Конопляный магазин Онтарио сообщает о значительной утечке информации своих клиентов

Помимо уже всех вскрывшихся недочётов, у располагающегося в сети интернет конопляного магазина провинции Онтарио появилась ещё одна существенная проблема: по последним данным от администрации заведения, около 4,500 имён и адресов пользователей магазина были скомпрометированы в начале ноября, в результате доступа неавторизованного человека к базе данных доставок магазина на Почте Канады. Несмотря на то, что почта обнаружила данный факт ещё неделю назад, управление организации смогло проинформировать администрацию магазина и его клиентов о произошедшем только 7 ноября, спустя целых 6 дней после обнаружения утечки информации. Собственно, теперь работники магазина, совместно с чиновниками почты пытаются понять, как неизвестный злоумышленник смог получить доступ к конфиденциальной информации и установить его личность.

Утечка информации с адресами клиентов:

Напомним, что 17 октября, Канада стала второй страной мира, после Уругвая, полностью легализовавшей своим гражданам доступ к легальной, рекреационной конопле. Несмотря на принятие законов о легализации на федеральном уровне, каждая отдельная провинция и территория Канады имеют своё собственное законодательство в отношении производства, распространения и потребления марихуаны. Для примера, в Онтарио действует лишь только один, управляемый правительственной компанией конопляный магазин, размещающийся в сети интернет, поскольку розничные, частные магазины будут сертифицированы и открыты лишь к началу следующего апреля. По этой причине, данное заведение является единственным легальным каналом приобретения конопли для наиболее густонаселённой провинции страны. За доставку продукта, приобретённого через сайт организации, отвечает специальная курьерская служба при государственной почте Канады.

Как оказалось, в системе отслеживания посылок почты, существовала заметная уязвимость, допустившая взлом базы данных организации, в том числе и сервера, на котором хранилась информация о личностях и адресах покупателей легальной конопли. Как сообщает газета Toronto Sun, ещё 1 ноября, сотрудники почты обнаружили взлом этой базы данных, отметив утечку, по крайней мере, 4,500 адресов потребителей конопли. Лишь 7 ноября, Патрику Форду, главе конопляного магазина Онтарио, стало известно о том, что личная информация клиентов заведения была скомпрометирована. «К сожалению, мы вынуждены признать, что часть личных данных наших клиентов была украдена с серверов почтовой службы Канады, ввиду уязвимости системы защиты компьютерной сети», отмечает мистер Форд в ходе пресс-конференции. «На данный момент мы делаем всё возможное, чтобы установить личность злоумышленников и закрыть подобную брешь в нашей охране вместе с представителями почты и федеральной полиции».

Кому могла понадобиться информация о клиентах магазина?

Расследование почтовой службы о взломе сервера пришло к заключению, что за преступлением может стоять всего один человек. Вероятно, что злоумышленник взломал саму систему отслеживания почтовых доставок, с помощью встроенной уязвимости, выделив заказы конопли, исходя из внесения данных с уникальными номерами подобных доставок в отдельный реестр на сервере, отслеживающим передвижение посылок по стране. В итоге, предполагается, что помимо непосредственной информации об адресах потребителей конопли, хакер также мог получить доступ к их личной информации.

Несмотря на то, что с момента инцидента прошло больше недели, Почта Канады оповестила администрацию пострадавшего магазина, а также его отдельных клиентов, данные которых и были украдены, лишь только к 7 числу. В то же время, представители почты уверили общественность, что добычей взломщиков стала лишь информация с адресами и личными данными клиентов. Информация об использовавшихся методах оплаты с банковскими данными хранилась на отдельном сервере, на котором не было обнаружено признаков взлома.

Несмотря на безопасность своих финансовых данных, многие клиенты магазина, вполне очевидно, оказались недовольны столь безалаберным подходом почты к охране их личных данных. В частности, многие клиенты беспокоятся, что информация о приобретении рекреационной конопли может в будущем использоваться для шантажа, учитывая тот факт, что некоторые частные компании Канады всё ещё запрещают своим сотрудникам употреблять теперь уже легальную коноплю. Также некоторые эксперты предполагают, что подобная информация может быть использована злоумышленниками для выявления и потенциального ограбления конопляных курьеров почты.

В любом случае, представители почты обязались кардинальным образом переработать свою систему кибербезопасности, чтобы избежать повторения подобных инцидентов. На данный момент, личные данные клиентов, а также уникальные номера посылок с коноплёй будут храниться на новом сервере, непосредственно управляемым администрацией конопляного магазина. Помимо почты и представителей заведения, поиском злоумышленников занимается отделение по борьбе с кражей персональных данных при региональной полиции Онтарио. Участники следствия обещают сообщить новую информацию по данному делу при обнаружении новых наводок на личность хакера.

Источник: hightimes.com