ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

В сеть утекли данные клиентов JD.com

Утечка данных JD.com

23 октября китайский интернет-магазин JD.com, торгующий смартфонами и бытовой электроникой, анонсировал на своей российской странице JD.ru промоакцию. Если новый пользователь при регистрации приводил на ресурс еще одного клиента, они оба получали купон на $10. Купон они могли потратить на покупку товаров в интернет-магазине. Уже зарегистрированные пользователи получали от JD.ru за привод нового клиента по $5.

Однако вскоре акция прервалась: на официальной странице магазина в социальной сети "В контакте" его клиенты стали сообщать, что перестали получать купоны при регистрации. А через несколько часов пользователь IT-ресурса geektimes.ru Юрий Юрьев сообщил на этом сайте о сбое в системе безопасности JD.com, из-за которого любой человек мог получить доступ к данным о чужих заказах. В своем сообщении на geektimes.ru Юрьев добавил, что в сети уже выложена база российских покупателей JD.com.

В публичные источники попали данные лишь 3 000-5 000 человек, однако они были оперативно удалены из публичного доступа, сообщила представитель JD.ru. Данные содержали фамилию, имя и отчество, телефон и неполные адреса доставки, другой информации в базе не было, уточнила она. Утекли данные только участников акции, пояснила представитель китайской компании. По ее словам, сейчас инцидент исчерпан и начиная с 24 октября сайт работает в штатном режиме.

Юрьев сообщил, что его персональные данные оказались в опубликованных базах. Он добавил, что попросил Роскомнадзор выяснить, не нарушил ли JD.com требования закона о персональных данных. По словам представителя ведомства Вадима Ампелонского, Роскомнадзор не получал обращений по ситуации c JD.com.

В своем официальном сообщении JD.ru объясняет сбой одновременно популярностью купонной акции и атакой неизвестных хакеров. Представитель JD.ru затруднилась сообщить количество участвовавших в акции и природу хакерской атаки, сославшись на необходимость запрашивать информацию в штаб-квартире компании в Пекине.

Каждому заказу присваивается определенный номер, который должен генерироваться случайным образом, объясняет схему работы интернет-магазинов замдиректора компании Infowatch (разрабатывает программное обеспечение для борьбы с утечками информации) Рустэм Хайретдинов. Тот факт, что эти номера случайны и не известны никому извне, и должен гарантировать конфиденциальность клиентских данных, продолжает он. Однако адреса на JD.ru в действительности не были случайными и их оказалось нетрудно подобрать, объясняет Хайретдинов. По его словам, даже подстановка номеров заказа, сгенерированных путем простого перебора, может быть достаточно эффективной, особенно если перебирать их не вручную, а с помощью несложной программы. Авторизация же для просмотра страницы заказа не требовалась (что характерно для многих сайтов электронной коммерции и даже банков), отмечает Хайретдинов.

Дело в том, что разработчики систем электронной коммерции постоянно балансируют между удобством пользователя и безопасностью транзакций, рассуждает Хайретдинов. По его словам, излишне осложненная безопасностью система может оттолкнуть клиентов, потому их стараются не перегружать дополнительными действиями.

Китайский интернет-ритейлер начал российские продажи 18 июня, запустив российскую версию платформы продаж смартфонов и бытовой электроники. Партнером JD в России стали российский интернет-ритейлер "Юлмарт", Rambler, "В контакте", "Яндекс.Директ" и "Яндекс.Деньги", а также Qiwi.


Ведомости (27.10.2015 в 09:32) | вверх страницы | к списку новостей

Общие вопросы:

Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2015 ООО "Ди Эй Кей продакшн"