На данный момент уязвимость устранена, но успели ли ей воспользоваться, пока не ясно.
Специалисты DeviceLock, компании, специализирующейся на кибербезопасности, заметили в открытом доступе базу данных туристического сервиса «Слетать.ру». 10 мая DeviceLock проинформировала об этом сервис, и доступ к базе был закрыт.
База «Слетать.ру» содержала логины и пароли нескольких сотен подключенных к системе турагентств. Они давали доступ в личный кабинет агентства: к паспортным данным клиентов, адресам e-mail, информации об их поездках и другим сведениям. Вся информация была загружена с марта 2018 года по май 2019 года.
Информация о заказанных турах может использоваться злоумышленниками для фишинговых атак или таргетированных рекламных рассылок. Также они могут попросить клиентов провести дополнительную оплату за якобы добавленные в тур услуги.
«Слетать.ру» посещают 1,5 млн уникальных посетителей в месяц. В 2018 году сервис помог организовать отдых 300 тысячам туристов. Сервис и Ассоциация туроператоров России не предоставили комментариев о возможной утечке базы данных сервиса.