OlaCabs, по сообщениям, был взломан, что ставит под угрозу данные пользователей и историю кредитных карт [Обновлено]

Популярный онлайн-агрегатор такси OlaCabs, по сообщениям, был взломан. Это открытие пришло с Reddit, где группа хакеров утверждает, что обладает структурой базы данных компании-агрегатора такси, которая, как они утверждают, состоит из конфиденциальной информации, такой как детали транзакций по кредитным картам, информация о пользователях и неиспользованные коды ваучеров.

Предполагаемые хакеры, которые называют себя “TeamUnknown” на Reddit, опубликовали то, что, по их словам, является скриншотами внутренней структуры базы данных компании. Команда также указывает на то, что серверы OlaCabs были очень слабо настроены, что облегчило им получение конфиденциальной информации, такой как история транзакций по кредитным картам клиентов и неиспользованные ваучеры из базы данных.

“Их дизайн приложения очень плох, а их сервер разработки слабо настроен. Взлом был немного сложным и включал множество шагов, чтобы добраться до базы данных. Как только мы добрались до базы данных, это было как выиграть в лотерею. Она содержала все данные пользователей вместе с историей транзакций по кредитным картам и неиспользованными ваучерами,” - пишет команда. “Коды ваучеров даже еще не вышли. Очевидно, что мы не собираемся использовать данные кредитных карт и коды ваучеров.”

Мы связались с компанией для комментариев, но пока Ola, похоже, не знает о ситуации. Она еще не ответила на наше электронное письмо, а один из ее представителей отключил звонок после того, как узнал о взломе. Если взлом действительно имел место, это будет второе крупное нарушение безопасности в последнее время. Две недели назад популярный музыкальный стриминговый сервис Gaana.com также столкнулся с нарушением безопасности.

Это не первый случай, когда сервис OlaCabs подвергается критике за плохую безопасность. Ранее в этом году два хакера сообщили о уязвимости в приложении OlaCabs. Указывая на слабый дизайн базы данных и слабую безопасность в приложении, они разработали способ пополнения цифровых кошельков бесплатно. TeamUnknown, к счастью, отмечает, что не намерен злоупотреблять данными.

Обновление: OlaCabs наконец выпустила заявление, категорически отвергающее обвинения:

Не было никаких нарушений безопасности, касающихся данных пользователей. Предполагаемый взлом, похоже, был выполнен в тестовой среде, когда она была открыта для одного из наших тестовых запусков. Тестовая среда находится в совершенно другой сети по сравнению с нашей производственной средой и содержит только фиктивные пользовательские значения, используемые исключительно для внутренних тестов. Мы подтверждаем, что хакеры не пытались связаться с нами по этому поводу. Безопасность и конфиденциальность данных клиентов имеют для нас первостепенное значение в Ola.

Если только ребята из TeamUnknown не предоставят больше доказательств, это можно назвать обманом или, скорее, ложным заявлением.