Buy us a donut
26 იანვარს რუსულმა კომპანია SmartLine Inc-მა Telegram-ის საკუთარ არხზე Vendoo.ge-ს უსაფრთხოების ხარვეზთან დაკავშირებით ინფორმაცია გამოაქვეყნა.
როგორც შეტყობინებიდან ირკვევა, Vendoo.ge-ს Elasticsearch-სერვერი დაუცველი აღმოჩნდა და მასში მომხმარებლების პირადი მონაცემები ორი ინდექსით იძებნებოდა:
- შეკვეთები — 37, 882 ჩანაწერი (აღმოჩენის მომენტისთვის 36, 274)
- მომხმარებლები — 175, 534 ჩანაწერი (აღმოჩენის მომენტისთვის 173,996)
აღნიშნული ჩანაწერებიდან მომხმარებლის შესახებ შემდეგი მონაცემების მიღება იყო შესაძლებელი:
- სახელი/გვარი
- ტელეფონის ნომერი
- ელ.ფოსტის მისამართი
- საფოსტო ინდექსი და მიწოდების მისამართი
- პირადი ან/და სხვა საიდენტიფიკაციო ნომერი
- რეგისტრაციისა და შეკვეთის თარიღ
- შეკვეთის ღირებულება
- შეკვეთის აღწერა (რაოდენობა, წონა, ზომები, პროდუქტის სახელი)
- სტატუსი (გაუქმებულია, მიწოდებულია და ა.შ)
კომპანია Vendoo-მ დროული შეტყობინებისთვის კვლევის ავტორებს მადლობა გადაუხადა და აღნიშნა, რომ მოცემული მომენტისთვის საკითხი ამოწურულია.
შეძლო და მოასწრო თუ არა ვინმემ აღნიშნული მონაცემების ასლის შექმნა— უცნობია.
14:14 [ინფორმაცია განახლდა]
კომპანია Vendoo-მ აღნიშნულ ფაქტთან დაკავშრებით ოფიციალური განცხადება გაავრცელა, რომლის ტექსტსაც უცვლელად გთავაზობთ:
„გამარჯობა, მოგახსენებთ რომ ინფორმაციული უსაფრთხოების საერთაშორისო კვლევითმა ჯგუფმა DeviceLock-მა, კონკრეტულად კი ამ ჯგუფის წევრმა კომპანია SmartLine Inc-მა, რომელიც აღმოსავლეთ ევროპის ქვეყნებზე მუშაობს, საკუთარ Telegram არხში გაავრცელა ინფორმაცია ვენდუს ანალიტიკის სატესტო სერვერზე აღმოჩენილ სისუსტესთან დაკავშირებით.
DeviceLock საერთაშორისო კვლევითი კომპანიაა, რომელიც სხვადასხვა საიტებზე ეძებს მსგავს ხარვეზებს, შემდეგ კი ამ კომპანიებთან ერთად ახდენს აღმოჩენილი პრობლემების ერთობლივი ძალებით აღმოფხვრას.
ვენდუ სრული პასუხისმგებლობით აცხადებს, რომ მიუხედავად იმისა რომ ერთ-ერთ სატესტო სერვერზე აღმოჩნდა სისუსტე, კლიენტთა ინფორმაციის კონფიდენციალობა არ დარღვეულა.
ამ მომენტისთვის ყველანაირი ტექნიკური ხარვეზი გამოსწორებულია და ვენდუ და კომპანია DeviceLock-ი გეგმავენ გრძელვადიან თანამშრომლობას.
მოგახსენებთ რომ ინფორმაციული უსაფრთხოების საერთაშორისო კვლევითმა ჯგუფმა DeviceLock-მა შეგვატყობინა ვენდუს სისტემაში დაუცველი ინფორმაციის არსებობის შესახებ. აღნიშნული ხარვეზი მყისიერად აღმოიფხვრა. “
Techinsider-ი Vendoo-ს ინფორმაციული უსაფრთხოების საკითხებზე უფრო ვრცელ სტატიას მოგვიანებით შემოგთავაზებთ.
