Утечка данных: CRM-провайдер Really Simple Systems потерял 3 млн записей о клиентах.

Провайдер систем управления взаимоотношениями с клиентами (CRM) - Really Simple Systems столкнулся с проблемой безопасности данных, в результате которой более 3 миллионов записей клиентов оказались доступными публике без пароля или аутентификации.

Данная информация была храниться в незащищенной базе данных, которую обнаружил исследователь по кибербезопасности Джеремайя Фаулер из vpnMentor. Фаулер имел доступ только к ограниченному образцу данных, однако этот образец был достаточным, чтобы установить, что утечка затронула документы множества организаций различных отраслей и размеров. Большинство из них являются хорошоизвестными организациями высокого профиля в странах Евросоюза, США, Великобритании и Австралии.

Фаулер отметил, что многие из утечек могут быть классифицированы как "крайне чувствительные", так как они раскрывают персональные данные (PII). Эти данные были доступны публично для любого пользователя с интернет-соединением. Среди утечек находились внутренние коммуникации и счета-фактуры, а также файлы CRM клиентов, содержащие ценную информацию о пользователях: имена, номера телефонов, адреса, электронные идентификаторы и данные о платежах.

Дополнительное расследование показало, что база данных также содержала медицинские записи, договоры на недвижимость, идентификационные документы, кредитные отчеты, заявления на инвалидность, налоговые и юридические документы, а также неразглашение соглашений. Многие из этих документов содержали номера социального страхования и идентификационные номера налогоплательщика.

Более того, в базе данных были обнаружены многочисленные шаблоны внутренних документов, принадлежащих Really Simple Systems, которые содержали данные о выставлении счетов, письмах, счетах-фактурах, сервисных соглашениях и т.д. Один из таких шаблонов относился к образовательной платформе, предлагающей услуги управления школой.

После обнаружения базы данных Фаулер отправил уведомление об ответственной раскрытой информации. По требованию Фаулера папка с информацией об образовательной платформе была удалена из общего доступа в тот же день, в то время как другие папки оставались доступными в течение нескольких дней. Фаулер отправил следующее письмо представителям компании CRM, в ответ на которое компания заявила: "Согласно отчету от 29 августа, наша команда CRM Success понимает, что в ближайшие несколько дней будут внесены дополнительные изменения в настройки кода для дальнейшего решения проблемы. Релевантные директоры компании и ответственные лица по GDPR были уведомлены руководителем по разработке."

Пока не ясно, как долго эта база данных оставалась незащищенной, или была ли она доступна кому-либо до ограничения доступа компании. Really Simple Systems начало расследование и усовершенствовало свои механизмы безопасности для предотвращения подобных инцидентов в будущем. Пострадавшие клиенты были уведомлены о происшествии и попросены следить за своими кредитными отчетами и менять пароли.