Неизвестный пользователь даркнета за тысячу долларов предлагает приобрести сведения об уязвимости, которая якобы позволила ему открыть постаматы PickPoint в декабре прошлого года. Эта SQLi-уязвимость, по утверждению продавца, дает доступ не только к отправлениям. С ее помощью можно скачать базу данных на 4 млн клиентов сервиса.
В PickPoint опровергают само существование такой базы. Компания заявляет, что не хранит персональных данных пользователей.
Как утверждает продавец, в базе содержатся такие данные о каждом клиенте: ФИО, дата рождения, адрес, пароль, история заказов в сервисе. Но при этом, как указывают аналитики, не подтверждает свое предложение ни одним скрином из якобы доступной базы. Поэтому проверить утверждение невозможно. В противном случае цена базы была бы гораздо выше тысячи долларов.
Также сама компания PickPoint сообщает, что не получает персональных данных пользователей от интернет-магазинов, с которыми сотрудничает. Единственное, что нужно для доставки в постамат – номер телефона клиента, на который высылаются данные об отправлении и код получения.
"Для выдачи заказов мы не запрашиваем дополнительные данные у получателей, личного кабинета у пользователей PickPoint нет", – пояснили в пресс-службе PickPoint. В компании указали, что по следам кибератаки мошенники пытаются продать несуществующие данные. Однако при обсуждении этой новости владельцы интернет-магазинов пишут, что API требует от них сообщать логистическому оператору как минимум ФИО клиента.
Сведения об уязвимости пользу покупателю их не принесут, говорят в PickPoint. Ведь компания поменяла и усовершенствовала программное обеспечение своих постаматов с учетом хакерской атаки.
Как сообщал Оборот, в пятницу, 4 декабря в 15:06 была совершена хакерская атака на 2 732 постамата PickPoint, что составило примерно 25% от всей сети компании. В результате атаки у многих из них открылись дверцы. После инвентаризации выяснилось, что всего было украдено 198 заказов, стоимость которых была полностью возмещена отправителям. В PickPoint инцидент назвали "первой в мире направленной кибератакой на постаматную сеть".
 |
Pavel А.
старший менеджер, Торговля (Красота и здоровье, крупная компания) |
