• السلامة اكتشف فريق الأمن السيبراني تسربًا كبيرًا للبيانات يؤثر على شركة البرامج المسماة StoreHub.
يقع StoreHub في ماليزيا ويوفر نظام برمجيات لنقاط البيع (POS) والذي يستخدم في الغالب في المطاعم ومحلات البيع بالتجزئة.
تم تخزين البيانات المكشوفة على خادم Elasticsearch الخاص بـ StoreHub والذي تم تركه مفتوحًا دون أي حماية بكلمة مرور أو تشفير. من المحتمل أن يكون الخادم غير المحمي قد تسبب في اختراق معلومات آلاف المطاعم ومتاجر البيع بالتجزئة ، إلى جانب موظفيها وحوالي مليون عميل.
من هو StoreHub؟
تأسست StoreHub في عام 2013 في ماليزيا ويقع مقرها الرئيسي حاليًا في بيتالينج جايا. يتم استخدام منتجهم من قبل أكثر من 15,000 شركة وفقًا لموقعهم على الويب ، بشكل أساسي في منطقة جنوب شرق آسيا.
تبيع الشركة برامج نقاط البيع بشكل أساسي لشركات المأكولات والمشروبات ، مثل المطاعم ، ولكن أيضًا لمتاجر البيع بالتجزئة.
يستخدم برنامج POS بشكل أساسي لمعالجة وتسجيل المشتريات والمعاملات في الأعمال التي تواجه العملاء (المطاعم والمقاهي والحانات والمتاجر وما إلى ذلك) ، بالإضافة إلى إصدار الإيصالات وتتبع مبيعات عناصر معينة - مثل الوجبات في مطعم ، أو قطع الملابس الفردية في المتجر.
يقدم StoreHub أيضًا مجموعة كاملة من أدوات إدارة الأعمال والتحليلات. وتشمل هذه التجارة الإلكترونية والتسليم عبر الإنترنت ، وإدارة المخزون ، وإدارة الموظفين ، وبرامج الولاء ، وتحليلات العملاء.
نتيجةً لذلك ، كان StoreHub قادرًا على جمع البيانات من أكثر من مليون شخص من جميع أنحاء جنوب شرق آسيا - بشكل أساسي عملاء الشركات التي تستخدم برامجه.
ما تم كشفه؟
اكتشف فريق الأمن السيبراني لدينا أن Storehub أخطأ في تكوين أحد خوادم Elasticsearch الخاصة به ، مما تسبب في تسريب أكثر من 1.7 مليار سجل وأكثر من 1 تيرابايت من البيانات. كشف هذا عن ما يقرب من مليون عميل في ماليزيا وربما عبر دول جنوب شرق آسيا.
تبيع StoreHub برامج نقاط البيع للشركات التي تواجه العملاء ، لذلك تأتي البيانات المكشوفة في فئتين:
- بيانات من عملاء الشركات التي تستخدم StoreHub
- البيانات من الشركات التي تستخدم StoreHub
البيانات من عملاء الشركات الذين يستخدمون StoreHub
تتضمن معلومات التعريف الشخصية المكشوفة (PII) من العملاء ما يلي:
- الأسماء الكاملة
- أرقام الهواتف
- العناوين المادية
- عناوين البريد الإلكتروني
- نوع الجهاز المستخدم
كشف الخادم أيضًا عن البيانات المتعلقة بالمدفوعات ومعلومات الطلبات الخاصة بالعملاء ، وفضح معلومات PII مثل:
- مواعيد المعاملات
- العناصر المطلوبة
- مواقع المتجر
كشفت بعض تفاصيل الطلب عن معلومات بطاقة الائتمان المقنعة جزئيًا.
البيانات من الشركات التي تستخدم StoreHub
أثر التسرب أيضًا على الشركات التي تستخدم StoreHub وموظفيها. تتضمن المعلومات المسربة من الشركات ما يلي:
- أوقات تسجيل الوصول / المغادرة من الموظفين
- أسماء الموظفين
- أسماء المتاجر
- تخزين العناوين المادية
- تخزين عناوين البريد الإلكتروني
رأى فريق الأمن السيبراني لدينا أيضًا رموز وصول مسربة ، والتي يمكن أن يستخدمها الفاعلون السيئون لتسجيل الدخول إلى مواقع الويب الخاصة بالشركات وتعديلها ، مما قد يتسبب في المزيد من الضرر. التي لم نتمكن من اختبارها لأسباب أخلاقية.
يوضح الجدول أدناه تفصيل تسرب بيانات StoreHub هذا.
عدد السجلات المسربة | أكثر من 1.7 مليار |
عدد المستخدمين المتضررين | تقريبا. 1 مليونا |
حجم التسرب | أكثر من 1 تيرابايت |
موقع الخادم | سنغافورة |
موقع الشركة | بيتالينغ جايا، ماليزيا |
اكتشف فريق الأمن السيبراني لدينا هذا التسريب في 12 يناير 2022. يبدو أن محتوى الخادم قد تم كشفه منذ أواخر نوفمبر على الأقل من عام 2021.
عند اكتشاف التسريب ، اتبع فريق الأمن السيبراني لدينا قواعد القرصنة الأخلاقية من خلال ترك الخادم والبيانات كما هي ، ثم الاتصال بالشركة المسؤولة.
أرسلنا بريدًا إلكترونيًا إلى StoreHub بمجرد اكتشافنا التسريب. في 18 يناير ، أرسلنا بريدًا إلكترونيًا للمتابعة إليهم وأرسلنا بريدًا إلكترونيًا إلى كبير مسؤولي التكنولوجيا في StoreHub. لم نتلق أي رد بحلول 27 يناير ، لذلك اتصلنا بـ CERT الماليزي و Amazon Web Services (الشركة المستضيفة). استجاب كلاهما على الفور.
تمكنا من الكشف عن التسريب إلى CERT الماليزي في 28 يناير. طلب منا CERT الماليزي مزيدًا من المعلومات في 2 فبراير ، ولكن تم تأمين الخادم بحلول ذلك الوقت. نقدر أن الخادم تم تأمينه بين تلك الفترة من 28 يناير إلى 2 فبراير.
تأثير تسرب البيانات
تعرض معلومات تحديد الهوية الشخصية المكشوفة الضحايا إلى السرقة والاحتيال من الجهات السيئة الذين يضعون أيديهم على تفاصيل معلومات تحديد الهوية الشخصية.
ليس لدينا طريقة للتأكد مما إذا كان المتسللون غير الأخلاقيين قد اكتشفوا تسرب البيانات هذا ، ولكن يجب على الشركات والعملاء المتأثرين أن يكونوا في حالة تأهب للتهديدات المحتملة التالية.
الغش والاحتيال
معلومات تحديد الهوية الشخصية المكشوفة تترك العملاء عرضة لمحاولات الاحتيال. على سبيل المثال ، يمكن للممثلين السيئين الاتصال بالضحايا وكسب ثقتهم من خلال تأكيد معلومات الشراء التي تتضمن سعر وتاريخ المعاملة - أو حتى الأرقام الأربعة الأخيرة من رقم بطاقة الائتمان.
بعد اكتساب الثقة ، يمكن للجهات الفاعلة السيئة الحصول على مزيد من المعلومات من الضحية والتي يمكن أن تسمح لهم بعد ذلك بإلحاق ضرر فعلي من خلال الوصول إلى مصرفهم أو إساءة استخدام معلومات بطاقة الائتمان.
سرقة الحساب
يحتوي التسريب على الرموز المميزة للحساب ، والتي تنتمي على الأرجح إلى الشركات التي تستخدم خادم StoreHub. يمكن للممثلين السيئين الاستفادة من هذه الرموز لتسجيل الدخول كشركات أو عملاء وربما تعديل تفاصيل الحساب.
يمكن أن يضر هذا بالعمل بعدة طرق ، اعتمادًا على ما يختاره الفاعلون السيئون. لأسباب أخلاقية ، لا يمكننا اختبار قدرات الرموز المميزة المكشوفة. ومع ذلك ، فإن المثال النظري هو أنه يمكنهم السماح للممثلين السيئين بتعديل القائمة في حساب المطعم أو إزالة قائمة النشاط التجاري بالكامل. يمكن أن تعرض الرموز المميزة أيضًا العملاء للخطر ، حيث من المحتمل أن تقوم الجهات السيئة بتعديل الموقع لجمع معلومات تحديد الهوية الشخصية الأكثر حساسية وتعريض الضحايا للخطر.
مخاطر سرقة الممتلكات للعملاء
المعلومات التفصيلية من التسرب تخلق العديد من الثغرات الأمنية للعملاء. قد تسمح المعلومات الواردة في التسريب للجهات السيئة بتتبع واعتراض الطلبات التي دفع العميل مقابلها بالفعل.
يشير التسرب أيضًا إلى الأوقات التي يغادر فيها بعض العملاء منازلهم بشكل عام. في الأيدي الخطأ ، يمكن أن تعرض هذه المعلومات ممتلكات العملاء لخطر الاختراق المادي.
خطر سرقة الممتلكات للشركات
يحتوي التسريب على قوائم طويلة بأوقات تسجيل الوصول والمغادرة للموظفين ، والتي تخبر الجهات السيئة بالضبط عن عدد الموظفين عمومًا في المتجر خلال أوقات محددة. إذا كانوا يعتزمون اقتحام الشركة فعليًا والسرقة منها ، فستساعد هذه المعلومات في السرقة.
منع التعرض للبيانات
ما الذي يمكنك فعله لحماية بياناتك وتقليل مخاطر الجرائم الإلكترونية؟
فيما يلي بعض الطرق التي يمكنك من خلالها تقليل مخاطر تعرضك للبيانات:
- لا تقدم معلوماتك الشخصية إلا للأفراد والشركات الذين تثق بهم.
- قم بزيارة المواقع الآمنة فقط. تحتوي المواقع الآمنة على أسماء نطاقات تبدأ بـ "https" و / أو رمز قفل مغلق.
- كن حذرًا جدًا عندما يُطلب منك تقديم أهم أشكال المعلومات الشخصية (مثل أرقام الضمان الاجتماعي وأرقام الهوية الحكومية والتفضيلات الشخصية).
- إنشاء كلمات مرور فائقة القوة باستخدام مجموعة من الأحرف والأحرف الكبيرة والأرقام والرموز. تحديث كلمات السر الخاصة بك بانتظام.
- لا تقم بإعادة استخدام كلمات المرور عبر الخدمات. إستخدم إدارة كلمة المرور عند الحاجة
- لا تنقر فوق الروابط الموجودة في رسائل البريد الإلكتروني أو الرسائل النصية القصيرة أو في أي مكان آخر على الإنترنت ما لم تكن متأكدًا تمامًا من أن المصدر / المرسل أصلي. إذا لم تكن متأكدًا على الإطلاق ، فانتقل إلى موقع الشركة وابحث عن الرابط هناك.
- قم بتحرير إعدادات خصوصية الوسائط الاجتماعية الخاصة بك. يجب أن تعرض حساباتك المحتوى الخاص بك وبياناتك الشخصية فقط للمستخدمين والأصدقاء الموثوق بهم.
- حدد المهام التي تقوم بها والمعلومات التي تعرضها عند الاتصال بشبكة Wi-Fi عامة. على سبيل المثال ، لا تشتري منتجًا واكتب تفاصيل بطاقة الائتمان الخاصة بك على شبكة WiFi العامة.
- استخدم المصادر عبر الإنترنت لـ تعرف على الجرائم الإلكترونيةوحماية البيانات والخطوات التي يمكنك اتخاذها لتجنب هجمات التصيد والبرامج الضارة.
من نحن
موقع SafetyDetectives.com هو أكبر موقع في العالم لمراجعة برامج مكافحة الفيروسات.
مختبر أبحاث SafetyDetectives هو خدمة مجانية تهدف إلى مساعدة المجتمع عبر الإنترنت في الدفاع عن نفسه ضد التهديدات الإلكترونية مع تثقيف المؤسسات حول كيفية حماية بيانات المستخدمين. الغرض الشامل من مشروعنا لرسم خرائط الويب هو المساعدة في جعل الإنترنت مكانًا أكثر أمانًا لجميع المستخدمين.
لقد سلطت تقاريرنا السابقة الضوء على العديد من نقاط الضعف البارزة وتسريبات البيانات ، بما في ذلك ما يزيد عن 200 مليون مستخدم تعرضوا لها شركة إدارة وسائل التواصل الاجتماعي الصينية Socialarks، فضلا عن خرق في منصة دمج التجارة الإلكترونية البرازيلية Hariexpress التي سربت أكثر من 1.75 مليار سجل.
للحصول على مراجعة كاملة لتقارير الأمن السيبراني لـ SafetyDetectives على مدار السنوات الثلاث الماضية ، اتبع ذلك فريق SafetyDetectives الأمن السيبراني.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- من نحن
- الوصول
- الوصول
- وفقا
- حسابي
- كسب
- في
- العنوان
- عناوين
- تؤثر
- ضد
- الكل
- سابقا
- أمازون
- أمازون ويب سيرفيسز
- تحليلات
- الحماية من الفيروسات
- في أى مكان
- آسيا
- مصرف
- الحانات
- أقل من
- ما بين
- مليار
- المليارات
- خرق
- انهيار
- الأعمال
- الأعمال
- دعوة
- قدرات
- حذر
- مما تسبب في
- معين
- رئيس
- الرئيس التنفيذي للتكنولوجيا
- اختار
- صندوق توظيف برأس مال محدود
- ملابس
- جمع
- مجموعة
- مجتمع
- الشركات
- حول الشركة
- الشركة
- تماما
- متصل
- يحتوي
- محتوى
- استطاع
- دولة
- يخلق
- ائتمان
- بطاقة إئتمان
- حاليا
- زبون
- العملاء
- الانترنت
- جرائم الإنترنت
- الأمن السيبراني
- البيانات
- تسرب التاريخ
- حماية البيانات
- التوصيل
- اعتمادا
- مفصلة
- تفاصيل
- جهاز
- الأرقام
- اكتشف
- العرض
- نطاق
- إلى أسفل
- أثناء
- التجارة الإلكترونية
- التجارة الإلكترونية
- تعليم
- البريد الإلكتروني
- الموظفين
- التشفير
- تقدير
- إلخ
- أخلاقي
- بالضبط
- مثال
- مكشوف
- العثور على
- اتباع
- متابعيك
- طعام
- أشكال
- تاسست
- احتيال
- تبدأ من
- بالإضافة إلى
- إضافي
- كسب
- على العموم
- حكومة
- قراصنة
- القرصنة
- المكاتب
- مساعدة
- تاريخ
- استضافة
- كيفية
- كيفية
- لكن
- HTTPS
- أهمية
- تتضمن
- يشمل
- بما فيه
- فرد
- الأفراد
- معلومات
- Internet
- المخزون
- IT
- نفسها
- يناير
- مختبر
- أكبر
- تسرب
- التسريبات
- يترك
- ضوء
- على الأرجح
- خطوط
- LINK
- وصلات
- قائمة
- قوائم
- طويل
- الوفاء
- رائد
- جعل
- ماليزيا
- البرمجيات الخبيثة
- إدارة
- رسم الخرائط
- الوسائط
- الأعضاء
- رسائل
- مليون
- الأكثر من ذلك
- أكثر
- متعدد
- أسماء
- عدد
- أرقام
- عروض
- امين شرطة منزل فؤاد
- online
- جاكيت
- طلب
- الطلبات
- المنظمات
- مدفوع
- خاص
- كلمات السر
- المدفوعات
- مجتمع
- فترة
- الشخصية
- التصيد
- هجمات التصيد
- مادي
- جسديا
- قطعة
- المنصة
- البوينت
- نقاط البيع
- محتمل
- سابق
- السعر
- خصوصية
- برو
- عملية المعالجة
- منتج
- البرامج
- تنفيذ المشاريع
- الملكية
- حماية
- الحماية
- تزود
- مزود
- ويوفر
- جمهور
- شراء
- مشتريات
- غرض
- الأسباب
- تلقى
- سجل
- تسجيل
- منطقة
- التقارير
- بحث
- استجابة
- مسؤول
- مطعم
- مطاعم
- بيع بالتجزئة
- مراجعة
- المخاطرة
- القواعد
- أكثر أمانا
- تخفيضات
- الأملاح
- تأمين
- مضمون
- أمن
- الخدمة
- خدمات
- المحلات التجارية
- منذ
- الموقع
- SMS
- So
- العدالة
- وسائل التواصل الاجتماعي
- تطبيقات الكمبيوتر
- بعض
- محدد
- متجر
- فروعنا
- نظام
- المهام
- فريق
- تكنولوجيا
- يروي
- تجربه بالعربي
- •
- سرقة
- الآلاف
- التهديدات
- مرات
- الرموز
- أدوات
- مسار
- تتبع الشحنة
- المعاملات
- الثقة
- افضل
- تحديث
- us
- تستخدم
- المستخدمين
- تشكيلة
- ضحايا
- نقاط الضعف
- الضعيفة
- طرق
- الويب
- خدمات ويب
- الموقع الإلكتروني
- المواقع
- ابحث عن
- في حين
- من الذى
- واي فاي
- واي فاي (WIFI)
- بدون
- العالم
- سوف
- سنوات
- حل متجر العقارات الشامل الخاص بك في جورجيا