Заказал кебаб – жди хакеров: выявлена масштабная утечка данных в сервисах доставки еды

06.06.2024

Почему владельцы уязвимой платформы упорно не хотят исправлять найденную ошибку?

Исследовательская группа Cybernews — это информационное издание, которое занимается освещением проблем информационной безопасности. Они публикуют новости, статьи, аналитику и исследования, касающиеся различных аспектов кибербезопасности, включая уязвимости в ПО, кибератаки и защиту данных. Cybernews также предоставляют информацию о технологиях защиты и направлениях развития индустрии кибербезопасности." data-html="true" data-original-title="Cybernews" >Cybernews обнаружила утечку данных клиентов, использующих популярные турецкие сервисы доставки еды. Инцидент связан с компанией Paketle Lojistik Hizmetleri, которая занимается маршрутизацией заказов через платформу на базе Apache Kafka — это распределенная платформа потоковой передачи данных, разработанная для построения высокопроизводительных и отказоустойчивых систем обработки данных в реальном времени. <br> <br> Kafka позволяет публиковать, подписываться на потоки данных, хранить их и обрабатывать, предоставляя при этом возможности масштабирования и отказоустойчивости. <br> <br> В основе Kafka лежит модель публикации/подписки, где данные организованы в топики. Производители (publishers) отправляют сообщения в топики, а потребители (consumers) подписываются на топики и читают сообщения. Благодаря этому Kafka широко используется для интеграции различных приложений и микросервисов, а также для построения систем обработки потоков данных и логов." data-html="true" data-original-title="Kafka" >Kafka, не обеспечивая должный уровень безопасности.

На вышеупомянутой платформе доступен обширный перечень личных данных клиентов, такие как имена, домашние адреса, номера телефонов, электронная почта, детали заказов, IP-адреса и токены аутентификации. Эта информация доступна всем, кто подключается к системе, без какой-либо аутентификации.

«Каждый раз при поступлении нового заказа любой посторонний может узнать чувствительную информацию о любом клиенте», — заявили исследователи Cybernews. «В настоящий момент система представляет из себя фонтан, разбрызгивающий персональные данные».

Исследователям удалось найти заказы, размещённые через следующие турецкие приложения для доставки еды:

Специалисты Cybernews сообщили о своей находке представителям Paketle Лojistik Hizmetleri, а также турецким властям, включая местную команду реагирования на компьютерные инциденты. Несмотря на восемь писем, отправленных между 25 января и 4 марта 2024 года, компания не приняла мер для устранения уязвимости. На момент публикации материала доступ к уязвимым Kafka-инстансам оставался открытым.

Платформа хранит данные о заказах за последние десять дней, а новые добавляются буквально каждую минуту. В течение года злоумышленники могли получить доступ к более чем 3 миллионам уникальных заказов.

Эта утечка создаёт серьёзную угрозу для безопасности турецких клиентов. Злоумышленники могут использовать эти данные для раскрытия местоположения, кражи заказов, подделки курьеров, фишинговых атак и других киберпреступлений. Также пострадать могут и рестораны, интегрированные в систему Paketle, которые могут подвергнуться фальсификации заказов и хаосу в работе.

Исследователи Cybernews подчёркивают необходимость срочного устранения уязвимости. Платформодержателям рекомендуется внедрить систему аутентификации, настроить белые списки IP-адресов, применить шифрование SSL/TLS, а также механизмы мониторинга для обнаружения и реагирования на подозрительную активность.

Добавить комментарий

Your email address will not be published.

Предыдущая история

Ротенберг про «Хоккейный Город Сколково»: «Выполняем поручение Путина. Огромная благодарность Шувалову, Собянину – в хоккее можно победить только командой»

Next Story

Новая политика Meta: данные пользователей станут топливом для ИИ

Последние из Наука и образование

Рейтинг мировых университетов THE 2025: Оксфорд удерживает первое место, проверьте топ-10 и их общий балл

09.11.2024
Оксфордский университет, Массачусетский технологический институт (MIT) и Гарвардский университет заняли первые три места в рейтинге мировых университетов THE 2025. Times Higher Education (THE) поставил

Первоклассники Туркменистана получат в подарок от Президента усовершенствованные модели ноутбуков

30.08.2024
В новом 2024-2025 учебном году более 155 тысяч первоклассников Туркменистана получат в подарок от имени Президента Сердара Бердымухамедова усовершенствованные модели портативных компьютеров. Среди новшеств

Учебная поездка в Малайзию

30.08.2024
В канун нового, 2024-2025 учебного года вузовская делегация в составе преподавателей и студентов Международного университета нефти и газа имени Ягшыгелди Какаева, а также его

«Цифроземье 2024»: ИТ-форум, где будущее уже здесь

20.08.2024
В начале осени Воронеж станет эпицентром цифровых инноваций. 5 сентября в Сити-парке «Град» пройдет ИТ-форум «Цифроземье 2024», который объединит специалистов, предпринимателей, экспертов и всех,
Перейти кTop