Уязвимость Reverb привела к утечке данных 5,6 млн пользователей маркетплейса

Компания заявила, что уже устранила проблему, но рекомендовала сменить пароль от учётной записи.

Утечка данных пользователей на Reverb

Администрация Reverb сообщила об утечке пользовательских данных. Как сообщили представители одного из крупнейших музыкальных маркетплейсов, утечка повлекла раскрытие контактных данных пользователей — в открытый доступ попали данные об имени и фамилии, адресе проживания, электронной почте и номере мобильного телефона.

Обнаружение угрозы безопасности произошло спустя некоторое время после утечки данных. Представители Reverb связались с пользователями платформы в 23:40 по Московскому времени и сообщили о необходимости смены пароля от учётной записи на платформе. По словам администрации ресурса, компания уже нашла и устранила причину проблемы, а также начала внутреннее расследование.

Несмотря на то, что пароли от учётных записей и платёжная информация не были раскрыты, а доказательств неправомерного использования пока что нет, Reverb посоветовал всем пользователям принудительно сменить пароли от учётной записи. По информации ресурса Bleeping Computer, проблема затронула 5,6 млн пользователей маркетплейса.

О наличии уязвимости платформу предупредил независимый исследователь угроз безопасности Боб Дьяченко. По данным мужчины, источником проблемы служил незащищённый сервер поисковой системы ElasticSearch, алгоритмы которой использует Reverb.

В опубликованном отчёте Дьяченко сообщил, что среди пострадавших продавцов, чьи контактные данные оказались раскрыты, находятся ряд известных музыкантов. Так, например, в сеть утекли данные Билла Уорда из Black Sabbath, Джимми Чемберлена из Smashing Pumpkins и Алессандро Кортини из Nine Inch Nails.

Утечка данных вызвала опасения среди специалистов по кибербезопасности, которые высказали обеспокоенность по поводу «слитых» данных пользователей. Эксперты в области безопасности отметили, что пользователи Reverb могут стать целями для фишинговых атак, а также посетовали на то, что инциденты подобные произошедшему стали слишком распространёнными.

«Раскрытие конфиденциальных данных не требует сложных манипуляций — достаточно одной небольшой и незаметной уязвимости. Учитывая большое распространение облачных хранилищ данных, на которые полагаются крупные ресурсы, одна небольшая недоработка делает пользовательские данные общедоступными», — прокомментировал утечку Пол Норрис, старший системный инженер компании по защите данных Tripwire. По словам специалиста, источником утечки может стать любой компонент системы: например, неправильно настроенная база данных во внутренней сети компании.

Менеджер по продукту comforte AG Тревор Морган отметил, что инциденты с серверами ElasticSearch являются «тревожным сигналом» для безопасности данных миллионов пользователей. «Компании должны следить не только за правильным развёртыванием и обслуживанием используемых продуктов, но и за обеспечением безопасности своих облачных ресурсов. Данные нужно защищать в состоянии покоя, при передаче и при непосредственном использовании, и они должны оставаться в безопасности даже в тех ситуациях, когда часть системы оказалась скомпрометирована», — заявил специалист.

Комментируя утечку данных, Reverb заявила, что «принимает необходимые меры для предотвращения подобных ситуаций в будущем». Вместе с тем специалисты компании настоятельно рекомендовали всем существующим пользователям поменять пароль от аккаунта на странице настроек учётной записи.

 

Exit mobile version