Онлайн-кинотеатр Start.ru подтвердил факт утечки данных пользователей

2a-ghlpawheqroy5jzutgocj2zu.jpeg

28 августа 2022 года онлайн-кинотеатр Start.ru подтвердил факт утечки данных миллионов пользователей платформы.
В сервисе считают эту проблему не критичной. По поводу компенсации пострадавшим пользователям компания ничего не объявила.

«Действительно, мы столкнулись с очень неприятной ситуацией. Мы уже исправили уязвимость и доступ к нашим данным закрыт. Бережное обращение с персональными данными пользователей очень важно для нас.

Информация в базе не является полностью актуальной, данные в ней за 2021 год.

База не представляет собой большого интереса для злоумышленников, самое существенное, что там есть — email или телефон, с которого пользователь мог подключаться.

В базе нет паролей в открытом виде, истории просмотров и главное — нет и не может быть данных банковских карт и другой финансовой информации.

Пароль менять не обязательно, но мы рекомендуем всем пользователям регулярно это делать и придумывать уникальные для каждого сервиса.

Извините нас, пожалуйста. Мы постоянно работаем над улучшением защиты базы пользователей»,

— пояснили в команде Start.ru.

Ранее Telegram-канала «Утечки информации» сообщил об обнаружении в открытом доступе базы данных пользователей онлайн-кинотеатра Start.ru в виде дампа в формате JSON, вероятно, выгруженного из MongoDB. Размер утечки составил 72 ГБ, там есть также много тестовых записей.

Согласно анализу инцидента от экспертов сервиса поиска утечек и мониторинга даркнета DLBI, в текущей утечке находятся 43 937 127 строк, содержащих такие данные:

  • имя и фамилия на русском или английском языках);
  • адрес элекронной почты (7 455 926 уникальных адресов);
  • хешированный (частично md5crypt) пароль;
  • IP-адрес пользователя;
  • страна регистрации (24,6 млн строк клиентов из России; 2,3 млн из Казахстана; 2,1 млн из Китая; 1,7 млн из Украины);
  • дата начала/окончания подписки, последнего входа и другая служебная информация (с 19 сентября 2017 года по 22 сентября 2021 года.


wbttlcvi8ik8qvy-qh7xptnh11s.jpeg

Эксперты DLBI выборочно проверили случайные записи из дампа через функцию восстановления пароля на сайте start.ru. Все логины (электронная почта) из этих записей оказались действительными.

0sjpzdz5dff0hnjnywi0jmaiwli.jpeg

В случае проведения проверки по этому инциденту со стороны Роскомнадзора и подтверждения факта утечки, Start.ru за несоблюдение сохранности персональных данных грозит штраф до 100 тыс. рублей, согласно ст. 13.11 КоАП РФ. Представитель РКН ранее советовал в таких ситуациях всем пострадавшим клиентам требовать от компаний за компрометацию ПД соразмерной компенсации как в досудебном, так и в судебном порядке.

Видеосервис Start запущен в 2017 году компанией Yellow, Black and White, которой владеет «МегаФон». В мае этого года «МегаФон» объединил сервисы Start и «МегаФон ТВ».

© Habrahabr.ru