Эксперт: утечка данных у PickPoint – это дезинформация



Эксперт: утечка данных у PickPoint – это дезинформация

20 января 2021

Так как интернет-магазины не передают персональные данные о пользователях службе доставки

Эксперт: утечка данных у PickPoint – это дезинформация

Клиенты PickPoint не отреагировали на провокацию со стороны мошенников о продаже SQLi-уязвимости (LR: опасная уязвимость, которая возникает из-за недостаточной фильтрации вводимых пользователем данных, что позволяет модифицировать запросы к базам данных) к системам сервиса доставки, сообщил «Логирусу» официальный представитель компании.

– Дезинформация заинтересовала только прессу. Наши партнеры на нее не отреагировали, поскольку знают, какую информацию о пользователях передают нам. Пользователей в принципе этот эпизод никак не затронул, – отметили в пресс-службе PickPoint.

По оценке компании Infosecurity, не менее 80% объявлений об утечке уязвимости – это обман со стороны мошенников, рассчитанный на доверчивость и жадность покупателей. Остальные предложения используют систему Гарантов – привилегированных членов форумов, имеющих авторитет и гарантирующих надежность за процент от сделки. Но практика показывает, что даже в этой схеме «покупатели» не защищены от мошенников.

– Даже если после оплаты продавец и пришлет какие-то данные, скорее всего, они не будут иметь никакого отношения к компании, а окажутся старыми «утечками» с других сервисов, находящихся в открытом доступе. При этом никто из обманутых в полицию обращаться не будет, так как вся эта деятельность незаконна и найти концы в Даркнете практически невозможно, – рассказал руководитель департамента аудита информационной безопасности Infosecurity Сергей Ненахов.

Данные обычно «утекают» через уязвимости в системе или от самих сотрудников, добавил эксперт. Последние могут это делать как умышленно, так и не специально, установив, к примеру, слабые пароли.

– PickPoint получил большой ущерб от прошлогоднего инцидента и, я верю, что он провел работу над ошибками. Даже если допустить присутствие уязвимости, то при правильной настройке систем безопасности, процесс выгрузки данных можно будет отследить по аномалиям сетевого трафика, по логам приложений и баз данных, – пояснил Сергей Ненахов.

18 января в телеграм-канале «Утечки информации» разместили информацию о том, что сразу несколько продавцов на одном теневом форуме выставили на продажу якобы SQLi-уязвимость к системам PickPoint. Официальный представитель компании опроверг сообщение об этом.

– По следам кибератаки началась активность мошенников, которые пытаются продать несуществующие данные. PickPoint не имеет в своей базе данных о ФИО, днях рождения и тем более каких-либо персональных паролей пользователей. Эта информация не передается нам со стороны интернет-магазинов, для выдачи заказов мы не запрашиваем ее у получателей, личного кабинета у пользователей PickPoint нет, – подчеркнул представитель сервиса.

Напомним, что 4 декабря PickPoint сообщил о кибератаке на свои постаматы. LR

Тэги: PickPoint, интернет-торговля, e-commerce, информационные системы, безопасность







Вам интересны самые значимые события отрасли, выставки и мероприятия, конфликты и сделки, интервью и невыдуманные истории коллег? Подпишитесь на рассылку* и будьте в курсе!
Ваше имя* Ваш e-mail*
*Всего одно письмо в неделю с дайджестом лучших материалов

Вам важно быть в курсе ежедневно? Читайте и подписывайтесь на наш Твиттер и Telegram
Хотите больше юмора, видео, инфографики - станьте нашим другом в Фейсбуке

Разместите новостной информер и на вашем сайте всегда будут обновляемые отраслевые новости



Вверх
Вверх