В свободном доступе прямо на официальном сайте «РЖД Бонус» (rzd-bonus.ru) оказался MySQL-дамп (резервная копия) базы данных этого сайта, размером около 2.4 Гб.
Кроме того, в таблице «b_event_log» находился детальный лог доступа пользователей к сайту:
- IP-адрес
- User-Agent и версия ОС
- ID-пользователя
- дата доступа (с 07.08.2020 по 08.10.2020)
Дамп содержал таблицу «b_user», в которой находилось 1,360,836 строк:
- адрес эл. почты
- ID-пользователя
- хешированный (MD5 с солью, в формате CMS «Bitrix») пароль
- дата регистрации и последнего входа в систему