Статья опубликована в № 3947 от 27.10.2015 под заголовком: Дырявая акция

В сеть утекли данные клиентов JD.com

Промоакция интернет-магазина обернулась утечкой данных 5000 клиентов

Двадцать третьего октября китайский интернет-магазин JD.com, торгующий смартфонами и бытовой электроникой, анонсировал на своей российской странице JD.ru промоакцию. Если новый пользователь при регистрации приводил на ресурс еще одного клиента, они оба получали купон на $10. Купон они могли потратить на покупку товаров в интернет-магазине. Уже зарегистрированные пользователи получали от JD.ru за привод нового клиента по $5.

Однако вскоре акция прервалась: на официальной странице магазина в социальной сети «В контакте» его клиенты стали сообщать, что перестали получать купоны при регистрации. А через несколько часов пользователь IT-ресурса geektimes.ru Юрий Юрьев сообщил на этом сайте о сбое в системе безопасности JD.com, из-за которого любой человек мог получить доступ к данным о чужих заказах. В своем сообщении на geektimes.ru Юрьев добавил, что в сети уже выложена база российских покупателей JD.com.

В публичные источники попали данные лишь 3000–5000 человек, однако они были оперативно удалены из публичного доступа, сообщила «Ведомостям» представитель JD.ru. Данные содержали фамилию, имя и отчество, телефон и неполные адреса доставки, другой информации в базе не было, уточнила она. Утекли данные только участников акции, пояснила представитель китайской компании. По ее словам, сейчас инцидент исчерпан и начиная с 24 октября сайт работает в штатном режиме.

Юрьев сообщил «Ведомостям», что его персональные данные оказались в опубликованных базах. Он добавил, что попросил Роскомнадзор выяснить, не нарушил ли JD.com требования закона о персональных данных. По словам представителя ведомства Вадима Ампелонского, Роскомнадзор не получал обращений по ситуации c JD.com.

В своем официальном сообщении JD.ru объясняет сбой одновременно популярностью купонной акции и атакой неизвестных хакеров. Представитель JD.ru затруднилась сообщить количество участвовавших в акции и природу хакерской атаки, сославшись на необходимость запрашивать информацию в штаб-квартире компании в Пекине.

Каждому заказу присваивается определенный номер, который должен генерироваться случайным образом, объясняет схему работы интернет-магазинов замдиректора компании Infowatch (разрабатывает программное обеспечение для борьбы с утечками информации) Рустэм Хайретдинов. Тот факт, что эти номера случайны и не известны никому извне, и должен гарантировать конфиденциальность клиентских данных, продолжает он. Однако адреса на JD.ru в действительности не были случайными и их оказалось нетрудно подобрать, объясняет Хайретдинов. По его словам, даже подстановка номеров заказа, сгенерированных путем простого перебора, может быть достаточно эффективной, особенно если перебирать их не вручную, а с помощью несложной программы. Авторизация же для просмотра страницы заказа не требовалась (что характерно для многих сайтов электронной коммерции и даже банков), отмечает Хайретдинов.

Дело в том, что разработчики систем электронной коммерции постоянно балансируют между удобством пользователя и безопасностью транзакций, рассуждает Хайретдинов. По его словам, излишне осложненная безопасностью система может оттолкнуть клиентов, потому их стараются не перегружать дополнительными действиями.

Китайский интернет-ритейлер начал российские продажи 18 июня, запустив российскую версию платформы продаж смартфонов и бытовой электроники. Партнером JD в России стали российский интернет-ритейлер «Юлмарт», Rambler, «В контакте», «Яндекс.Директ» и «Яндекс.Деньги», а также Qiwi.

Пока никто не прокомментировал этот материал. Вы можете стать первым и начать дискуссию.
Комментировать