Пресс-релиз по результатам расследования инцидента с утечкой данных.
Press release on the results of the Topface investigation of the data leakage.
(for English scroll below)
Компания Topface провела расследование инцидента с утечкой 20 млн почтовых адресов. По результатам проверки нам удалось выявить уязвимость, через которую хакер мог получить доступ к адресам электронной почты наших пользователей. Касательно характера утечки — речь идет только о самих адресах электронной почты — мы уверены, что доступа к другой информации — ни к паролям, ни к содержанию самих аккаунтов (личная переписка или фотографии) у взломщика не было. В связи с тем, что мы не храним платежной информации, а авторизация более чем 95% пользователей происходит через социальные сети, мы уверены, что третьи лица не могли получить ни к каким секретным данным пользователей. Тем не менее, мы уведомили тот небольшой процент наших пользователей, которые используют электронную почту в качестве логина в нашем сервисе, о необходимости профилактической смены паролей.
Мы смогли найти и связаться с хакером, который опубликовал объявления о продаже базы (а потом удалил их). Он подтвердил результаты нашего расследования, а также заключил с нами соглашение о дальнейшем нераспространении полученной им базы адресов электронной почты. В связи с тем, что он никому не продавал полученные данные и не собирается делать этого в будущем, мы не будем привлекать его к ответственности, более того, мы выплатили ему премию за обнаруженную уязвимость и договорились о дальнейшем сотрудничестве в сфере безопасности данных. Также, мы хотели бы поблагодарить компанию Easy Solutions, первую обнаружившую объявление об утечке и оказавшую содействие в нашем расследовании.
Несмотря на то, что мы уверены в отсутствии каких-либо последствий данного инцидента для пользователей, мы сожалеем о причиненных неудобствах и значительно усиливаем меры по охране данных на сервисе.
Topface conducted an investigation of 20 million users email addresses leakage. The audit has identified a vulnerability through which the hacker could get an access to e-mail addresses of our users. Regarding the character of the leak (we are talking about email addresses only) there was no access to other information — neither passwords, nor content of the accounts (private correspondence or photos). Due to the fact that we do not store any billing information of users, and authorisation of more than 95% of accounts are going via social networks, we are confident, that third parties could not get any additional data of users. Nevertheless, we have already notified the part of our users who use e-mail as a login for preventive change of a password.
We also were able to find and contact the hacker who published (and then deleted them) the ads with an offer to sell email database. He has confirmed the findings of our investigation and has made an agreement with Topface for no further distribution of acquired email addresses database. Due to the fact that he has not passed the data to anyone and has no intention to do so in the future, we will not accuse him, moreover, we have paid him an award for finding a vulnerability and agreed on further cooperation in the field of data security. Also, we would like to thank fraud-detection software-maker Easy Solution Inc., who has first discovered posting by the hacker on the forum and has helped us in our investigation.
Despite the fact that we are confident in the absence of any effects of the incident for our user, we are sorry for the inconvenience caused and applying notably improved data protection system on the service.