих сторон. Если в случае предприятий речь идет об общих телефонах фирмы, то в случае частных лиц заказчик обычно указывает личный мобильный телефон, пишет Eesti Päevaleht.
Кроме этого человек, обнаруживший уязвимость, выискал 80 фирм у которых имя пользователя и пароль, которые они использовали в системе Itella, совпадают.
Хакер не пожелал рассказать Eesti Päevaleht, как он смог найти уязвимость в системе Itella и то, из он какой страны.
Финансовые данные не утекли
Исполнительный директор Itella Estonia Меэлике Паалберг подтвердила, что сегодня утром о возможной утечке их информировала компания SK ID Solutions. „После этого предприятие сразу стала выяснять ситуацию и вместе с обработчиком данных обнаружила в системе безопасности уязвимость, которую тут же исправили“, - утверждает она.
По утверждению Департамента государственной инфосистемы (RIA), с момента предупреждения прошло всё-таки восемь часов, прежде чем доступ к данным был закрыт.
„Утечка данный касается 69 бизнес-клиентов Itella Estonia, с которыми предприятие связалось и информировала их о ситуации. Также была проинформирована Инспекция по защите данных“, - сказала Паалберг.
Сейчас в Itella занимаются выяснением причин случившегося, чтобы подобного больше не повторилось. „На основании проведенной работы можем заверить, что утечки чувствительных данных (например, финансовых) не было“, - отметила представитель Itella.
Помимо жителей Эстонии, в числе жертв утечки оказались финны, поляки и немцы, среди 10 000 посылок девять предназначались в различные посольства.
Во многих случаях по посылочным ярлыкам можно вычислить, какой товар заказывали себе люди. А также предположить, что кто-то из какой-либо семьи живет от родных отдельно в другой стране; кто-то ведет жизнь на две страны и т.п.
„Мы очень огорчены, что такое произошло, и просим извинения у клиентов, которых коснулась данная ситуация. Компания Itella Estonia сделает совместно с партнерами все от нее зависящее, чтобы выяснить обстоятельства инцидента и гарантировать безопасность своих клиентов“, - заверила Паалберг.
По словам руководителя Отдела обработки инцидентов (CERT-EE) Департамента государственной инфосистемы (RIA) Тыну Таммера, хакер поступил крайне неэтично. „Если хакер обнаружил уязвимость, то об этом сообщается в те организации, которые подвержены опасности, чтобы они могли бы устранить ошибку“, - отметил он.