PickPoint опровергла утечку данных пользователей сервиса
По информации «РБК», компания PickPoint опровергла факт утечки данных пользователей сервиса. На теневых форумах ранее были опубликованы несколько объявлений о продаже базы данных 4 млн. пользователей этой системы постаматов, включая их ФИО, дату рождения, номера телефонов, адреса электронной почты, хешированные (MD5) пароли.
Одним из первых о появлении в продаже базы данных пользователей PickPoint сообщил Telegram-канал «Утечки информации». Продавцы на теневых форумах также предлагают купить у них за $1000 SQLi-уязвимость к якобы информационным системам сервиса доставки PickPoint.
PickPoint пояснила, что у сервиса нет отдельной базы данных пользователей, а интернет-магазины не передают ей персональную информацию получателей. В компании отметили, что такими публикациями злоумышленники пытаются заработать на фоне ситуации с инцидентом безопасности в сервисе, и пытаются продать несуществующую информацию. По поводу продаваемой SQLi-уязвимости в компании ситуацию не уточнили.
В начале декабря 2020 года постаматная сеть PickPoint подверглась хакерской атаке. Почти половина собственных постаматов компании начали хаотично открывать дверцы. В основном этот процесс происходил в произвольном порядке. Сбой затронул 2732 постамата из 5100, находящихся в различных городах России. В этот момент в них находилось около 49 тыс. заказов на общую стоимость 150 млн рублей.
PickPoint рассказала, что на оперативную поддержку пользователей и восстановление сети постаматов после атаки компания потратила 10 млн рублей. По итогам инвентаризации и проверки состояния пострадавших постаматов PickPoint выяснила, что из них было украдено неизвестными лицами около 1 тыс. посылок.