База данных туристического сервиса «Слетать.ру» с паспортными данными клиентов временно оказалась в открытом доступе

Сейчас уязвимость уже устранили, но успел ли кто-то ей воспользоваться — неизвестно.

Специалисты компании DeviceLock, специализирующейся на кибербезопасности, обнаружили в открытом доступе базу данных туристического сервиса «Слетать.ру». Об этом пишет «Коммерсантъ» со ссылкой на компанию.
10 мая DeviceLock проинформировала «Слетать.ру» об уязвимости, доступ к базе был закрыт в тот же день. Успел ли кто-то из посторонних воспользоваться базой, не сообщается.
По данным DeviceLock, база «Слетать.ру» содержала логины и пароли нескольких сотен подключенных к системе турагентств. Они позволяли войти в личный кабинет агентства и получить доступ к паспортным данным клиентов, информации об их поездках, адресам клиентских e-mail и другим сведениям. Вся информация была загружена с марта 2018 года по май 2019 года.
Опрошенные «Коммерсантом» эксперты по кибербезопасности считают, что информация о заказанных турах может использоваться злоумышленниками для фишинговых атак или таргетированных рекламных рассылок. Кроме того, злоумышленники могут попросить клиентов провести дополнительную оплату, например, включив в тур новые услуги.
«Слетать.ру» запущен в 2010 году. По собственным данным компании, сайт сервиса посещают 1,5 млн уникальных посетителей в месяц. В 2018 году сервис помог организовать отдых 300 тысячам туристов. В «Слетать.ру» и Ассоциации туроператоров России не предоставили комментариев о возможной утечке базы данных сервиса.