Крупнейший в США продавец книг Barnes & Noble скрывал взлом и утечку данных пользователей
В минувшую субботу 10 октября была взломана сетевая защита крупнейшего в США продавца бумажных и электронных книг компании Barnes & Noble. Частично работа онлайн служб магазина начала восстанавливаться со среды. Всё это время в Barnes & Noble скрывали, что облако и службы компании взломаны, и заверяли, что данные пользователей в полной безопасности. Боязнь уронить репутацию оказалась важнее личных данных клиентов. Интересно, это сойдёт им с рук?
В воскресенье пользователи сервисов Barnes & Noble и покупатели начали отмечать, что не могут загрузить на свои устройства (книги Nook, смартфоны под управлением Android, и компьютеры под управлением Windows) приобретённые цифровые копии книг. Если книга была куплена раньше или сейчас, но пока оставалась не загруженной, попытка скачать её выдавала ошибку. В других случаях доступ к сервисам и вовсе отсутствовал или информация выводилась не полной или ошибочной, например, показывались пустые обложки книг. Было ясно, с Barnes & Noble что что-то не так.
Дня через три после возникновения проблем Barnes & Noble уведомила, в частности наших коллег с The Register, что у неё «проблема с сетью, и сейчас идёт процесс восстановления резервных копий сервера». Только в среду компания призналась, что подверглась хакерской атаке, и часть незашифрованных пользовательских данных клиентов была «возможно» похищена.
Судя по всему, речь идёт о зловреде-вымогателе, раз сотрудникам компании пришлось восстанавливать данные из резервных копий. В то же время в Barnes & Noble утверждают, что данные о кредитных картах и платёжные реквизиты клиентов не были похищены, поскольку зашифрованы и доступ к ним осуществляется только с токенами. Утечке могли подвергнуться только адреса электронной почты клиентов, адреса доставки и платёжные адреса (как правило, это адреса проживания). Также утекли данные о покупках пользователей — книгах и гаджетах.
Интересно, что ранее компания Barnes & Noble была предупреждена специалистами по безопасности из компании Bad Packets, что множество её серверов Pulse VPN содержат уязвимость CVE-2019-11510. Это популярная среди вымогателей уязвимость, поскольку даёт возможность получать учетные данные, хранящиеся на VPN-устройстве. Судя по всему, предупреждение было проигнорировано. Результат перед нами.