Данные пользователей YouDo утекли в сеть

Компания YouDo сообщила, что в начале апреля данные более 2000 пользователей сервиса на некоторое время оказались в открытом доступе. Своевременно были предприняты меры для устранения проблемы, поэтому конфиденциальной информации пользователей сейчас ничего не угрожает.

Ашот Оганесян, техдиректор разработчика системы для борьбы с утечками данных DeviceLock, отметил: «Специалисты моей компании в апреле нашли сервер Elasticsearch, использование которого позволяло получить неавторизованный доступ к БД пользователей сервиса YouDo. Сервер активно работал около суток. В базе данных мы обнаружили сведения о 2000 пользователей YouDo, которые содержали ФИО, контактную информацию, цену заказа, данные о кредитной карте и URL-адресе страницы заказа».

Специалист также рассказал о том, что подобная утечка ни к чему плохому обычно не приводит и опасности в ней для обычного пользователя нет. Самое страшное, что может случится – попадание контактных данных в спам-рассылку и спам-листы. Во время работы сервера Elasticsearch он постоянно пополнялся новыми данными, поэтому была вероятность, что БД будет использоваться для отправления фишинговых писем для получения доступна в аккаунт пользователя на YouDo.

Пресс-служба сервиса сообщила, что подобная утечка данных действительно произошла в начале апреля: «В период с 4 по 5 апреля велась плановая профилактика. Во время переноса системы логирования на короткий промежуток времени оказался открытым порт, который можно было использовать для получения доступа к логам файлов с содержанием сведений о пользователях. В логах не было обнаружено данных о банковских картах, хешированных паролях и другой конфиденциальной информации. Благодаря оперативной реакции специалистов компании DeviceLock уязвимость была устранена в предельное сжатые сроки.