بقيادة أنوراج سينأطلقت حملة السلامة حدد فريق الأمن السيبراني تعرضًا للبيانات يؤثر على مزود برامج الدفع في الولايات المتحدة Transact Campus.
وفقًا لموقع الشركة على الويب ، تدمج تقنية Transact Campus العديد من وظائف الدفع في منصة واحدة للهاتف المحمول لدعم مشتريات الطلاب في مؤسسات التعليم العالي ، كما تعمل خدمات Transact Campus على تبسيط عمليات الدفع للطلاب والمؤسسات على حدٍ سواء.
تم ترك خادم Elasticsearch يحتوي على بيانات متعلقة بـ Transact Campus غير مؤمن ، دون أي حماية بكلمة مرور ، وبالتالي كشف أكثر من مليون سجل طالب.
من هو مجمع Transact؟
تبيع Transact Campus تقنية مدفوعات الحرم الجامعي لمؤسسات التعليم العالي الأمريكية التي تدمج المدفوعات عبر الهاتف المحمول وتحديد هوية المستخدم (مع "معرف الحرم الجامعي") في تطبيق واحد للطلاب.
يمكن للطلاب إجراء مدفوعات غير نقدية على الرسوم الدراسية ومختلف الامتيازات الأخرى في الموقع من خلال حسابهم الشخصي الفريد ("معرف الحرم الجامعي") ، بما في ذلك تذاكر الأحداث والمنتجات من منصات الامتياز وآلات البيع والبائعين الخارجيين.
يمكن أيضًا استخدام معرفات الحرم الجامعي للسماح للطالب بالوصول إلى العديد من وظائف الحرم الجامعي الأخرى ، مثل الوصول إلى الطابعة والوصول إلى الباب والوصول إلى الأحداث ومراقبة حضور الفصل.
يقع المقر الرئيسي لـ Transact Campus في فينيكس ، أريزونا. منذ تأسيس الشركة في عام 1984 ، خدم Transact Campus 12 مليون طالب في 1,300 مؤسسة عميلة ، مما سهل معاملات بقيمة 45 مليار دولار. توظف Transact Campus حاليًا حوالي 400 شخص وتحقق إيرادات سنوية تقدر بـ 100 مليون دولار أمريكي.
ماذا تعرض؟
كشف خادم Elasticsearch المفتوح عن أكثر من مليون سجل ، بإجمالي أكثر من 1 غيغابايت من البيانات. تم ترك الخادم للوصول وبياناته غير مشفرة.
تحتوي سجلات Elasticsearch على بيانات من مختلف الكليات التي تستخدم خدمات Transact Campus. هذه البيانات تخص الطلاب في هذه المؤسسات المكشوفة.
تم عرض عدة أشكال من معلومات تحديد الهوية الشخصية للطالب على الخادم المفتوح ، بما في ذلك:
- الأسماء الكاملة
- عناوين البريد الإلكتروني
- أرقام الهواتف
- بيانات اعتماد تسجيل الدخول بنص عادي، بما في ذلك. أسماء المستخدمين وكلمات المرور
- تفاصيل الصفقه، بما في ذلك. مقدار ووقت الشراء
- تفاصيل بطاقة الائتمان (غير مكتملة)، بما في ذلك. 6 أرقام أولية (BIN *) وآخر 4 أرقام من أرقام بطاقة الائتمان وتواريخ انتهاء الصلاحية والتفاصيل المصرفية
- خطط الوجبات المشتراة وأرصدة خطة الوجبات
* ملاحظة: رقم تعريف البنك (BIN) هو أول ستة أرقام من رقم بطاقة الدفع. تحدد هذه الأرقام جهة إصدار البطاقة.
وجد فريق الأمن السيبراني SafetyDetectives خادم Elasticsearch المفتوح أثناء التحقق من عناوين IP في منفذ معين. كان الخادم مباشرًا ويتم تحديثه وقت اكتشافه.
يمكنك رؤية دليل على سجلات الخادم التي كشفت عن بيانات الطالب في لقطات الشاشة التالية.
يؤثر التعرض للبيانات على الطلاب أصحاب حسابات Transact Campus. يمكن أن تتأثر العائلات أيضًا. على سبيل المثال ، يمكن الكشف عن تفاصيل الدفع الخاصة بأحد الوالدين إذا قاموا بتمويل الرسوم الدراسية للطالب أو دعموا طالبًا ماليًا من خلال حساب Transact Campus. يمكن أن يتأثر أي شخص لديه حساب و / أو تفاصيل دفع مرتبطة بحساب في إحدى الكليات المكشوفة.
من المستحيل معرفة عدد الأشخاص الذين تعرضوا في هذا الحادث بالضبط. ومع ذلك ، يشير حجم عناوين البريد الإلكتروني وأرقام الهواتف المعروضة على الخادم إلى تأثر ما يقدر بـ 30,000-40,000 طالب.
يتعامل موقع Transact Campus مع مؤسسات التعليم العالي الأمريكية ، وعلى هذا النحو ، فإن Elasticsearch المكشوفة تؤثر بشكل أساسي على المواطنين الأمريكيين.
يمكنك أن ترى تفصيلاً كاملاً لعرض البيانات هذا في الجدول أدناه.
عدد السجلات المكشوفة | عبر 1 مليون |
عدد المستخدمين المتضررين | 30,000-40,000 شخص (تقدير تقريبي) |
حجم التعرض | حوالي 5 جيجا بايت |
موقع الخادم | الولايات المتحدة |
موقع الشركة | فينيكس ، أريزونا ، في الولايات المتحدة |
اكتشفنا الخادم المفتوح في السادس من كانون الأول (ديسمبر) 6 ، وتواصلنا بعد ذلك مع Transact Campus في 2021 كانون الأول (ديسمبر) 8.
لقد تابعنا اتصالنا الأولي مع Transact Campus في 9 و14 ديسمبر 2021، لكننا لم نتلق أي رد. أرسلنا بريدًا إلكترونيًا إلى US-CERT في 9 يناير 2022، وأرسلنا رسائل متابعة إلى بعض جهات الاتصال الرئيسية في 13 يناير 2022 - وردت Transact Campus في نفس اليوم. في 14 يناير 2022، كشفنا بشكل مسؤول عن التسريب إلى Transact Campus، وفي 16 يناير 2022، تم تأمين اختراق البيانات.
رد Transact Campus لاحقًا على رسائلنا ، وأخبرنا أن خادم Elasticsearch لم يكن تحت سيطرتهم:
"من الواضح أن هذا تم إعداده بواسطة طرف ثالث من أجل عرض توضيحي ولم تتم إزالته مطلقًا. لقد أكدنا أن مجموعة البيانات كانت مليئة بمجموعة بيانات مزيفة ولا تستخدم أي بيانات إنتاج ".
ملاحظة: لقد فحصنا عينة من المستخدمين في Elasticsearch المفتوح ويبدو أن هذه البيانات تخص أشخاصًا حقيقيين.
بيان من المسبك:
"لم يؤثر هذا الحادث على أي أنظمة في Transact؛ تم عزله إلى خادم بوابة Foundry واحد. تم اكتشاف التعرض المحتمل من قبل شركة أمنية تابعة لجهة خارجية تقوم بمسح نشط لمجموعات Elasticsearch الضعيفة. بدلاً من اختبار البيانات على النحو المنشود، قام خادم Elasticsearch بسحب سجلات الإنتاج التي تحتوي على اسم مستخدم وكلمات مرور نصية واضحة لأقل من 700 طالب حاولوا التسجيل للوصول إلى حساب خطة الوجبات بين 10 أكتوبر 2021 و14 يناير 2022. فقط محاولات التسجيل التي تم تسجيلها داخل هذا الإطار الزمني يمثل الحسابات التي تأثرت.
بيان من الصفقة:
"كما أن أي شخص يصل إلى سجلات الإنتاج لن يتمكن من المشاركة في المعاملات على منصة Transact باستخدام اسم المستخدم وكلمة المرور النصية الواضحة فقط. لقد فرضت المعاملات تغيير كلمة المرور بسبب كثرة الحذر. شاركت Transact أيضًا في جهود العناية الكبيرة بعد تلقي إشعار من SafetyDetectives. تعد حماية بيانات العملاء والطلاب والأنظمة التي تقوم بجمع هذه البيانات ومعالجتها والحفاظ عليها ذات أهمية بالغة. ولذلك، فإن أمن الأنظمة والتطبيقات والخدمات يشمل الضوابط والضمانات لتعويض التهديدات المحتملة. يتم تنفيذ تدابير أمن المعلومات والخصوصية الخاصة بـ Transact للحماية من الوصول غير المصرح به إلى البيانات والأنظمة أو تغييرها أو الكشف عنها أو تدميرها. تلتزم Transact بتوفير أعلى مستوى من الأمان لعملائها وستستمر في مراقبة الوضع الحالي وأي تهديدات محتملة أخرى لأمن أنظمتها.
تأثير التعرض للبيانات
لا يمكننا ولا نعرف ما إذا كانت الجهات الخبيثة قد وصلت إلى قاعدة البيانات بينما كانت غير آمنة. يمكن أن يعرض محتوى الخادم الطلاب المكشوفين لخطر الجرائم الإلكترونية إذا قرأ الفاعلون السيئون بيانات الخادم أو قاموا بتنزيلها.
التسويق عبر البريد العشوائي وهجمات التصيد الاحتيالي و الحيل من الممكن مع تفاصيل الاتصال والأسماء الكاملة والتفاصيل الحساسة الأخرى المكشوفة لمستخدمي Transact Campus. يمكن للمهاجمين إجراء حملات تسويق عبر البريد الإلكتروني العشوائي باستخدام العديد من عناوين البريد الإلكتروني المسربة وإرسال رسائل تصيد وبرامج ضارة وعمليات احتيال لآلاف الأشخاص.
في هجوم التصيد الاحتيالي ، يمكن لمجرم الإنترنت أن يتنكر كشخص جدير بالثقة (مثل موظف الكلية) لإقناع الطلاب بتقديم أشكال إضافية من البيانات الشخصية ، مثل أرقام CVV على ظهر بطاقات الائتمان. يمكن للمخادعين أيضًا إقناع الطالب بالنقر فوق ارتباط ضار. بمجرد النقر عليها ، يمكن للروابط الضارة تنزيل برامج ضارة على جهاز الضحية ، والتي يمكن أن تكمل الأشكال الأخرى لجمع البيانات والجرائم الإلكترونية.
يمكن أيضًا استهداف الطلاب المكشوفين بعمليات احتيال إذا وصل مجرمو الإنترنت إلى الخادم. في عملية احتيال ، يحاول مجرم الإنترنت خداع الضحية لدفع المال لهم. مثل هجمات التصيد الاحتيالي ، يمكن لمجرمي الإنترنت استخدام أشكال أخرى من البيانات المكشوفة لاستهداف الضحية. على سبيل المثال ، يمكن لمجرم الإنترنت إقناع الطالب المكشوف بدفع الرسوم الدراسية المستحقة للمهاجم مباشرة.
كشف بيانات اعتماد الحساب تم تخزينها في نص عادي وهذا يمثل مخاطر إضافية للطلاب المتأثرين. إذا وصل أي متسلل إلى الخادم ، فيمكنه بسهولة قراءة أسماء المستخدمين وكلمات المرور غير المشفرة. يمكن لمجرم الإنترنت الوصول إلى حسابات الطلاب بهذه المعلومات ، ويمكنهم تغيير التفاصيل والتهديد بتكبد رسوم كبيرة ما لم يتم دفع رسوم.
منع التعرض للبيانات
ما الذي يمكننا فعله لحماية بياناتنا وتقليل مخاطر الجرائم الإلكترونية؟
فيما يلي بعض النصائح لمنع التعرض للبيانات:
- لا تقدم معلوماتك الشخصية إلى شركة أو مؤسسة أو شخص ما لم تكن تثق بهذا الكيان بنسبة 100٪.
- قم فقط بزيارة مواقع الويب التي لها اسم مجال آمن (المجالات التي تحتوي على "https" و / أو رمز القفل المغلق في البداية).
- كن حذرًا جدًا عند تقديم أكثر أشكال البيانات حساسية ، مثل رقم الضمان الاجتماعي الخاص بك.
- قم بإنشاء كلمات مرور صلبة تحتوي على مزيج من الأحرف والأرقام والرموز. قم بتحديث كلمات المرور الخاصة بك بانتظام.
- لا تنقر فوق ارتباط عبر الإنترنت ما لم تكن متأكدًا تمامًا من أنه من مصدر شرعي. يمكن أن تكون الروابط في رسائل البريد الإلكتروني أو الرسائل أو مواقع التصيد الاحتيالي التي تتنكر على أنها مجالات شرعية.
- قم بتحرير إعدادات الخصوصية الخاصة بك على وسائل التواصل الاجتماعي بحيث لا يظهر المحتوى والمعلومات الخاصة بك إلا للأصدقاء والمستخدمين الموثوق بهم.
- تجنب عرض أو كتابة بيانات شديدة الحساسية (مثل أرقام بطاقات الائتمان أو كلمات المرور) عند استخدام شبكة WiFi عامة أو غير آمنة.
- ثقف نفسك حول مخاطر الجرائم الإلكترونية ، وأهمية حماية البيانات ، والأساليب التي تقلل من فرص وقوعك ضحية لهجمات التصيد والبرامج الضارة.
من نحن
موقع SafetyDetectives.com هو أكبر موقع في العالم لمراجعة برامج مكافحة الفيروسات.
مختبر أبحاث SafetyDetectives هو خدمة مجانية تهدف إلى مساعدة المجتمع عبر الإنترنت في الدفاع عن نفسه ضد التهديدات الإلكترونية مع تثقيف المؤسسات حول كيفية حماية بيانات المستخدمين. الغرض الشامل من مشروعنا لرسم خرائط الويب هو المساعدة في جعل الإنترنت مكانًا أكثر أمانًا لجميع المستخدمين.
لقد سلطت تقاريرنا السابقة الضوء على العديد من نقاط الضعف البارزة وتسريبات البيانات ، بما في ذلك 2.6 مليون مستخدم تعرضوا لها بواسطة ملف منصة التحليلات الاجتماعية الأمريكية IGBlade، فضلا عن خرق في منصة تكامل السوق البرازيلية Hariexpress.com.br التي سربت أكثر من 610 غيغابايت من البيانات.
للحصول على مراجعة كاملة لتقارير الأمن السيبراني لـ SafetyDetectives على مدار السنوات الثلاث الماضية ، اتبع ذلك فريق SafetyDetectives الأمن السيبراني.
- "
- 000
- 10
- 2021
- 2022
- a
- من نحن
- وفرة
- الوصول
- يمكن الوصول
- الوصول
- حسابي
- إضافي
- عناوين
- تؤثر
- تؤثر
- التسويق بالعمولة
- ضد
- الكل
- كمية
- تحليلات
- سنوي
- الحماية من الفيروسات
- أي شخص
- التطبيق
- التطبيقات
- أريزونا
- حول
- الحضور
- أرصدة
- مصرف
- البداية
- يجري
- أقل من
- ما بين
- مليار
- خرق
- انهيار
- الحملات
- حرم الجامعة
- بطاقات
- حذر
- غير النقدي
- فرص
- تغيير
- اسعارنا محددة من قبل وزارة العمل
- تدقيق
- فئة
- عميل
- صندوق توظيف برأس مال محدود
- جمع
- مجموعة شتاء XNUMX
- كلية
- ملتزم
- مجتمع
- حول الشركة
- الشركة
- تماما
- إدارة
- التواصل
- محتوى
- استمر
- مراقبة
- ضوابط
- استطاع
- أوراق اعتماد
- ائتمان
- بطاقة إئتمان
- بطاقات الائتمان
- حرج
- حالياًّ
- حاليا
- الانترنت
- جرائم الإنترنت
- مجرمو الإنترنت
- الأمن السيبراني
- البيانات
- البيانات الاختراق
- حماية البيانات
- مجموعة البيانات
- قاعدة البيانات
- تمور
- يوم
- المخصصة
- تفاصيل
- جهاز
- فعل
- الأرقام
- الاجتهاد
- مباشرة
- اكتشف
- اكتشاف
- نطاق
- اسم نطاق
- المجالات
- إلى أسفل
- بإمكانك تحميله
- بسهولة
- تعليم
- التعليم
- جهد
- البريد الإلكتروني
- توظف
- جذب
- كيان
- تقدير
- مقدر
- الحدث/الفعالية
- بالضبط
- مثال
- مكشوف
- زائف
- الأسر
- الرسوم الدراسية
- الاسم الأول
- اتباع
- متابعيك
- أشكال
- وجدت
- تاسست
- تبدأ من
- بالإضافة إلى
- وظائف
- صندوق
- إضافي
- بوابة
- القراصنة
- مقرها الرئيسي
- مساعدة
- أعلى
- تعليم عالى
- جدا
- أصحاب
- كيفية
- كيفية
- لكن
- HTTPS
- هوية
- تحديد
- نفذت
- أهمية
- مستحيل
- تتضمن
- بما فيه
- فرد
- معلومات
- امن المعلومات
- المؤسسات
- Internet
- IP
- عناوين الانترنت بروتوكول
- IT
- نفسها
- يناير
- القفل
- علم
- مختبر
- أكبر
- تسرب
- التسريبات
- مستوى
- ضوء
- LINK
- وصلات
- حي
- الآلات
- المحافظة
- جعل
- البرمجيات الخبيثة
- رسم الخرائط
- التسويق
- السوق
- حفلة تنكرية
- الإجراءات
- الوسائط
- طرق
- مليون
- الجوال
- الدفع عبر الهاتف المتحرك
- مال
- مراقبة
- مراقبة
- الأكثر من ذلك
- أكثر
- متعدد
- أسماء
- شبكة
- عدد
- أرقام
- عوض
- online
- جاكيت
- منظمة
- المنظمات
- أخرى
- مدفوع
- خاص
- حفلة
- كلمة المرور
- كلمات السر
- وسائل الدفع
- بطاقة الدفع
- المدفوعات
- مجتمع
- شخص
- الشخصية
- البيانات الشخصية
- التصيد
- هجوم التصيد
- هجمات التصيد
- عنقاء
- المنصة
- ممكن
- محتمل
- قوة
- سابق
- خصوصية
- برو
- عملية المعالجة
- العمليات
- الإنتــاج
- المنتجات
- تنفيذ المشاريع
- حماية
- الحماية
- تزود
- مزود
- توفير
- جمهور
- مشتريات
- غرض
- تسلم
- تسجيل
- تخفيض
- تسجيل جديد
- التسجيل
- التقارير
- بحث
- إيرادات
- مراجعة
- المخاطرة
- المخاطر
- أكثر أمانا
- نفسه
- احتيال
- الحيل
- تأمين
- مضمون
- أمن
- الخدمة
- خدمات
- طقم
- عدة
- هام
- منذ
- عزباء
- SIX
- كبير
- So
- العدالة
- وسائل التواصل الاجتماعي
- تطبيقات الكمبيوتر
- بعض
- البريد المزعج
- المدرجات
- تبسيط
- طالب
- بعد ذلك
- الدعم
- أنظمة
- الهدف
- المستهدفة
- فريق
- تكنولوجيا
- تجربه بالعربي
- •
- وبالتالي
- طرف ثالث
- الآلاف
- التهديدات
- عبر
- تذاكر
- الوقت
- إطار زمني
- نصائح
- قام ب
- المعاملات
- الثقة
- مع
- فريد من نوعه
- متحد
- غير مضمون
- تحديث
- us
- الولايات المتحدة 100 مليون دولار
- تستخدم
- المستخدمين
- مختلف
- الباعة
- مرئي
- حجم
- نقاط الضعف
- الضعيفة
- محفظة
- الويب
- الموقع الإلكتروني
- المواقع
- سواء
- في حين
- من الذى
- واي فاي (WIFI)
- في غضون
- بدون
- العالم
- قيمة
- سوف
- سنوات
- حل متجر العقارات الشامل الخاص بك في جورجيا