Информация включает внутренние журналы, полные имена подписчиков, адреса электронной почты и пр.

Одна из крупнейших газет и сетевых СМИ Великобритании The Telegraph не защитила должным образом одну из своих баз данных, в результате чего было раскрыто 10 ТБ данных пользователей.

Информация включает внутренние журналы, полные имена подписчиков, адреса электронной почты, информацию об устройстве, URL-запросы, IP-адреса, токены аутентификации и уникальные идентификаторы читателей.

Незащищенную базу данных обнаружил 14 сентября 2021 года исследователь в области кибербезопасности Боб Дьяченко. По словам эксперта, он проанализировал только небольшую часть данных и не загрузил весь набор записей, поэтому неизвестно, сколько людей могла затронуть утечка. Значительная часть записей была зашифрована, но было более 1200 незашифрованных контактов, включая зарегистрировавшихся подписчиков The Telegraph и подписчиков Apple News. Эксперт немедленно связался с газетой и сообщил о своих находках, но на исправление ситуации потребовалось два дня.

Утекшие данные могут подвергнуть пользователей риску атак со стороны мошенников и преступников. Злоумышленники могут использовать утекшие URL-запросы для создания истории просмотров пользователей на новостной платформе. Украденные токены доступа могут быть использованы для доступа к контенту, заблокированному без платного доступа.

По словам представителей The Telegraph, в общем доступе оказалось лишь небольшое количество записей — менее 0,1% пользователей (примерно 600 человек). Хотя данные были раскрыты, они не были скомпрометированы.

Источник: securitylab