Das Sicherheitsdetektive Das Cybersicherheitsteam hat ein großes Datenleck entdeckt, das das Softwareunternehmen StoreHub betrifft.
StoreHub hat seinen Sitz in Malaysia und bietet ein Point-of-Sale (POS)-Softwaresystem, das hauptsächlich in Restaurants und Einzelhandelsgeschäften verwendet wird.
Die exponierten Daten wurden auf einem Elasticsearch-Server von StoreHub gespeichert, der ohne Passwortschutz oder Verschlüsselung offen gelassen wurde. Der ungeschützte Server gefährdete möglicherweise die Informationen von Tausenden von Restaurants und Einzelhandelsgeschäften sowie deren Mitarbeitern und rund 1 Million Kunden.
Wer ist StoreHub?
StoreHub wurde 2013 in Malaysia gegründet und hat derzeit seinen Hauptsitz in Petaling Jaya. Ihr Produkt wird laut ihrer Website von über 15,000 Unternehmen verwendet, hauptsächlich in der Region Südostasien.
Das Unternehmen verkauft POS-Software hauptsächlich an F&B-Unternehmen (Lebensmittel und Getränke), wie Restaurants, aber auch an Einzelhandelsgeschäfte.
POS-Software wird hauptsächlich verwendet, um Einkäufe und Transaktionen in Geschäften mit Kundenkontakt (Restaurants, Cafés, Bars, Geschäfte usw.) zu verarbeiten und aufzuzeichnen sowie Quittungen auszustellen und den Verkauf bestimmter Artikel zu verfolgen – wie z einzelne Kleidungsstücke in einem Geschäft.
StoreHub bietet auch eine vollständige Suite von Business-Management-Tools und Analysen. Dazu gehören E-Commerce und Online-Lieferung, Bestandsverwaltung, Mitarbeiterverwaltung, Treueprogramme und Kundenanalysen.
Infolgedessen konnte StoreHub Daten von über 1 Million Menschen aus ganz Südostasien sammeln – hauptsächlich die Kunden von Unternehmen, die seine Software verwenden.
Was wurde ausgesetzt?
Unser Cybersicherheitsteam entdeckte, dass Storehub einen ihrer Elasticsearch-Server falsch konfiguriert hatte, wodurch über 1.7 Milliarden Datensätze und über 1 Terabyte an Daten verloren gingen. Dadurch wurden fast 1 Million Kunden in Malaysia und möglicherweise in allen südostasiatischen Ländern exponiert.
StoreHub verkauft POS-Software an Unternehmen mit Kundenkontakt, sodass die offengelegten Daten in zwei Kategorien fallen:
- Daten von Kunden von Unternehmen, die StoreHub verwenden
- Daten von Unternehmen, die StoreHub verwenden
Daten von Kunden von Unternehmen, die StoreHub verwenden
Offengelegte personenbezogene Daten (PII) von Kunden umfassen:
- Ganze Namen
- Telefonnummern
- Physikalische Adressen
- E-mailadressen
- Art des verwendeten Geräts
Der Server legte auch Daten im Zusammenhang mit Zahlungen und Bestellinformationen der Kunden offen, wodurch PII offengelegt wurden, wie zum Beispiel:
- Transaktionsdaten
- Bestellte Artikel
- Store-Standorte
Einige der Bestelldetails enthielten teilweise maskierte Kreditkarteninformationen.
Daten von Unternehmen, die StoreHub verwenden
Das Leck betraf auch die Unternehmen, die StoreHub nutzen, und ihre Mitarbeiter. Zu den durchgesickerten Informationen der Unternehmen gehören:
- Check-in/Check-out-Zeiten der Mitarbeiter
- Mitarbeiternamen
- Namen speichern
- Physische Adressen speichern
- E-Mail-Adressen speichern
Unser Cybersicherheitsteam sah auch durchgesickerte Zugriffstoken, die Angreifer verwenden könnten, um sich bei den Websites der Unternehmen anzumelden und diese zu modifizieren, was möglicherweise noch mehr Schaden anrichtet. Was wir aus ethischen Gründen nicht testen konnten.
Die folgende Tabelle zeigt eine Aufschlüsselung dieses StoreHub-Datenlecks.
Anzahl geleakter Datensätze | Über 1.7 Milliarden |
Anzahl betroffener Nutzer | Ca. 1 Millionen |
Größe des Lecks | Über 1 TB |
Serverstandort | Singapur |
Firmensitz | Petaling Jaya, Malaysia |
Unser Cybersicherheitsteam entdeckte dieses Leck am 12. Januar 2022. Der Serverinhalt scheint mindestens seit Ende November 2021 offengelegt worden zu sein.
Nachdem das Leck gefunden wurde, befolgte unser Cybersicherheitsteam die Regeln des ethischen Hackens, indem es den Server und die Daten unberührt ließ und sich dann an das verantwortliche Unternehmen wandte.
Wir haben StoreHub eine E-Mail geschickt, sobald wir das Leck entdeckt haben. Am 18. Januar schickten wir ihnen eine Folge-E-Mail und eine E-Mail an den Chief Technology Officer von StoreHub. Bis zum 27. Januar erhielten wir keine Antwort, also kontaktierten wir das malaysische CERT und Amazon Web Services (das Hosting-Unternehmen). Beide haben prompt reagiert.
Wir konnten das Leck am 28. Januar dem malaysischen CERT mitteilen. Das malaysische CERT bat uns am 2. Februar um weitere Informationen, aber der Server war bis dahin gesichert. Wir schätzen, dass der Server zwischen dem 28. Januar und dem 2. Februar gesichert wurde.
Auswirkungen von Datenlecks
Offengelegte PII machen Opfer anfällig für Diebstahl und Betrug durch schlechte Akteure, die an die PII-Details gelangen.
Wir können nicht bestätigen, ob unethische Hacker dieses Datenleck entdeckt haben, aber betroffene Unternehmen und Kunden sollten auf die folgenden potenziellen Bedrohungen achten.
Betrug & Betrug
Die exponierten PII machen Kunden anfällig für Betrugsversuche. Zum Beispiel könnten Angreifer Opfer anrufen und ihr Vertrauen gewinnen, indem sie Kaufinformationen bestätigen, die den Preis und das Datum einer Transaktion beinhalten – oder sogar die letzten vier Ziffern einer Kreditkartennummer.
Nachdem sie Vertrauen gewonnen haben, könnten die Angreifer weitere Informationen vom Opfer erhalten, die es ihnen dann ermöglichen könnten, tatsächlichen Schaden zuzufügen, indem sie auf ihre Bank zugreifen oder Kreditkarteninformationen missbrauchen.
Kontodiebstahl
Das Leck enthält Konto-Token, die höchstwahrscheinlich den Unternehmen gehören, die den StoreHub-Server verwenden. Betrüger könnten diese Token verwenden, um sich als Unternehmen oder Kunden anzumelden und möglicherweise Kontodetails zu ändern.
Dies könnte dem Unternehmen auf verschiedene Weise schaden, je nachdem, was die schlechten Akteure tun. Aus ethischen Gründen können wir die Fähigkeiten der exponierten Token nicht testen. Ein theoretisches Beispiel ist jedoch, dass sie Angreifern erlauben könnten, die Speisekarte auf dem Konto eines Restaurants zu ändern oder den Eintrag des Unternehmens vollständig zu löschen. Offengelegte Token könnten auch Kunden gefährden, da Angreifer möglicherweise die Website modifizieren könnten, um noch sensiblere PII zu sammeln und die Opfer weiter zu gefährden.
Risiko des Eigentumsdiebstahls für Kunden
Die detaillierten Informationen aus dem Leck schaffen viele Schwachstellen für Kunden. Informationen im Leck könnten es Angreifern ermöglichen, Bestellungen zu verfolgen und abzufangen, für die der Kunde bereits bezahlt hat.
Das Leck gibt auch die Zeiten an, zu denen einige Kunden im Allgemeinen ihre Häuser verlassen. In den falschen Händen könnten diese Informationen das Eigentum des Kunden für einen physischen Einbruch gefährden.
Risiko des Eigentumsdiebstahls für Unternehmen
Das Leck enthält lange Listen mit Check-in- und Check-out-Zeiten der Mitarbeiter, die den Angreifern genau sagen, wie viele Mitarbeiter sich zu bestimmten Zeiten im Allgemeinen im Geschäft aufhalten. Wenn sie beabsichtigten, physisch in das Geschäft einzubrechen und es zu stehlen, würden diese Informationen beim Diebstahl helfen.
Verhindern der Datenexposition
Was können Sie tun, um Ihre Daten zu schützen und das Risiko von Cyberkriminalität zu minimieren?
Hier sind einige Möglichkeiten, wie Sie das Risiko einer Datenexposition minimieren können:
- Geben Sie Ihre personenbezogenen Daten nur an Personen und Unternehmen weiter, denen Sie vertrauen.
- Besuchen Sie nur sichere Websites. Sichere Websites haben Domainnamen, die mit „https“ und/oder einem geschlossenen Schlosssymbol beginnen.
- Seien Sie besonders vorsichtig, wenn Sie aufgefordert werden, die wichtigsten Formen persönlicher Informationen anzugeben (dh Sozialversicherungsnummern, amtliche Ausweisnummern und persönliche Vorlieben).
- Erstellen superstarke Passwörter mit einer Kombination aus Buchstaben, Großbuchstaben, Zahlen und Symbolen. Aktualisieren Sie Ihre Passwörter regelmäßig.
- Passwörter nicht dienstübergreifend wiederverwenden. Verwenden ein Password Manager Falls benötigt
- Klicken Sie nicht auf Links in E-Mails, SMS-Nachrichten oder anderswo im Internet, es sei denn, Sie sind absolut sicher, dass die Quelle/der Absender echt ist. Wenn Sie sich überhaupt nicht sicher sind, gehen Sie auf die Website des Unternehmens und suchen Sie dort den Link.
- Bearbeiten Sie Ihre Datenschutzeinstellungen für soziale Medien. Ihre Konten sollten Ihre Inhalte und persönlichen Daten nur vertrauenswürdigen Benutzern und Freunden anzeigen.
- Begrenzen Sie die Aufgaben, die Sie ausführen, und die Informationen, die Sie anzeigen, wenn Sie mit einem öffentlichen WLAN verbunden sind. Kaufen Sie beispielsweise kein Produkt und geben Sie Ihre Kreditkartendaten im öffentlichen WLAN ein.
- Nutzen Sie dazu Online-Quellen mehr über Cyberkriminalität erfahren, Datenschutz und die Maßnahmen, die Sie ergreifen können, um Phishing-Angriffe und Malware zu vermeiden.
Über uns
SafetyDetectives.com ist die weltweit größte Website zur Überprüfung von Antivirenprogrammen.
Das SafetyDetectives-Forschungslabor ist ein Pro-Bono-Dienst, der der Online-Community dabei helfen soll, sich gegen Cyber-Bedrohungen zu verteidigen und Unternehmen darüber zu informieren, wie sie die Daten ihrer Benutzer schützen können. Der übergeordnete Zweck unseres Web-Mapping-Projekts besteht darin, das Internet für alle Benutzer sicherer zu machen.
Unsere früheren Berichte haben mehrere hochkarätige Sicherheitslücken und Datenlecks ans Licht gebracht, darunter mehr als 200 Millionen Benutzer, die von betroffen sind Chinesisches Social Media Management Unternehmen Socialarks, sowie eine Verletzung bei Brasilianische E-Commerce-Integrationsplattform Hariexpress die über 1.75 Milliarden Datensätze durchgesickert sind.
Im Folgenden finden Sie eine vollständige Übersicht über die Cybersicherheitsberichte von SafetyDetectives in den letzten drei Jahren SafetyDetectives Cybersecurity-Team.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- Über uns
- Zugang
- Zugriff
- Nach
- Konto
- erwerben
- über
- Adresse
- Adressen
- beeinflussen
- gegen
- Alle
- bereits
- Amazon
- Amazon Web Services
- Analytik
- Antivirus
- von jedem Standort
- Asien
- Bank
- Riegel
- unten
- zwischen
- Milliarde
- Milliarden
- Verletzung
- Breakdown
- Geschäft
- Unternehmen
- rufen Sie uns an!
- Fähigkeiten
- vorsichtig
- verursacht
- sicher
- Chef
- Chief Technology Officer
- Auswählen
- geschlossen
- Bekleidung
- sammeln
- Kombination
- community
- Unternehmen
- Unternehmen
- Unternehmen
- uneingeschränkt
- Sie
- enthält
- Inhalt
- könnte
- Länder
- schafft
- Kredit
- Kreditkarte
- Zur Zeit
- Kunde
- Kunden
- Cyber-
- Cyber-Kriminalität
- Internet-Sicherheit
- technische Daten
- Datumsleck
- Datenschutz
- Lieferanten
- Abhängig
- detailliert
- Details
- Gerät
- Ziffern
- entdeckt
- Display
- Domain
- nach unten
- im
- e-commerce
- E-EINKAUF
- Erziehung
- Mitarbeiter
- Verschlüsselung
- schätzen
- etc
- ethisch
- genau
- Beispiel
- ausgesetzt
- Suche nach
- folgen
- Folgende
- Nahrung,
- Formen
- Gründung
- Betrug
- für
- voller
- weiter
- gewinnen
- allgemein
- der Regierung
- Hacker
- Hacking
- Hauptsitz
- Hilfe
- Geschichte
- Hosting
- Ultraschall
- Hilfe
- aber
- HTTPS
- wichtig
- das
- Dazu gehören
- Einschließlich
- Krankengymnastik
- Einzelpersonen
- Information
- Internet
- Inventar
- IT
- selbst
- Januar
- Labor
- höchste
- Leck
- Undichtigkeiten
- Verlassen
- !
- wahrscheinlich
- Linien
- LINK
- Links
- listing
- Listen
- Lang
- Loyalty
- Dur
- um
- Malaysia
- Malware
- Management
- Mapping
- Medien
- Mitglieder
- Nachrichten
- Million
- mehr
- vor allem warme
- mehrere
- Namen
- Anzahl
- Zahlen
- Angebote
- Offizier
- Online
- XNUMXh geöffnet
- Auftrag
- Bestellungen
- Organisationen
- bezahlt
- besondere
- Passwörter
- Zahlungen
- Personen
- Zeit
- persönliche
- Phishing
- Phishing-Attacken
- physikalisch
- Physisch
- Stücke
- Plattform
- Points
- Po
- Potenzial
- früher
- Preis
- Datenschutz
- Pro
- Prozessdefinierung
- Produkt
- Programme
- Projekt
- Resorts
- Risiken zu minimieren
- Sicherheit
- die
- Versorger
- bietet
- Öffentlichkeit
- Kauf
- Einkäufe
- Zweck
- Gründe
- Received
- Rekord
- Aufzeichnungen
- Region
- Meldungen
- Forschungsprojekte
- Antwort
- für ihren Verlust verantwortlich.
- im Deck Restaurant
- Restaurants
- Einzelhandel
- Überprüfen
- Risiko
- Ohne eine erfahrene Medienplanung zur Festlegung von Regeln und Strategien beschleunigt der programmatische Medieneinkauf einfach die Rate der verschwenderischen Ausgaben.
- Sicherheit
- Salz
- Vertrieb
- Verbindung
- Gesicherte
- Sicherheitdienst
- Leistungen
- Geschäfte
- da
- am Standort
- SMS
- So
- Social Media
- Social Media
- Software
- einige
- spezifisch
- speichern
- Läden
- System
- und Aufgaben
- Team
- Technologie
- erzählt
- Test
- Das
- Diebstahl
- Tausende
- Bedrohungen
- mal
- Tokens
- Werkzeuge
- verfolgen sind
- Tracking
- Transaktionen
- Vertrauen
- vertraut
- Aktualisierung
- us
- -
- Nutzer
- Vielfalt
- Opfer
- Sicherheitslücken
- Verwundbar
- Wege
- Netz
- Web-Services
- Webseite
- Webseiten
- Was
- während
- WHO
- Wi-fi
- Wi-Fi
- ohne
- weltweit
- würde
- Jahr
- Ihr