La کارآیی های ایمنی تیم امنیت سایبری یک نشت داده بزرگ را کشف کرده است که بر شرکت نرم افزاری به نام StoreHub تأثیر می گذارد.
StoreHub در مالزی مستقر است و یک سیستم نرم افزاری نقطه فروش (POS) ارائه می دهد که بیشتر در رستوران ها و فروشگاه های خرده فروشی استفاده می شود.
دادههای افشا شده در سرور Elasticsearch StoreHub که بدون محافظت از رمز عبور یا رمزگذاری باز گذاشته شده بود، ذخیره میشد. سرور محافظت نشده به طور بالقوه اطلاعات هزاران رستوران و فروشگاه های خرده فروشی را به همراه کارکنان آنها و تقریباً 1 میلیون مشتری به خطر انداخت.
StoreHub کیست؟
StoreHub در سال 2013 در مالزی تاسیس شد و در حال حاضر دفتر مرکزی آنها در Petaling Jaya است. طبق وب سایت آنها، بیش از 15,000 کسب و کار، عمدتاً در منطقه آسیای جنوب شرقی، از محصول آنها استفاده می کنند.
این شرکت نرمافزار POS را عمدتاً به مشاغل F&B (غذا و نوشیدنیها) مانند رستورانها و همچنین به فروشگاههای خردهفروشی میفروشد.
نرمافزار POS عمدتاً برای پردازش و ثبت خریدها و تراکنشها در مشاغل رو به رو مشتری (رستورانها، کافهها، بارها، مغازهها و غیره) و همچنین صدور رسید و ردیابی فروش اقلام خاص - مانند وعدههای غذایی در رستوران یا تکه های لباس در یک فروشگاه
StoreHub همچنین مجموعه کاملی از ابزارهای مدیریت کسب و کار و تجزیه و تحلیل را ارائه می دهد. اینها شامل تجارت الکترونیک و تحویل آنلاین، مدیریت موجودی، مدیریت کارکنان، برنامه های وفاداری و تجزیه و تحلیل مشتری می شود.
در نتیجه، StoreHub قادر به جمعآوری دادهها از بیش از 1 میلیون نفر از سراسر آسیای جنوب شرقی - عمدتاً مشتریان مشاغل با استفاده از نرمافزار آن بود.
چه چیزی افشا شد؟
تیم امنیت سایبری ما متوجه شد که Storehub یکی از سرورهای Elasticsearch خود را به درستی پیکربندی کرده است که باعث شده بیش از 1.7 میلیارد رکورد و بیش از 1 ترابایت داده به بیرون درز کند. این تقریباً 1 میلیون مشتری را در مالزی و احتمالاً در سراسر کشورهای آسیای جنوب شرقی در معرض دید قرار داد.
StoreHub نرم افزار POS را به مشاغل مشتری می فروشد، بنابراین داده های افشا شده در دو دسته قرار می گیرند:
- دادههای مشتریان کسبوکارهایی که از StoreHub استفاده میکنند
- دادههای کسبوکارهایی که از StoreHub استفاده میکنند
داده های مشتریان مشاغل با استفاده از StoreHub
اطلاعات شناسایی شخصی (PII) در معرض دید مشتریان شامل:
- نام کامل
- شماره تلفن ها
- آدرس های فیزیکی
- آدرس ایمیل
- نوع دستگاه مورد استفاده
سرور همچنین دادههای مربوط به پرداختها و اطلاعات سفارش متعلق به مشتریان را افشا میکند و PII مانند:
- تاریخ های معامله
- اقلام سفارش داده شده
- مکان های فروشگاه
برخی از جزئیات سفارش اطلاعات کارت اعتباری را تا حدی پنهان کرده است.
دادههای کسبوکارهایی که از StoreHub استفاده میکنند
این نشت همچنین بر کسب و کارهایی که از StoreHub استفاده می کنند و کارکنان آنها تأثیر می گذارد. اطلاعات لو رفته از کسب و کارها عبارتند از:
- زمان ورود / خروج از کارمندان
- اسامی کارکنان
- نام فروشگاه
- ذخیره آدرس های فیزیکی
- آدرس های ایمیل را ذخیره کنید
تیم امنیت سایبری ما همچنین شاهد توکنهای دسترسی فاش شده بود که بازیگران بد میتوانستند از آنها برای ورود به وبسایتهای کسبوکار و اصلاح آنها استفاده کنند و به طور بالقوه باعث آسیب بیشتر شوند. که به دلایل اخلاقی نتوانستیم آن را آزمایش کنیم.
جدول زیر خلاصه ای از نشت داده های StoreHub را نشان می دهد.
تعداد سوابق لو رفته | بیش از 1.7 میلیارد |
تعداد کاربران آسیب دیده | تقریباً 1 میلیون |
اندازه نشتی | بیش از 1 ترابایت |
محل سرور | سنگاپور |
محل شرکت | Petaling جایا، مالزی |
تیم امنیت سایبری ما این نشت را در 12 ژانویه 2022 کشف کرد. به نظر می رسد محتوای سرور حداقل از اواخر نوامبر 2021 افشا شده است.
تیم امنیت سایبری ما پس از کشف فاش، قوانین هک اخلاقی را با دست نخورده گذاشتن سرور و داده ها دنبال کرد و سپس با شرکت مسئول تماس گرفت.
به محض اینکه نشت را کشف کردیم به StoreHub ایمیل زدیم. در 18 ژانویه، ما یک ایمیل پیگیری برای آنها ارسال کردیم و یک ایمیل به مدیر ارشد فناوری StoreHub ارسال کردیم. تا 27 ژانویه هیچ پاسخی دریافت نکردیم، بنابراین با CERT مالزی و خدمات وب آمازون (شرکت میزبان) تماس گرفتیم. هر دو به سرعت پاسخ دادند.
ما در 28 ژانویه توانستیم نشت را به CERT مالزی فاش کنیم. CERT مالزی در 2 فوریه از ما اطلاعات بیشتری خواست، اما سرور تا آن زمان ایمن شده بود. ما تخمین می زنیم که سرور بین آن دوره از 28 ژانویه تا 2 فوریه ایمن بود.
تاثیر نشت داده ها
PII افشا شده، قربانیان را در معرض سرقت و کلاهبرداری از سوی بازیگران بدی قرار میدهد که جزئیات PII را به دست میآورند.
ما هیچ راهی برای تأیید اینکه هکرهای غیراخلاقی این نشت داده ها را کشف کرده اند، نداریم، اما کسب و کارها و مشتریان متاثر باید در برابر تهدیدات احتمالی زیر هوشیار باشند.
کلاهبرداری و کلاهبرداری
PII افشا شده مشتریان را در برابر تلاشهای کلاهبرداری آسیبپذیر میکند. به عنوان مثال، بازیگران بد می توانند با قربانیان تماس بگیرند و اعتماد آنها را با تأیید اطلاعات خرید مربوط به قیمت و تاریخ تراکنش - یا حتی چهار رقم آخر شماره کارت اعتباری - جلب کنند.
پس از جلب اعتماد، بازیگران بد میتوانند اطلاعات بیشتری از قربانی کسب کنند که به آنها اجازه میدهد با دسترسی به بانک خود یا سوء استفاده از اطلاعات کارت اعتباری آسیب واقعی وارد کنند.
سرقت حساب
این نشت حاوی توکن های حساب است که به احتمال زیاد متعلق به مشاغلی است که از سرور StoreHub استفاده می کنند. بازیگران بد می توانند از این نشانه ها برای ورود به عنوان کسب و کار یا مشتریان استفاده کنند و به طور بالقوه جزئیات حساب را تغییر دهند.
این می تواند به طرق مختلف به کسب و کار آسیب برساند، بسته به اینکه بازیگران بد چه کاری انجام دهند. به دلایل اخلاقی، نمیتوانیم قابلیتهای توکنهای در معرض دید را آزمایش کنیم. با این حال، یک مثال نظری این است که آنها می توانند به بازیگران بد اجازه دهند منوی حساب یک رستوران را تغییر دهند یا فهرست کسب و کار را به طور کامل حذف کنند. توکنهای افشا شده همچنین میتوانند مشتریان را در معرض خطر قرار دهند، زیرا بازیگران بد میتوانند به طور بالقوه سایت را برای جمعآوری PII حساستر تغییر دهند و قربانیان را بیشتر به خطر بیاندازند.
خطر سرقت اموال برای مشتریان
اطلاعات دقیق از نشت آسیب پذیری های زیادی برای مشتریان ایجاد می کند. اطلاعات درز میتواند به بازیگران بد اجازه دهد تا سفارشهایی را که مشتری قبلاً برای آنها پرداخت کرده است، ردیابی و رهگیری کنند.
این نشت همچنین زمان هایی را نشان می دهد که برخی از مشتریان معمولاً خانه های خود را ترک می کنند. در دستان اشتباه، این اطلاعات می تواند اموال مشتریان را در معرض خطر شکست فیزیکی قرار دهد.
خطر سرقت اموال برای مشاغل
این فاش حاوی لیست های طولانی از زمان های ورود و خروج کارکنان است که به بازیگران بد می گوید دقیقاً چه تعداد کارمند در زمان های خاص در فروشگاه هستند. اگر آنها قصد نفوذ فیزیکی و سرقت از تجارت را داشتند، این اطلاعات به سرقت کمک می کرد.
جلوگیری از قرار گرفتن در معرض داده ها
برای محافظت از داده های خود و به حداقل رساندن خطر جرایم سایبری چه کاری می توانید انجام دهید؟
در اینجا چند راه وجود دارد که می توانید خطر قرار گرفتن در معرض داده ها را به حداقل برسانید:
- اطلاعات شخصی خود را فقط در اختیار افراد و شرکت هایی قرار دهید که به آنها اعتماد دارید.
- فقط از وب سایت های امن بازدید کنید. وب سایت های امن دارای نام های دامنه ای هستند که با 'https' و/یا نماد قفل بسته شروع می شوند.
- هنگامی که از شما خواسته می شود مهم ترین اشکال اطلاعات شخصی (به عنوان مثال شماره تامین اجتماعی، شماره شناسه دولتی و ترجیحات شخصی) را ارائه دهید، بسیار مراقب باشید.
- ساختن رمزهای عبور فوق العاده قوی با استفاده از ترکیبی از حروف، حروف بزرگ، اعداد و نمادها. رمزهای عبور خود را به طور منظم به روز کنید.
- رمزهای عبور را در سرویسها بازیافت نکنید. استفاده از a مدیر رمز عبور در صورت لزوم
- روی پیوندهای موجود در ایمیلها، پیامکها یا هر جای دیگری در اینترنت کلیک نکنید، مگر اینکه کاملاً از واقعی بودن منبع/فرستنده مطمئن باشید. اگر اصلاً مطمئن نیستید، به وب سایت شرکت بروید و پیوند را در آنجا پیدا کنید.
- تنظیمات حریم خصوصی رسانه های اجتماعی خود را ویرایش کنید. حساب های شما فقط باید محتوا و اطلاعات شخصی شما را به کاربران و دوستان قابل اعتماد نشان دهد.
- کارهایی را که انجام می دهید و اطلاعاتی را که هنگام اتصال به Wi-Fi عمومی نمایش می دهید محدود کنید. به عنوان مثال، محصولی را خریداری نکنید و مشخصات کارت اعتباری خود را در WiFi عمومی تایپ کنید.
- از منابع آنلاین استفاده کنید درباره جرایم سایبری بیاموزید، حفاظت از داده ها و اقداماتی که می توانید برای جلوگیری از حملات فیشینگ و بدافزار بردارید.
درباره ما
SafetyDetectives.com بزرگترین وب سایت بررسی آنتی ویروس در جهان است.
آزمایشگاه تحقیقاتی SafetyDetectives یک سرویس رایگان است که با هدف کمک به جامعه آنلاین در دفاع از خود در برابر تهدیدات سایبری و آموزش سازمان ها در مورد نحوه حفاظت از داده های کاربران خود ، کمک می کند. هدف اصلی پروژه نقشه برداری وب ما این است که اینترنت را به مکانی امن برای همه کاربران تبدیل کنیم.
گزارشهای قبلی ما چندین آسیبپذیری با مشخصات بالا و نشت دادهها را آشکار کرده است، از جمله بیش از 200 میلیون کاربر که توسط شرکت چینی مدیریت رسانه های اجتماعی Socialarks، و همچنین نقض در پلت فرم یکپارچه تجارت الکترونیک برزیل Hariexpress که بیش از 1.75 میلیارد رکورد را به بیرون درز کرد.
برای بررسی کامل گزارشات امنیت سایبری SafetyDetectives در 3 سال گذشته، دنبال کنید تیم امنیت سایبری SafetyDetectives.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- درباره ما
- دسترسی
- دسترسی
- مطابق
- حساب
- به دست آوردن
- در میان
- نشانی
- آدرس
- موثر بر
- در برابر
- معرفی
- قبلا
- آمازون
- آمازون خدمات وب
- علم تجزیه و تحلیل
- آنتی ویروس
- هر جا
- آسیا
- بانک
- بار
- در زیر
- میان
- بیلیون
- میلیاردها
- شکاف
- تفکیک
- کسب و کار
- کسب و کار
- صدا
- قابلیت های
- دقیق
- باعث می شود
- معین
- رئیس
- مدیر ارشد فناوری
- را انتخاب کنید
- بسته
- تن پوش
- جمع آوری
- ترکیب
- انجمن
- شرکت
- شرکت
- شرکت
- به طور کامل
- متصل
- شامل
- محتوا
- میتوانست
- کشور
- ایجاد
- اعتبار
- کارت اعتباری
- در حال حاضر
- مشتری
- مشتریان
- سایبر
- جرایم اینترنتی
- امنیت سایبری
- داده ها
- نشت داده ها
- حفاظت از داده ها
- تحویل
- بستگی دارد
- دقیق
- جزئیات
- دستگاه
- رقم
- کشف
- نمایش دادن
- دامنه
- پایین
- در طی
- تجارت الکترونیک
- تجارت الکترونیک
- آموزش
- پست الکترونیک
- کارکنان
- رمزگذاری
- تخمین زدن
- و غیره
- اخلاقی
- کاملا
- مثال
- قرار گرفتن در معرض
- پیدا کردن
- به دنبال
- پیروی
- غذا
- اشکال
- تاسیس
- تقلب
- از جانب
- کامل
- بیشتر
- به دست آوردن
- عموما
- دولت
- هکرها
- هک
- مرکز فرماندهی
- کمک
- تاریخ
- میزبانی وب
- چگونه
- چگونه
- اما
- HTTPS
- مهم
- شامل
- شامل
- از جمله
- فرد
- افراد
- اطلاعات
- اینترنت
- فهرست
- IT
- خود
- ژانویه
- آزمایشگاه
- بزرگترین
- نشت
- نشت
- ترک کردن
- سبک
- احتمالا
- خطوط
- ارتباط دادن
- لینک ها
- فهرست
- لیست
- طولانی
- وفاداری
- عمده
- ساخت
- مالزی
- نرم افزارهای مخرب
- مدیریت
- نقشه برداری
- رسانه ها
- اعضا
- پیام
- میلیون
- بیش
- اکثر
- چندگانه
- نام
- عدد
- تعداد
- پیشنهادات
- افسر
- آنلاین
- باز کن
- سفارش
- سفارشات
- سازمان های
- پرداخت
- ویژه
- کلمه عبور
- مبلغ پرداختی
- مردم
- دوره
- شخصی
- فیشینگ
- حملات فیشینگ
- فیزیکی
- از نظر جسمی
- قطعات
- سکو
- نقطه
- بله
- پتانسیل
- قبلی
- قیمت
- خلوت
- در هر
- روند
- محصول
- برنامه ها
- پروژه
- ویژگی
- محافظت از
- حفاظت
- ارائه
- ارائه دهنده
- فراهم می کند
- عمومی
- خرید
- خرید
- هدف
- دلایل
- اخذ شده
- رکورد
- سوابق
- منطقه
- گزارش ها
- تحقیق
- پاسخ
- مسئوليت
- رستوران
- رستوران ها
- خرده فروشی
- این فایل نقد می نویسید:
- خطر
- قوانین
- امن تر
- فروش
- حراجی
- امن
- امن
- تیم امنیت لاتاری
- سرویس
- خدمات
- مغازه ها
- پس از
- سایت
- SMS
- So
- آگاهی
- رسانه های اجتماعی
- نرم افزار
- برخی از
- خاص
- opbevare
- پرده
- سیستم
- وظایف
- تیم
- پیشرفته
- می گوید
- آزمون
- La
- سرقت
- هزاران نفر
- تهدید
- بار
- نشانه
- ابزار
- مسیر
- پیگردی
- معاملات
- اعتماد
- مورد اعتماد
- بروزرسانی
- us
- استفاده کنید
- کاربران
- تنوع
- قربانیان
- آسیب پذیری ها
- آسیب پذیر
- راه
- وب
- خدمات وب
- سایت اینترنتی
- وب سایت
- چی
- در حین
- WHO
- وای فای
- فای
- بدون
- جهان
- خواهد بود
- سال
- شما