Sikkerhedsdetektiver cybersikkerhedsteamet har opdaget et stort datalæk, der påvirker softwarefirmaet StoreHub.
StoreHub er baseret i Malaysia og leverer et salgsstedssoftwaresystem (POS), som for det meste bruges i restauranter og detailbutikker.
De eksponerede data blev gemt på en StoreHubs Elasticsearch-server, der blev efterladt åben uden nogen adgangskodebeskyttelse eller kryptering. Den ubeskyttede server kompromitterede potentielt oplysningerne fra tusindvis af restauranter og detailbutikker sammen med deres personale og omkring 1 million kunder.
Hvem er StoreHub?
StoreHub blev grundlagt i 2013 i Malaysia og har i øjeblikket deres hovedkvarter i Petaling Jaya. Deres produkt bruges af over 15,000 virksomheder ifølge deres hjemmeside, primært i regionen Sydøstasien.
Virksomheden sælger POS-software primært til F&B-virksomheder (mad og drikkevarer), såsom restauranter, men også til detailbutikker.
POS-software bruges primært til at behandle og registrere køb og transaktioner i kundevendte virksomheder (restauranter, caféer, barer, butikker osv.), samt udstede kvitteringer og spore salg af bestemte varer – såsom måltider i en restaurant, eller enkelte stykker tøj i en butik.
StoreHub tilbyder også en komplet pakke af forretningsadministrationsværktøjer og analyser. Disse omfatter e-handel og online levering, lagerstyring, medarbejderstyring, loyalitetsprogrammer og kundeanalyse.
Som følge heraf var StoreHub i stand til at indsamle data fra over 1 million mennesker fra hele Sydøstasien – primært kunder hos virksomheder, der bruger deres software.
Hvad blev eksponeret?
Vores cybersikkerhedsteam opdagede, at Storehub havde fejlkonfigureret en af deres Elasticsearch-servere, hvilket fik den til at lække over 1.7 milliarder poster og over 1 terabyte data. Dette afslørede næsten 1 million kunder i Malaysia og potentielt på tværs af sydøstasiatiske lande.
StoreHub sælger POS-software til kundevendte virksomheder, så de eksponerede data kommer i to kategorier:
- Data fra kunder hos virksomheder, der bruger StoreHub
- Data fra virksomheder, der bruger StoreHub
Data fra kunder af virksomheder, der bruger StoreHub
Eksponerede personligt identificerbare oplysninger (PII) fra kunder omfatter:
- Fuldstændige navne
- Telefonnumre
- Fysiske adresser
- Email adresse
- Type brugt enhed
Serveren afslørede også data relateret til betalinger og ordreoplysninger tilhørende kunderne, hvilket afslørede PII såsom:
- Transaktionsdatoer
- Bestilte varer
- Butikssteder
Nogle af ordredetaljerne afslørede delvist maskerede kreditkortoplysninger.
Data fra virksomheder, der bruger StoreHub
Lækagen påvirkede også de virksomheder, der bruger StoreHub, og deres medarbejdere. Lækkede oplysninger fra virksomhederne omfatter:
- Ind-/udtjekningstider fra medarbejdere
- Medarbejdernavne
- Butiksnavne
- Gem fysiske adresser
- Gem e-mailadresser
Vores cybersikkerhedsteam så også lækkede adgangstokens, som dårlige aktører kunne bruge til at logge ind på og ændre virksomhedernes websteder, hvilket potentielt kunne forårsage mere skade. Hvilket vi ikke kunne teste af etiske årsager.
Tabellen nedenfor viser en opdeling af dette StoreHub-datalæk.
Antal poster lækket | Over 1.7 mia |
Antal berørte brugere | Ca. 1 million |
Størrelse på lækage | Over 1TB |
serverplacering | Singapore |
Virksomhedens placering | Petaling Jaya, Malaysia |
Vores cybersikkerhedsteam opdagede denne lækage den 12. januar 2022. Serverindholdet ser ud til at have været afsløret siden mindst slutningen af november 2021.
Da vi fandt lækagen, fulgte vores cybersikkerhedsteam reglerne for etisk hacking ved at lade serveren og dataene være uberørte og derefter kontakte den ansvarlige virksomhed.
Vi sendte en e-mail til StoreHub, så snart vi opdagede lækagen. Den 18. januar sendte vi en opfølgende e-mail til dem, og vi sendte en e-mail til StoreHubs teknologichef. Vi modtog intet svar inden den 27. januar, så vi kontaktede malaysiske CERT og Amazon Web Services (hostingfirmaet). Begge svarede prompte.
Vi var i stand til at afsløre lækagen til den malaysiske CERT den 28. januar. Den malaysiske CERT bad os om mere information den 2. februar, men serveren var sikret på det tidspunkt. Vi anslår, at serveren var sikret mellem den periode fra 28. januar til 2. februar.
Indvirkning på datalækage
Udsat PII efterlader ofre sårbare over for tyveri og svindel fra dårlige skuespillere, der får fingrene i PII-detaljerne.
Vi har ingen måde at bekræfte, om uetiske hackere har opdaget dette datalæk, men berørte virksomheder og kunder bør være opmærksomme på følgende potentielle trusler.
Svindel og bedrageri
Den afslørede PII efterlader kunder sårbare over for svindelforsøg. For eksempel kan dårlige aktører ringe til ofre og vinde deres tillid ved at bekræfte købsoplysninger, der involverer prisen og datoen for en transaktion – eller endda de sidste fire cifre i et kreditkortnummer.
Efter at have opnået tillid, kunne de dårlige aktører erhverve yderligere oplysninger fra offeret, som derefter kunne give dem mulighed for at påføre reel skade ved at få adgang til deres bank eller misbruge kreditkortoplysninger.
Kontotyveri
Lækagen indeholder kontotokens, som højst sandsynligt tilhører de virksomheder, der bruger StoreHub-serveren. Dårlige aktører kunne bruge disse tokens til at logge ind som virksomhederne eller kunderne og potentielt ændre kontooplysninger.
Dette kan skade virksomheden på en række forskellige måder, afhængigt af hvad de dårlige skuespillere vælger at gøre. Af etiske årsager kan vi ikke teste mulighederne for de udsatte tokens. Et teoretisk eksempel er dog, at de kunne tillade dårlige skuespillere at ændre menuen på en restaurants konto eller helt fjerne virksomhedens fortegnelse. Udsatte tokens kan også sætte kunder i fare, da dårlige aktører potentielt kan ændre webstedet for at indsamle endnu mere følsomt PII og yderligere kompromittere ofrene.
Risiko for ejendomstyveri for kunder
De detaljerede oplysninger fra lækagen skaber mange sårbarheder for kunderne. Oplysninger i lækagen kan give dårlige aktører mulighed for at spore og opsnappe ordrer, som kunden allerede har betalt for.
Lækagen angiver også de tidspunkter, hvor nogle kunder generelt forlader deres hjem. I de forkerte hænder kan denne information bringe kundernes ejendom i fare for et fysisk indbrud.
Risiko for ejendomstyveri for virksomheder
Lækagen indeholder lange lister over personalets ind- og udtjekningstider, som fortæller dårlige aktører præcist, hvor mange medarbejdere der generelt er i butikken på bestemte tidspunkter. Hvis de havde til hensigt fysisk at bryde ind og stjæle fra virksomheden, ville disse oplysninger hjælpe med tyveriet.
Forebyggelse af dataeksponering
Hvad kan du gøre for at beskytte dine data og minimere din risiko for cyberkriminalitet?
Her er nogle måder, hvorpå du kan minimere din risiko for dataeksponering:
- Giv kun dine personlige oplysninger til enkeltpersoner og virksomheder, som du har tillid til.
- Besøg kun sikre websteder. Sikre websteder har domænenavne, der begynder med 'https' og/eller et lukket låsesymbol.
- Vær ekstra forsigtig, når du bliver bedt om at give de vigtigste former for personlige oplysninger (dvs. personnumre, statslige id-numre og personlige præferencer).
- Opret superstærke adgangskoder ved hjælp af en kombination af bogstaver, versaler, tal og symboler. Opdater dine adgangskoder regelmæssigt.
- Genbrug ikke adgangskoder på tværs af tjenester. Brug en Password Manager Hvis det er nødvendigt
- Klik ikke på links i e-mails, SMS-beskeder eller andre steder på internettet, medmindre du er helt sikker på, at kilden/afsenderen er ægte. Hvis du overhovedet er usikker, så gå til virksomhedens hjemmeside og find linket der.
- Rediger dine privatlivsindstillinger på sociale medier. Dine konti bør kun vise dit indhold og personlige oplysninger til betroede brugere og venner.
- Begræns de opgaver, du udfører, og de oplysninger, du viser, når du er tilsluttet offentligt Wi-Fi. For eksempel skal du ikke købe et produkt og indtaste dine kreditkortoplysninger på offentlig WiFi.
- Brug online kilder til lære om cyberkriminalitet, databeskyttelse og de trin, du kan tage for at undgå phishing-angreb og malware.
Om os
SafetyDetectives.com er verdens største antivirus-anmeldelseswebsted.
SafetyDetectives forskningslaboratorium er en pro bono -service, der har til formål at hjælpe onlinefællesskabet med at forsvare sig mod cybertrusler, samtidig med at de uddanner organisationer i, hvordan de kan beskytte deres brugeres data. Det overordnede formål med vores webkortlægningsprojekt er at hjælpe med at gøre internettet til et mere sikkert sted for alle brugere.
Vores tidligere rapporter har bragt adskillige højprofilerede sårbarheder og datalækage frem i lyset, herunder omkring 200+ millioner brugere, der er udsat af Kinesisk administrationsselskab for sociale medier Socialarks, samt et brud kl Brasiliansk e-handelsintegratorplatform Hariexpress der lækkede over 1.75 milliarder poster.
For en komplet gennemgang af SafetyDetectives cybersikkerhedsrapportering over de seneste 3 år, følg SafetyDetectives Cybersikkerhedsteam.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- Om
- adgang
- Adgang
- Ifølge
- Konto
- erhverve
- tværs
- adresse
- adresser
- påvirker
- mod
- Alle
- allerede
- Amazon
- Amazon Web Services
- analytics
- antivirus
- overalt
- asia
- Bank
- barer
- jf. nedenstående
- mellem
- Billion
- milliarder
- brud
- Fordeling
- virksomhed
- virksomheder
- ringe
- kapaciteter
- forsigtig
- forårsager
- vis
- chef
- Chief Technology Officer
- Vælg
- lukket
- Tøj
- indsamler
- kombination
- samfund
- Virksomheder
- selskab
- Selskabs
- fuldstændig
- tilsluttet
- indeholder
- indhold
- kunne
- lande
- skaber
- kredit
- kreditkort
- For øjeblikket
- kunde
- Kunder
- Cyber
- cyberkriminalitet
- Cybersecurity
- data
- datalækage
- databeskyttelse
- levering
- Afhængigt
- detaljeret
- detaljer
- enhed
- cifre
- opdaget
- Skærm
- domæne
- ned
- i løbet af
- e-handel
- ecommerce
- uddanne
- medarbejdere
- kryptering
- skøn
- etc.
- etisk
- præcist nok
- eksempel
- udsat
- finde
- følger
- efter
- mad
- formularer
- Grundlagt
- bedrageri
- fra
- fuld
- yderligere
- vinder
- generelt
- Regering
- hackere
- hacking
- Hovedkontor
- hjælpe
- historie
- Hosting
- Hvordan
- How To
- Men
- HTTPS
- vigtigt
- omfatter
- omfatter
- Herunder
- individuel
- enkeltpersoner
- oplysninger
- Internet
- opgørelse
- IT
- selv
- januar
- lab
- største
- lække
- Lækager
- Forlade
- lys
- Sandsynlig
- linjer
- LINK
- links
- notering
- Lister
- Lang
- Loyalitet
- større
- lave
- Malaysia
- malware
- ledelse
- kortlægning
- Medier
- Medlemmer
- beskeder
- million
- mere
- mest
- flere
- navne
- nummer
- numre
- Tilbud
- Officer
- online
- åbent
- ordrer
- ordrer
- organisationer
- betalt
- særlig
- Nulstilling/ændring af adgangskoder
- betalinger
- Mennesker
- periode
- personale
- Phishing
- phishing-angreb
- fysisk
- Fysisk
- stykker
- perron
- Punkt
- PoS
- potentiale
- tidligere
- pris
- Beskyttelse af personlige oplysninger
- om
- behandle
- Produkt
- Programmer
- projekt
- ejendom
- beskytte
- beskyttelse
- give
- udbyder
- giver
- offentlige
- køb
- indkøb
- formål
- årsager
- modtaget
- optage
- optegnelser
- region
- Rapporter
- forskning
- svar
- ansvarlige
- Restaurant
- Restauranter
- detail
- gennemgå
- Risiko
- regler
- sikrere
- salg
- salg
- sikker
- Sikret
- sikkerhed
- tjeneste
- Tjenester
- butikker
- siden
- websted
- SMS
- So
- Social
- sociale medier
- Software
- nogle
- specifikke
- butik
- forhandler
- systemet
- opgaver
- hold
- Teknologier
- fortæller
- prøve
- tyveri
- tusinder
- trusler
- gange
- Tokens
- værktøjer
- spor
- Sporing
- Transaktioner
- Stol
- betroet
- Opdatering
- us
- brug
- brugere
- række
- ofre
- Sårbarheder
- Sårbar
- måder
- web
- webservices
- Hjemmeside
- websites
- Hvad
- mens
- WHO
- Wi-fi
- wifi
- uden
- Verdens
- ville
- år
- Din