Неизвестный похитил данные почти 7 млн клиентов онлайн-биржи кроссовок StockX — от их полных имен до размера обуви. Только в июне StockX привлек инвестиции от основанного Юрием Мильнером фонда DST Global и стал «единорогом»
Это уже второй стартап из портфеля DST Global, который столкнулся с проблемами в хранении данных.
В результате хакерской атаки были похищены данные более 6,8 млн пользователей сайта объявлений о продаже кроссовок StockX, сообщил TechCrunch. Издание написало, что с ним связался некий торговец данными (его имя не называется), который сообщил, что украденные данные выставлены на продажу в даркнете за $300 и уже проданы как минимум одному покупателю.
Собеседник издания предоставил журналистам часть украденной базы с данными 1000 аккаунтов, и те смогли убедиться, что она содержит подлинную информацию. Журналисты связались с пользователями, чьи данные были в базе, и те подтвердили достоверность приведенных в ней сведения — их имена, юзернеймы и размер обуви.
Помимо этого, база содержит адреса электронной почты, зашифрованные пароли, данные об используемой покупателем валюте и типе устройства, с которого он заходил на StockX, описывает TechCrunch. У европейских пользователей также утекли данные об их согласии предоставлять стартапу свою информацию в рамках европейского регулирования GDPR. По этому регулированию о защите персональных данных компаниям за нарушения грозят штрафы в размере до 4% от мирового оборота.
StockX признала утечку данных не сразу. В минувший четверг стартап разослал пользователям письмо о необходимости сменить пароль. Причиной такого требования в письме было названо «обновление системы». Другие детали в сообщении не приводились. Это обеспокоило пользователей, которые в соцсетях высказывали опасения, что их аккаунты были взломаны или что письмо о смене пароля отправили мошенники, пишет TechCrunch. Сооснователь StockX Джош Любер в твиттере 1 августа подтвердил, что компания призвала пользователей сменить пароли, но не ответил на вопросы, почему потребовалась такая мера.
На запрос TechCrunch представитель StockX позднее сообщил, что компания получила информацию «о подозрительной активности» на своем сайте. От дальнейших комментариев он отказался. Через два дня StockX на своем сайте официально подтвердил утечку данных клиентов. Компания подчеркнула, что нет никаких свидетельств того, что была скомпрометирована платежная информация.
We understand many of you have questions regarding our recent data security issue. You can find details on the matter in our blog post. Our investigation is ongoing, and we will be updating the blog when we have additional information to provide. https://t.co/0aUhmCZ7Uv
— StockX (@stockx) August 4, 2019
TechCrunch со ссылкой на торговца данными пишет, что данные клиентов StockX были похищены в мае. В июне стартап привлек очередной раунд инвестиций на $110 млн, который возглавили фонд DST Global, основанный российским миллиардером Юрием Мильнером, а также венчурные фонды General Atlantic и GGV Capital. В ходе раунда StockX был оценен более чем в $1 млрд и стал «единорогом».
StockX — уже второй стартап из портфеля DST Global, который в последнее время столкнулся с проблемами в хранении данных. Фонд инвестировал в американский сервис для инвестиций Robinhood, основанный в 2013 году Владимиром Теневым и Байджу Бхаттом. Последний раунд, возглавляемый DST Global, состоялся в июле. Объем раунда составил $323 млн, а оценка Robinhood выросла до $7,6 млрд с $5,6 млрд в мае 2018 года. Через несколько дней после раунда стало известно, что Robinhood хранил пароли пользователей без шифрования. Стартап отказался раскрыть детали, но уведомил пользователей о необходимости сменить пароли.
DST Global не ответил на запрос Forbes.
По материалам: “Forbes”