Данные пользователей кикшерингового сервиса Whoosh выставили на продажу

В даркнете злоумышленники выставили на продажу данные пользователей российского кикшерингового сервиса Whoosh. Хакеры оценили дамп в 4200 долларов.

Напомню, что об утечке данных стало известно еще несколько недель назад, и тогда сообщалось, что причиной утечки стало нарушение правил безопасности одним из сотрудников компании, с которым Whoosh уже прекратила трудовые отношения. Через этого сотрудника злоумышленники смогли получить доступ «к части первичных данных нескольких миллионов клиентов», а именно:

• никнеймам пользователей;
• телефонам;
• адрес электронной почты;
• замаскированным (неполным) номерам банковских карт.

При этом представители сервиса заявили, что им удалость «обнаружить и пресечь утечку части данных нескольких миллионов пользователей». В компании подчеркивали, что «утечка не затронула чувствительные данные пользователей, такие как доступы к аккаунтам, информацию о транзакциях или детали поездок», а также уверяли, что процедуры безопасности Whoosh исключают возможность получения доступа третьих лиц к полным платежным данным банковских карт пользователей.

Как теперь сообщают Telegram-каналы Data1eaks и Data Leakage & Breach Intelligence (DLBI), данные пользователей кикшерингового сервиса были выставлены на продажу на хакерском форуме в даркнете. Согласно сообщению продавца, дамп содержит данные о 7,2 миллионах клиентов сервиса, а также файл с промокодами.

Аналитики DLBI изучили дамп, и сообщают, что в нем содержатся:

• имена;
• телефоны (7,23 млн уникальных номеров);
• адрес электронной почты (6,89 млн уникальных адресов);
• частичные номера банковских карт (6 первых и 4 последних цифры), имена/фамилия латиницей, типы карты (VISA, MASTERCARD и так далее);
• дата создания записи и последней аутентификации (с 23.01.2019 по 19.09.2022);
• GPS-координаты.

Также исследователи рассказали журналистам, что хакеры несколько месяцев бесплатно катались на самокатах сервиса, используя промокоды Whoosh.

Представители сервиса еще раз подтвердили факт атаки, но подчеркнули, что пострадали только «нечувствительные данные»:

«В сети пишут о данных, о которых мы заявили ранее: нечувствительные данные части наших пользователей. Утечка не затронула чувствительные данные пользователей, такие как доступы к аккаунтам, информацию о транзакциях или детали поездок. Наши процедуры безопасности также исключают возможность получения доступа третьих лиц к полным платежным данным банковских карт пользователей», — сообщили в компании.​

14.11.2022
https://xakep.ru/2022/11/14/whoosh-leak-2/​