В компании обещают найти и наказать заказчиков
Сразу же после публикаций о том, что персональные данные пользователей «Слетать.ру» попали в открытый доступ, руководство онлайн-сервиса выступило с опровержением. В компании считают это происками конкурентов и информационным вбросом. Каковы аргументы?
Сразу два серьезных федеральных издания – сначала «Коммерсантъ», потом «Медуза» – опубликовали информацию об утечке логинов и паролей подключенной к системе «Слетать.ру» сотни турагентств. Якобы с помощью них можно получить доступ к подробной информации обо всех поездках туристов, их паспортные данные и почти 12 тыс. адресов электронной почты. Любопытно, что информация подается безапелляционно: СМИ ссылаются на единственный источник – компанию DeviceLock (занимается защитой от утечек данных) и при этом не приводят каких-либо доказательств или комментариев второй стороны.
При этом в самой «Слетать.ру» от них не отказываются. В компании предполагают, что DeviceLock получили доступ к истории запросов в поисковой системе. Однако в указанной базе нет паспортных данных туристов, логинов и паролей турагентств, платежных данных, адресов e-mail и т. д.
«Нам непонятно, кто фальсифицировал доступ к безобидной информации о поисковых запросах таким образом, что у рынка сложилось ощущение утечки данных, имеющих ценность для злоумышленников. Данная информация, на наш взгляд, является закономерной реакцией конкурентов на успехи «Слетать.ру» на туристическом рынке. Мы проведем расследование по поводу ее появления в СМИ, установим источник и добьемся наказания для заказчиков материала», – прокомментировал ситуацию редакции HotLine.Travel руководитель «Слетать.ру» Андрей Вершинин.
В DeviceLock настаивают: утечка была. Основатель компании и технический директор Ашот Оганесян разместил на своей странице в Фейсбуке скриншот аккаунта розничного дилера «Слетать.ру», на котором видны отчества семи его клиентов и замазаны графы, где должны быть указаны их имена и фамилии, номера телефонов, паспортные данные и другие сведения.
«Я видел этот пост. Согласитесь, если бы я хотел показать массовую утечку данных, то в качестве доказательства незащищенности нашей системы представил скриншот, на котором видны тысячи пользователей», – парирует директор управляющей компании «Слетать.ру» Евгений Данилович.
Он рассказывает, как развивались события: вчера онлайн-сервис получил запрос от DeviceLock о наличии ошибки. Через 17 минут она была устранена. «Мы в свою очередь написали ответное письмо с благодарностью, а сегодня появилась публикация в «Коммерсанте». Хороший пиар-ход», – отмечает Евгений Данилович. И еще раз утверждает, что те данные, которые попали в DeviceLock, не являются персональными и никак не могли дискредитировать клиентов.
Обсуждая произошедшее в закрытой группе «Трэвел Президиум», большинство экспертов высказались в пользу версии о том, что скандал раздут искусственно: «Пароли в открытом виде не хранятся – они захешированы. Возможности напомнить их нет – только сменить, а из хеша вытащить оригинал невозможно. Кто-то решил грязно поиграть».
«Даже у таких монстров, как Фейсбук, регулярно случаются утечки. Уверен, что это болезни роста – компания активно развивается, появляются новые люди, а управленческая структура запаздывает», – считает директор по развитию Moneywall.io Леонид Пустов.
Как отмечают юристы, в российском законодательстве не прописано понятие утечки данных. Ответственность может наступить за нарушение требований безопасности, однако административный штраф несерьезен. Наиболее ощутимый ущерб для известных брендов – репутационный.
