В сеть утекли данные клиентов JD.com
Промоакция интернет-магазина обернулась утечкой данных 5000 клиентов
Двадцать третьего октября китайский интернет-магазин JD.com, торгующий смартфонами и бытовой электроникой, анонсировал на своей российской странице JD.ru промоакцию. Если новый пользователь при регистрации приводил на ресурс еще одного клиента, они оба получали купон на $10. Купон они могли потратить на покупку товаров в интернет-магазине. Уже зарегистрированные пользователи получали от JD.ru за привод нового клиента по $5.
Однако вскоре акция прервалась: на официальной странице магазина в социальной сети «В контакте» его клиенты стали сообщать, что перестали получать купоны при регистрации. А через несколько часов пользователь IT-ресурса geektimes.ru Юрий Юрьев сообщил на этом сайте о сбое в системе безопасности JD.com, из-за которого любой человек мог получить доступ к данным о чужих заказах. В своем сообщении на geektimes.ru Юрьев добавил, что в сети уже выложена база российских покупателей JD.com.
В публичные источники попали данные лишь 3000–5000 человек, однако они были оперативно удалены из публичного доступа, сообщила «Ведомостям» представитель JD.ru. Данные содержали фамилию, имя и отчество, телефон и неполные адреса доставки, другой информации в базе не было, уточнила она. Утекли данные только участников акции, пояснила представитель китайской компании. По ее словам, сейчас инцидент исчерпан и начиная с 24 октября сайт работает в штатном режиме.
Юрьев сообщил «Ведомостям», что его персональные данные оказались в опубликованных базах. Он добавил, что попросил Роскомнадзор выяснить, не нарушил ли JD.com требования закона о персональных данных. По словам представителя ведомства Вадима Ампелонского, Роскомнадзор не получал обращений по ситуации c JD.com.
В своем официальном сообщении JD.ru объясняет сбой одновременно популярностью купонной акции и атакой неизвестных хакеров. Представитель JD.ru затруднилась сообщить количество участвовавших в акции и природу хакерской атаки, сославшись на необходимость запрашивать информацию в штаб-квартире компании в Пекине.
Каждому заказу присваивается определенный номер, который должен генерироваться случайным образом, объясняет схему работы интернет-магазинов замдиректора компании Infowatch (разрабатывает программное обеспечение для борьбы с утечками информации) Рустэм Хайретдинов. Тот факт, что эти номера случайны и не известны никому извне, и должен гарантировать конфиденциальность клиентских данных, продолжает он. Однако адреса на JD.ru в действительности не были случайными и их оказалось нетрудно подобрать, объясняет Хайретдинов. По его словам, даже подстановка номеров заказа, сгенерированных путем простого перебора, может быть достаточно эффективной, особенно если перебирать их не вручную, а с помощью несложной программы. Авторизация же для просмотра страницы заказа не требовалась (что характерно для многих сайтов электронной коммерции и даже банков), отмечает Хайретдинов.
Дело в том, что разработчики систем электронной коммерции постоянно балансируют между удобством пользователя и безопасностью транзакций, рассуждает Хайретдинов. По его словам, излишне осложненная безопасностью система может оттолкнуть клиентов, потому их стараются не перегружать дополнительными действиями.
