Η Ασφάλεια Η ομάδα κυβερνοασφάλειας ανακάλυψε μια σημαντική διαρροή δεδομένων που επηρεάζει την εταιρεία λογισμικού που ονομάζεται StoreHub.
Το StoreHub εδρεύει στη Μαλαισία και παρέχει ένα σύστημα λογισμικού σημείου πώλησης (POS) που χρησιμοποιείται κυρίως σε εστιατόρια και καταστήματα λιανικής.
Τα εκτεθειμένα δεδομένα αποθηκεύτηκαν σε έναν διακομιστή Elasticsearch του StoreHub που έμεινε ανοιχτός χωρίς προστασία με κωδικό πρόσβασης ή κρυπτογράφηση. Ο απροστάτευτος διακομιστής δυνητικά έθεσε σε κίνδυνο τις πληροφορίες χιλιάδων εστιατορίων και καταστημάτων λιανικής, μαζί με το προσωπικό τους και περίπου 1 εκατομμύριο πελάτες.
Ποιος είναι το StoreHub;
Το StoreHub ιδρύθηκε το 2013 στη Μαλαισία και επί του παρόντος έχει την έδρα του στο Petaling Jaya. Το προϊόν τους χρησιμοποιείται από περισσότερες από 15,000 επιχειρήσεις σύμφωνα με τον ιστότοπό τους, κυρίως στην περιοχή της Νοτιοανατολικής Ασίας.
Η εταιρεία πουλά λογισμικό POS κυρίως σε επιχειρήσεις F&B (τροφίμων και ποτών), όπως εστιατόρια, αλλά και σε καταστήματα λιανικής.
Το λογισμικό POS χρησιμοποιείται κυρίως για την επεξεργασία και την καταγραφή αγορών και συναλλαγών σε επιχειρήσεις που αντιμετωπίζουν πελάτες (εστιατόρια, καφετέριες, μπαρ, καταστήματα κ.λπ.), καθώς και για την έκδοση αποδείξεων και την παρακολούθηση πωλήσεων συγκεκριμένων αντικειμένων – όπως γεύματα σε εστιατόριο ή μεμονωμένα ρούχα σε ένα κατάστημα.
Το StoreHub προσφέρει επίσης μια πλήρη σειρά εργαλείων διαχείρισης επιχειρήσεων και αναλυτικών στοιχείων. Αυτά περιλαμβάνουν το ηλεκτρονικό εμπόριο και την ηλεκτρονική παράδοση, τη διαχείριση αποθέματος, τη διαχείριση εργαζομένων, τα προγράμματα αφοσίωσης και τα αναλυτικά στοιχεία πελατών.
Ως αποτέλεσμα, το StoreHub μπόρεσε να συλλέξει δεδομένα από περισσότερους από 1 εκατομμύριο ανθρώπους από όλη τη Νοτιοανατολική Ασία – κυρίως τους πελάτες των επιχειρήσεων που χρησιμοποιούν το λογισμικό του.
Τι εκτέθηκε;
Η ομάδα μας στον τομέα της κυβερνοασφάλειας ανακάλυψε ότι το Storehub είχε παραμετροποιήσει εσφαλμένα έναν διακομιστή του Elasticsearch, με αποτέλεσμα να διαρρεύσει πάνω από 1.7 δισεκατομμύρια εγγραφές και πάνω από 1 terabyte δεδομένων. Αυτό εξέθεσε σχεδόν 1 εκατομμύριο πελάτες στη Μαλαισία και ενδεχομένως σε χώρες της Νοτιοανατολικής Ασίας.
Το StoreHub πουλά λογισμικό POS σε επιχειρήσεις που αντιμετωπίζουν πελάτες, επομένως τα εκτεθειμένα δεδομένα διατίθενται σε δύο κατηγορίες:
- Δεδομένα από πελάτες επιχειρήσεων που χρησιμοποιούν το StoreHub
- Δεδομένα από επιχειρήσεις που χρησιμοποιούν το StoreHub
Δεδομένα από πελάτες επιχειρήσεων που χρησιμοποιούν το StoreHub
Οι εκτεθειμένες πληροφορίες προσωπικής ταυτοποίησης (PII) από πελάτες περιλαμβάνουν:
- Πλήρη ονόματα
- Τηλεφωνικοί αριθμοί
- Φυσικές διευθύνσεις
- Διευθύνσεις ηλεκτρονικού ταχυδρομείου
- Τύπος συσκευής που χρησιμοποιείται
Ο διακομιστής εξέθεσε επίσης δεδομένα που σχετίζονται με πληρωμές και πληροφορίες παραγγελιών που ανήκουν στους πελάτες, εκθέτοντας PII όπως:
- Ημερομηνίες συναλλαγών
- Παραγγελθέντα είδη
- Τοποθεσίες καταστημάτων
Ορισμένα από τα στοιχεία της παραγγελίας αποκάλυψαν μερικώς συγκαλυμμένα στοιχεία πιστωτικής κάρτας.
Δεδομένα από επιχειρήσεις που χρησιμοποιούν το StoreHub
Η διαρροή επηρέασε επίσης τις επιχειρήσεις που χρησιμοποιούν το StoreHub και τα μέλη του προσωπικού τους. Οι πληροφορίες που διέρρευσαν από τις επιχειρήσεις περιλαμβάνουν:
- Ώρες check-in/check-out από υπαλλήλους
- Ονόματα υπαλλήλων
- Ονόματα καταστημάτων
- Αποθηκεύστε φυσικές διευθύνσεις
- Αποθηκεύστε διευθύνσεις email
Η ομάδα μας στον τομέα της κυβερνοασφάλειας είδε επίσης διακριτικά πρόσβασης που διέρρευσαν, τα οποία οι κακοί παράγοντες θα μπορούσαν να χρησιμοποιήσουν για να συνδεθούν και να τροποποιήσουν τους ιστότοπους των επιχειρήσεων, προκαλώντας δυνητικά μεγαλύτερη ζημιά. Το οποίο δεν μπορέσαμε να δοκιμάσουμε για ηθικούς λόγους.
Ο παρακάτω πίνακας δείχνει μια ανάλυση αυτής της διαρροής δεδομένων StoreHub.
Αριθμός ρεκόρ διαρροών | Πάνω από 1.7 δισεκατομμύρια |
Αριθμός χρηστών που επηρεάζονται | Περίπου 1 εκατομμύρια |
Μέγεθος διαρροής | Πάνω από 1 TB |
Θέση διακομιστή | Singapore |
Τοποθεσία της εταιρείας | Petaling Jaya, Μαλαισία |
Η ομάδα μας για την ασφάλεια στον κυβερνοχώρο ανακάλυψε αυτήν τη διαρροή στις 12 Ιανουαρίου 2022. Το περιεχόμενο του διακομιστή φαίνεται να έχει εκτεθεί τουλάχιστον από τα τέλη Νοεμβρίου του 2021.
Μετά την εύρεση της διαρροής, η ομάδα μας για την ασφάλεια στον κυβερνοχώρο ακολούθησε τους κανόνες ηθικής πειρατείας αφήνοντας τον διακομιστή και τα δεδομένα ανέγγιχτα και, στη συνέχεια, επικοινωνώντας με την υπεύθυνη εταιρεία.
Στείλαμε email στο StoreHub μόλις ανακαλύψαμε τη διαρροή. Στις 18 Ιανουαρίου, τους στείλαμε ένα επόμενο email και στείλαμε ένα email στον επικεφαλής τεχνολογίας του StoreHub. Δεν λάβαμε καμία απάντηση μέχρι τις 27 Ιανουαρίου, οπότε επικοινωνήσαμε με τη Μαλαισιανή CERT και την Amazon Web Services (την εταιρεία φιλοξενίας). Και οι δύο απάντησαν αμέσως.
Καταφέραμε να αποκαλύψουμε τη διαρροή στο CERT της Μαλαισίας στις 28 Ιανουαρίου. Το CERT της Μαλαισίας μας ζήτησε περισσότερες πληροφορίες στις 2 Φεβρουαρίου, αλλά ο διακομιστής ήταν ασφαλισμένος μέχρι τότε. Εκτιμούμε ότι ο διακομιστής ήταν ασφαλής μεταξύ αυτής της περιόδου από τις 28 Ιανουαρίου έως τις 2 Φεβρουαρίου.
Επιπτώσεις διαρροής δεδομένων
Το εκτεθειμένο PII αφήνει τα θύματα ευάλωτα στην κλοπή και την απάτη από κακούς ηθοποιούς που παίρνουν στα χέρια τους τα στοιχεία του PII.
Δεν έχουμε τρόπο να επιβεβαιώσουμε εάν οι ανήθικοι χάκερ έχουν ανακαλύψει αυτήν τη διαρροή δεδομένων, αλλά οι επηρεαζόμενες επιχειρήσεις και οι πελάτες θα πρέπει να είναι σε εγρήγορση για τις ακόλουθες πιθανές απειλές.
Απάτες & Απάτες
Τα εκτεθειμένα PII αφήνουν τους πελάτες ευάλωτους σε απόπειρες απάτης. Για παράδειγμα, οι κακοί ηθοποιοί θα μπορούσαν να καλέσουν τα θύματα και να κερδίσουν την εμπιστοσύνη τους επιβεβαιώνοντας πληροφορίες αγοράς που αφορούν την τιμή και την ημερομηνία μιας συναλλαγής—ή ακόμη και τα τέσσερα τελευταία ψηφία ενός αριθμού πιστωτικής κάρτας.
Αφού κερδίσουν την εμπιστοσύνη, οι κακοί ηθοποιοί θα μπορούσαν να αποκτήσουν περαιτέρω πληροφορίες από το θύμα, οι οποίες θα μπορούσαν στη συνέχεια να τους επιτρέψουν να προκαλέσουν πραγματική ζημιά αποκτώντας πρόσβαση στην τράπεζά τους ή κάνοντας κατάχρηση των στοιχείων της πιστωτικής κάρτας.
Κλοπή λογαριασμού
Η διαρροή περιέχει διακριτικά λογαριασμού, τα οποία κατά πάσα πιθανότητα ανήκουν στις επιχειρήσεις που χρησιμοποιούν τον διακομιστή StoreHub. Οι κακοί παράγοντες θα μπορούσαν να χρησιμοποιήσουν αυτά τα διακριτικά για να συνδεθούν ως επιχειρήσεις ή πελάτες και ενδεχομένως να τροποποιήσουν τα στοιχεία του λογαριασμού.
Αυτό θα μπορούσε να βλάψει την επιχείρηση με διάφορους τρόπους, ανάλογα με το τι επιλέγουν να κάνουν οι κακοί ηθοποιοί. Για ηθικούς λόγους, δεν μπορούμε να δοκιμάσουμε τις δυνατότητες των εκτεθειμένων διακριτικών. Ωστόσο, ένα θεωρητικό παράδειγμα είναι ότι θα μπορούσαν να επιτρέψουν σε κακούς ηθοποιούς να τροποποιήσουν το μενού στον λογαριασμό ενός εστιατορίου ή να καταργήσουν εντελώς την καταχώριση της επιχείρησης. Τα εκτεθειμένα διακριτικά θα μπορούσαν επίσης να θέσουν σε κίνδυνο τους πελάτες, καθώς κακοί παράγοντες θα μπορούσαν ενδεχομένως να τροποποιήσουν τον ιστότοπο για να συλλέξουν ακόμη πιο ευαίσθητα PII και να θέτουν σε κίνδυνο περαιτέρω τα θύματα.
Κίνδυνος κλοπής ακινήτων για πελάτες
Οι λεπτομερείς πληροφορίες από τη διαρροή δημιουργούν πολλά τρωτά σημεία στους πελάτες. Οι πληροφορίες στη διαρροή θα μπορούσαν να επιτρέψουν σε κακούς παράγοντες να παρακολουθούν και να υποκλοπούν παραγγελίες για τις οποίες ο πελάτης έχει ήδη πληρώσει.
Η διαρροή υποδεικνύει επίσης τις φορές που ορισμένοι πελάτες εγκαταλείπουν γενικά τα σπίτια τους. Σε λάθος χέρια, αυτές οι πληροφορίες θα μπορούσαν να θέσουν την ιδιοκτησία των πελατών σε κίνδυνο για φυσική διάρρηξη.
Κίνδυνος Κλοπής Περιουσίας για Επιχειρήσεις
Η διαρροή περιέχει μεγάλες λίστες με τις ώρες check-in και check-out του προσωπικού, που λέει στους κακούς ηθοποιούς ακριβώς πόσοι υπάλληλοι βρίσκονται γενικά στο κατάστημα σε συγκεκριμένες ώρες. Εάν σκόπευαν να διαρρήξουν σωματικά και να κλέψουν από την επιχείρηση, αυτές οι πληροφορίες θα βοηθούσαν στην κλοπή.
Πρόληψη της έκθεσης δεδομένων
Τι μπορείτε να κάνετε για να προστατεύσετε τα δεδομένα σας και να ελαχιστοποιήσετε τον κίνδυνο του εγκλήματος στον κυβερνοχώρο;
Ακολουθούν ορισμένοι τρόποι με τους οποίους μπορείτε να ελαχιστοποιήσετε τον κίνδυνο έκθεσης δεδομένων:
- Παρέχετε τα προσωπικά σας στοιχεία μόνο σε άτομα και εταιρείες που εμπιστεύεστε.
- Επισκεφθείτε μόνο ασφαλείς ιστότοπους. Οι ασφαλείς ιστότοποι έχουν ονόματα τομέα που ξεκινούν με «https» ή/και ένα σύμβολο κλειστού κλειδώματος.
- Να είστε ιδιαίτερα προσεκτικοί όταν σας ζητείται να παρέχετε τις πιο σημαντικές μορφές προσωπικών πληροφοριών (π.χ. αριθμούς κοινωνικής ασφάλισης, αριθμούς κρατικής ταυτότητας και προσωπικές προτιμήσεις).
- Δημιουργία εξαιρετικά ισχυρούς κωδικούς πρόσβασης χρησιμοποιώντας έναν συνδυασμό γραμμάτων, κεφαλαίων, αριθμών και συμβόλων. Ενημερώνετε τακτικά τους κωδικούς πρόσβασής σας.
- Μην ανακυκλώνετε κωδικούς πρόσβασης σε όλες τις υπηρεσίες. Χρησιμοποίησε ένα Διευθυντής κωδικού πρόσβασης αν είναι απαραίτητο
- Μην κάνετε κλικ σε συνδέσμους σε email, μηνύματα SMS ή οπουδήποτε αλλού στο Διαδίκτυο, εκτός εάν είστε απολύτως βέβαιοι ότι η πηγή/αποστολέας είναι αυθεντική. Εάν δεν είστε καθόλου σίγουροι, μεταβείτε στον ιστότοπο της εταιρείας και βρείτε τον σύνδεσμο εκεί.
- Επεξεργαστείτε τις ρυθμίσεις απορρήτου των μέσων κοινωνικής δικτύωσης. Οι λογαριασμοί σας θα πρέπει να εμφανίζουν το περιεχόμενο και τα προσωπικά σας στοιχεία μόνο σε έμπιστους χρήστες και φίλους.
- Περιορίστε τις εργασίες που εκτελείτε και τις πληροφορίες που εμφανίζετε όταν συνδέεστε σε δημόσιο Wi-Fi. Για παράδειγμα, μην αγοράσετε ένα προϊόν και πληκτρολογήστε τα στοιχεία της πιστωτικής σας κάρτας σε δημόσιο WiFi.
- Χρησιμοποιήστε διαδικτυακές πηγές για να μάθετε για το έγκλημα στον κυβερνοχώρο, προστασία δεδομένων και τα βήματα που μπορείτε να ακολουθήσετε για να αποφύγετε επιθέσεις phishing και κακόβουλο λογισμικό.
Σχετικά με μας
SafetyDetectives.com είναι ο μεγαλύτερος ιστότοπος αναθεώρησης προστασίας από ιούς στον κόσμο.
Το ερευνητικό εργαστήριο SafetyDetectives είναι μια pro bono υπηρεσία που στοχεύει να βοηθήσει την διαδικτυακή κοινότητα να υπερασπιστεί τον εαυτό της από τις απειλές στον κυβερνοχώρο, ενώ εκπαιδεύει τους οργανισμούς σχετικά με τον τρόπο προστασίας των δεδομένων των χρηστών τους. Ο πρωταρχικός σκοπός του έργου χαρτογράφησης Ιστού μας είναι να βοηθήσουμε να κάνουμε το Διαδίκτυο ασφαλέστερο μέρος για όλους τους χρήστες.
Οι προηγούμενες αναφορές μας έφεραν στο φως πολλές ευπάθειες υψηλού προφίλ και διαρροές δεδομένων, συμπεριλαμβανομένων περίπου 200+ εκατομμυρίων χρηστών που έχουν εκτεθεί από Κινεζική εταιρεία διαχείρισης κοινωνικών μέσων Socialarks, καθώς και παραβίαση στο Βραζιλιάνικη πλατφόρμα ενοποίησης ηλεκτρονικού εμπορίου Hariexpress που διέρρευσαν πάνω από 1.75 δισεκατομμύρια αρχεία.
Για μια πλήρη ανασκόπηση των αναφορών SafetyDetectives στον κυβερνοχώρο τα τελευταία 3 χρόνια, ακολουθήστε Ομάδα ασφάλειας στον τομέα της ασφάλειας στον κυβερνοχώρο.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- Σχετικά
- πρόσβαση
- πρόσβαση
- Σύμφωνα με
- Λογαριασμός
- αποκτούν
- απέναντι
- διεύθυνση
- διευθύνσεις
- συγκινητικός
- κατά
- Όλα
- ήδη
- Amazon
- Amazon υπηρεσίες Web
- analytics
- προστασίας από ιούς
- οπουδήποτε
- Ασία
- Τράπεζα
- μπαρ
- παρακάτω
- μεταξύ
- Δισεκατομμύριο
- δισεκατομμύρια
- παραβίαση
- Ανάλυση
- επιχείρηση
- επιχειρήσεις
- κλήση
- δυνατότητες
- προσεκτικός
- προκαλώντας
- ορισμένες
- αρχηγός
- Γενικός Διευθυντής Τεχνολογίας
- Επιλέξτε
- κλειστό
- ΡΟΥΧΑ
- συλλέγουν
- συνδυασμός
- κοινότητα
- Εταιρείες
- εταίρα
- Εταιρεία
- εντελώς
- συνδεδεμένος
- Περιέχει
- περιεχόμενο
- θα μπορούσε να
- χώρες
- δημιουργεί
- μονάδες
- πιστωτική κάρτα
- Τη στιγμή
- πελάτης
- Πελάτες
- στον κυβερνοχώρο
- εγκλήματος στον κυβερνοχώρο
- Κυβερνασφάλεια
- ημερομηνία
- διαρροή δεδομένων
- την προστασία των δεδομένων
- διανομή
- Σε συνάρτηση
- λεπτομερής
- καθέκαστα
- συσκευή
- ψηφία
- ανακάλυψαν
- Display
- τομέα
- κάτω
- κατά την διάρκεια
- e-commerce
- ηλεκτρονικού εμπορίου
- εκπαίδευση
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- υπαλλήλους
- κρυπτογράφηση
- εκτίμηση
- κ.λπ.
- ηθικά
- ακριβώς
- παράδειγμα
- εκτεθειμένος
- εύρεση
- ακολουθήστε
- Εξής
- τροφή
- μορφές
- Ίδρυση
- απάτη
- από
- πλήρη
- περαιτέρω
- κερδίζει
- γενικά
- Κυβέρνηση
- χάκερ
- hacking
- Κεντρικά Γραφεία
- βοήθεια
- ιστορία
- φιλοξενία
- Πως
- Πώς να
- Ωστόσο
- HTTPS
- σημαντικό
- περιλαμβάνουν
- περιλαμβάνει
- Συμπεριλαμβανομένου
- ατομικές
- άτομα
- πληροφορίες
- Internet
- απογραφή
- IT
- εαυτό
- Ιανουάριος
- εργαστήριο
- μεγαλύτερη
- διαρροή
- Διαρροές
- Άδεια
- φως
- Πιθανός
- γραμμές
- LINK
- ΣΥΝΔΕΣΜΟΙ
- λίστα
- Λίστες
- Μακριά
- Loyalty
- μεγάλες
- κάνω
- Malaysia
- malware
- διαχείριση
- χαρτης
- Εικόνες / Βίντεο
- Μέλη
- μηνύματα
- εκατομμύριο
- περισσότερο
- πλέον
- πολλαπλούς
- ονόματα
- αριθμός
- αριθμοί
- προσφορές
- Αξιωματικός
- διαδικτυακά (online)
- ανοίξτε
- τάξη
- παραγγελιών
- οργανώσεις
- καταβλήθηκε
- Ειδικότερα
- Κωδικοί πρόσβασης
- πληρωμές
- People
- περίοδος
- προσωπικός
- Phishing
- επιθέσεις ηλεκτρονικού ψαρέματος
- φυσικός
- Φυσικώς
- κομμάτια
- πλατφόρμες
- Σημείο
- PoS
- δυναμικού
- προηγούμενος
- τιμή
- μυστικότητα
- Pro
- διαδικασια μας
- Προϊόν
- Προγράμματα
- σχέδιο
- περιουσία
- προστασία
- προστασία
- παρέχουν
- προμηθευτής
- παρέχει
- δημόσιο
- αγορά
- ψώνια
- σκοπός
- λόγους
- έλαβε
- ρεκόρ
- αρχεία
- περιοχή
- Εκθέσεις
- έρευνα
- απάντησης
- υπεύθυνος
- εστιατόριο
- Εστιατόρια
- λιανική πώληση
- ανασκόπηση
- Κίνδυνος
- κανόνες
- Ασφαλέστερο
- πώληση
- εμπορικός
- προστατευμένο περιβάλλον
- Ασφαλής
- ασφάλεια
- υπηρεσία
- Υπηρεσίες
- καταστήματα
- αφού
- ιστοσελίδα
- SMS
- So
- Μ.Κ.Δ
- social media
- λογισμικό
- μερικοί
- συγκεκριμένες
- κατάστημα
- καταστήματα
- σύστημα
- εργασίες
- Τεχνολογία
- λέει
- δοκιμή
- Η
- κλοπή
- χιλιάδες
- απειλές
- φορές
- κουπόνια
- εργαλεία
- τροχιά
- Παρακολούθηση
- Συναλλαγές
- Εμπιστευθείτε
- Έμπιστος
- Ενημέρωση
- us
- χρήση
- Χρήστες
- ποικιλία
- θύματα
- Θέματα ευπάθειας
- Ευάλωτες
- τρόπους
- ιστός
- διαδικτυακές υπηρεσίες
- Ιστοσελίδα : www.example.gr
- ιστοσελίδες
- Τι
- ενώ
- Ο ΟΠΟΊΟΣ
- Wi-Fi
- Wi-Fi
- χωρίς
- του κόσμου
- θα
- χρόνια
- Σας