Индийский ресурс Sosasta.com, являющийся дочерней компанией Groupon, по ошибке опубликовал базу данных, содержащую адреса электронной почты и незашифрованные пароли 300 тысяч пользователей. Эти данные были автоматически проиндексированы и попали в кеш поисковика Google.
Утечка личных данных была обнаружена австралийским специалистом по вопросам электронной безопасности Даниэлем Гржеляком (Daniel Grzelak). Даниэль связался с Патриком Греем (Patrick Gray), ведущим профильный блог Risky Biz, который в дальнейшем сообщил, что господин Гржеляк обнаружил огромный массив данных в кешированных материалах, когда искал дополнения к проекту shouldichangemypassword.com. Данный проект индексирует адреса электронной почты, опубликованные после хакерских атак на крупные проекты, чем до недавнего времени занималась группа LulzSec. Запрос, заданный Google, включал в себя следующие команды и ключевые слова: «filetype:sql», «password» и «gmail».
Представитель Groupon подтвердил, что дистрибьютор цифровых купонов «был предупрежден о проблемах безопасности», и проблема была ликвидирована немедленно. Инцидент коснулся только сервиса Sosasta, который использует собственный движок, и его сеть не подключена к системам Groupon в остальных странах. Представитель Groupon добавил: «Мы начали уведомлять наших подписчиков и советовать им сменить пароли на Sosasta в кратчайшие сроки. Мы проинформируем индийских подписчиков, когда узнаем больше».
На текущий момент на официальных сайтах Groupon и Sosasta нет никаких уведомлений о случившемся — единственное сообщение было опубликовано на странице Sosasta в сети Facebook, причем это сообщение появилось в формате JPG-картинки, которая не может попасть в индекс Google и других поисковых машин. К сожалению, Groupon отказалась комментировать причину того, почему пароли хранились на серверах в незашифрованном виде. Причины утечки тоже никак не комментируются.