رهبری آنوراگ سناز کارآیی های ایمنی تیم امنیت سایبری یک قرار گرفتن در معرض دادهای را شناسایی کرد که بر ارائهدهنده نرمافزار پرداخت ایالات متحده Transact Campus تأثیر میگذاشت.
طبق وب سایت این شرکت، فناوری Transact Campus چندین عملکرد پرداخت را در یک پلت فرم تلفن همراه ادغام می کند تا خرید دانشجویان در موسسات آموزش عالی را تقویت کند. خدمات Transact Campus فرآیندهای پرداخت را برای دانشجویان و موسسات به طور یکسان ساده می کند.
یک سرور Elasticsearch حاوی داده های مربوط به Transact Campus بدون هیچ گونه حفاظت رمز عبور ناامن رها شد و بنابراین بیش از 1 میلیون سوابق دانشجویی را در معرض دید قرار داده است.
پردیس ترانسکت کیست؟
Transact Campus یک فناوری پرداخت پردیس را به موسسات آموزش عالی ایالات متحده می فروشد که پرداخت های تلفن همراه و شناسایی کاربر (با "شناسه دانشگاه") را در یک برنامه واحد برای دانشجویان ادغام می کند.
دانشآموزان میتوانند با حساب شخصی منحصربهفرد خود («شناسه دانشگاه»)، از جمله بلیتهای رویداد و محصولات از غرفههای امتیاز، ماشینهای فروش خودکار، و فروشندگان شخص ثالث، هزینههای تحصیل و سایر امتیازات در محل را بدون نقد پرداخت کنند.
شناسه های پردیس همچنین می توانند برای اجازه دسترسی دانشجویان به عملکردهای مختلف دانشگاه مانند دسترسی به چاپگر، دسترسی درب، دسترسی به رویداد و نظارت بر حضور در کلاس استفاده شوند.
دفتر مرکزی Transact Campus در فینیکس، آریزونا واقع شده است. از زمان تأسیس این شرکت در سال 1984، پردیس ترانسکت به 12 میلیون دانشجو در 1,300 مؤسسه مشتری خدمات ارائه کرده است و تراکنش هایی به ارزش 45 میلیارد دلار را تسهیل می کند. پردیس ترانسکت در حال حاضر حدود 400 نفر را استخدام می کند و درآمد سالانه 100 میلیون دلار آمریکا تخمین زده می شود.
چه چیزی افشا شد؟
سرور باز Elasticsearch بیش از 1 میلیون رکورد را در معرض دید قرار داد که در مجموع بیش از 5 گیگابایت داده بود. سرور در دسترس باقی ماند و اطلاعات آن رمزگذاری نشده بود.
گزارشهای Elasticsearch حاوی دادههایی از کالجهای مختلفی بود که از خدمات Transact Campus استفاده میکردند. این داده ها متعلق به دانشجویان این مؤسسات در معرض دید است.
چندین فرم از PII دانشجویی در سرور باز در معرض دید قرار گرفت، از جمله:
- نام کامل
- آدرس ایمیل
- شماره تلفن ها
- اعتبار ورود به سیستم در متن ساده، شامل نام کاربری و رمز عبور
- جزئیات معامله، شامل مقدار و زمان خرید
- مشخصات کارت اعتباری (ناقص)، شامل 6 رقم اول (BIN*) و 4 رقم آخر شماره کارت اعتباری، تاریخ انقضا و جزئیات بانکی
- برنامه های غذایی خریداری شده و تعادل برنامه غذایی
*نکته: شماره شناسایی بانکی (BIN) شش رقم اول شماره کارت پرداخت است. این اعداد صادر کننده کارت را مشخص می کنند.
تیم امنیت سایبری SafetyDetectives هنگام بررسی آدرس های IP در یک پورت خاص، سرور باز Elasticsearch را پیدا کرد. سرور در زمان کشف فعال بود و در حال به روز رسانی بود.
در تصاویر زیر میتوانید شواهدی از گزارشهای سرور که دادههای دانشآموز را در معرض دید قرار میدهند، ببینید.
قرار گرفتن در معرض داده ها بر دانشجویانی که دارای حساب Transact Campus هستند تأثیر می گذارد. خانواده ها نیز ممکن است تحت تأثیر قرار گیرند. به عنوان مثال، اگر والدین هزینه های تحصیل دانشجو را تامین کنند یا از طریق حساب Transact Campus از دانش آموز حمایت مالی کنند، جزئیات پرداختی ممکن است فاش شود. هر شخصی که دارای حساب و/یا جزئیات پرداخت مرتبط با حسابی در یکی از کالجهای در معرض خطر باشد، ممکن است تحت تأثیر قرار گیرد.
نمی توان دقیقاً دانست که چند نفر در این حادثه افشا شده اند. با این حال، حجم آدرسهای ایمیل و شماره تلفنهای نمایش داده شده در سرور نشان میدهد که حدود 30,000 تا 40,000 دانشآموز تحت تأثیر قرار گرفتهاند.
پردیس Transact با مؤسسات آموزش عالی ایالات متحده سر و کار دارد و به این ترتیب، Elasticsearch در معرض دید در درجه اول بر شهروندان ایالات متحده تأثیر می گذارد.
در جدول زیر میتوانید تفکیک کامل این دادهها را مشاهده کنید.
تعداد رکوردهای افشا شده | بیش از 1 میلیون |
تعداد کاربران آسیب دیده | 30,000-40,000 نفر (تخمین تقریبی) |
اندازه نوردهی | حدود 5 گیگ |
محل سرور | ایالات متحده |
محل شرکت | فینیکس، آریزونا، ایالات متحده آمریکا |
ما سرور باز را در 6 دسامبر 2021 کشف کردیم و متعاقباً در 8 دسامبر 2021 با پردیس Transact تماس گرفتیم.
ما تماس اولیه خود را با Transact Campus در تاریخ 9 و 14 دسامبر 2021 پیگیری کردیم، اما پاسخی دریافت نکردیم. ما در 9 ژانویه 2022 به US-CERT ایمیل زدیم و در 13 ژانویه 2022 پیام های بعدی را به برخی از مخاطبین کلیدی ارسال کردیم - Transact Campus در همان روز پاسخ داد. در 14 ژانویه 2022، ما به طور مسئولانه نشت را به Transact Campus فاش کردیم و در 16 ژانویه 2022، نقض اطلاعات ایمن شد.
Transact Campus بعداً به پیامهای ما پاسخ داد و به ما گفت که سرور Elasticsearch تحت کنترل آنها نیست:
ظاهراً این توسط شخص ثالث برای یک نسخه آزمایشی تنظیم شده بود و هرگز حذف نشد. ما تأیید کردیم که مجموعه داده با یک مجموعه داده جعلی پر شده بود و از هیچ داده تولیدی استفاده نمی کرد.
توجه: ما نمونه ای از کاربران را در Elasticsearch باز بررسی کردیم و به نظر می رسید این داده ها متعلق به افراد واقعی باشد.
بیانیه ریخته گری:
"این حادثه هیچ سیستمی در Transact را تحت تاثیر قرار نداد. آن را به یک سرور Foundry دروازه جدا شده بود. قرار گرفتن در معرض احتمالی توسط یک شرکت امنیتی شخص ثالث کشف شد که به طور فعال خوشه های Elasticsearch آسیب پذیر را اسکن می کند. سرور Elasticsearch بهجای دادههای آزمایشی، گزارشهای تولیدی را وارد کرد که حاوی نام کاربری و گذرواژههای متنی کمتر از ۷۰۰ دانشآموز بود که سعی داشتند برای دسترسی به حساب برنامه غذایی بین ۱۰ اکتبر ۲۰۲۱ تا ۱۴ ژانویه ۲۰۲۲ ثبتنام کنند. این بازه زمانی حسابهایی را که تحت تأثیر قرار گرفتهاند حساب میکند.»
بیانیه Transact:
همچنین هرکسی که به گزارشهای تولید دسترسی داشته باشد، نمیتواند تنها با استفاده از نام کاربری و رمز عبور متن شفاف، در تراکنشهای پلتفرم تراکنش انجام دهد. Transact از روی احتیاط فراوان، رمز عبور را تغییر داد. Transact همچنین پس از دریافت اخطار از SafetyDetectives، تلاشهای جدی را انجام داد. حفاظت از دادههای مشتری و دانشآموز Transact و سیستمهایی که این دادهها را جمعآوری، پردازش و نگهداری میکنند از اهمیت حیاتی برخوردار است. بنابراین، امنیت سیستمها، برنامهها و خدمات شامل کنترلها و پادمانهایی برای مقابله با تهدیدات احتمالی است. اقدامات امنیت اطلاعات و حریم خصوصی Transact برای محافظت در برابر دسترسی غیرمجاز، تغییر، افشا یا تخریب داده ها و سیستم ها اجرا می شود. Transact متعهد به ارائه بالاترین سطح امنیت برای مشتریان خود است و به نظارت بر وضعیت فعلی و هرگونه تهدید بالقوه دیگر برای امنیت سیستم های خود ادامه خواهد داد.
تاثیر قرار گرفتن در معرض داده ها
ما نمیتوانیم و نمیدانیم که آیا عوامل مخرب به پایگاه داده در حالی که امن نبود دسترسی پیدا کردهاند یا خیر. اگر بازیگران بد اطلاعات سرور را خوانده یا دانلود کرده باشند، محتوای سرور میتواند دانشآموزان را در معرض خطر جرایم سایبری قرار دهد.
بازاریابی اسپم، حملات فیشینگ، و کلاهبرداری با اطلاعات تماس، نام کامل و سایر جزئیات حساس که برای کاربران Transact Campus در معرض دید قرار میگیرند، امکان پذیر است. مهاجمان میتوانند کمپینهای بازاریابی هرزنامهای را با تعداد زیادی آدرس ایمیل لو رفته، ارسال پیامهای فیشینگ، بدافزارها و کلاهبرداری برای هزاران نفر انجام دهند.
در یک حمله فیشینگ، یک مجرم سایبری میتواند به عنوان یک فرد قابل اعتماد (مانند یک کارمند کالج) ظاهر شود تا دانشآموزان را متقاعد کند تا فرمهای دیگری از دادههای شخصی، مانند شمارههای CVV در پشت کارتهای اعتباری را ارائه دهند. Phishers همچنین می تواند دانش آموز را متقاعد کند که روی یک پیوند مخرب کلیک کند. پس از کلیک، پیوندهای مخرب می توانند بدافزار را روی دستگاه قربانی بارگیری کنند که می تواند سایر اشکال جمع آوری داده ها و جرایم سایبری را تکمیل کند.
در صورت دسترسی مجرمان سایبری به سرور، دانشآموزان افشا شده نیز میتوانند هدف کلاهبرداری قرار گیرند. در یک کلاهبرداری، یک مجرم سایبری تلاش می کند قربانی را فریب دهد تا به آنها پول بپردازد. مانند حملات فیشینگ، مجرمان سایبری می توانند از اشکال دیگری از داده های افشا شده برای هدف قرار دادن قربانی استفاده کنند. برای مثال، یک مجرم سایبری میتواند دانشآموزی را متقاعد کند که شهریههای معوقه را مستقیماً به مهاجم پرداخت کند.
اعتبار حساب فاش شد در متن ساده ذخیره می شدند و این خطرات بیشتری را برای دانش آموزان آسیب دیده ایجاد می کند. اگر هر هکری به سرور دسترسی پیدا می کرد، می توانست به راحتی نام های کاربری و رمزهای عبور رمزگذاری نشده را بخواند. یک مجرم سایبری میتواند با این اطلاعات به حسابهای دانشآموزان دسترسی پیدا کند و به طور بالقوه میتواند جزئیات را تغییر دهد و تهدید کند که هزینههای قابلتوجهی دریافت خواهد کرد، مگر اینکه هزینهای پرداخت شود.
جلوگیری از قرار گرفتن در معرض داده ها
برای محافظت از داده های خود و به حداقل رساندن خطر جرایم سایبری چه کاری می توانیم انجام دهیم؟
در اینجا چند نکته برای جلوگیری از قرار گرفتن در معرض داده ها وجود دارد:
- اطلاعات شخصی خود را در اختیار یک شرکت، سازمان یا شخص قرار ندهید، مگر اینکه 100% به آن نهاد اعتماد دارید.
- فقط از وب سایت هایی بازدید کنید که دارای نام دامنه ایمن هستند (دامنه هایی با نماد "https" و/یا نماد قفل بسته در ابتدا).
- هنگام ارائه حساس ترین اشکال داده مانند شماره تامین اجتماعی خود، بسیار مراقب باشید.
- رمزهای عبور محکمی ایجاد کنید که حاوی ترکیبی از حروف، اعداد و نمادها باشد. رمزهای عبور خود را به طور مرتب به روز کنید.
- روی پیوند آنلاین کلیک نکنید، مگر اینکه کاملاً مطمئن باشید که منبع قانونی آن است. پیوندها میتوانند در ایمیلها، پیامها یا در وبسایتهای فیشینگ باشند که به عنوان دامنههای قانونی ظاهر میشوند.
- تنظیمات حریم خصوصی خود را در رسانه های اجتماعی ویرایش کنید تا محتوا و اطلاعات شما فقط برای دوستان و کاربران قابل اعتماد قابل مشاهده باشد.
- هنگامی که از شبکه WiFi عمومی یا ناامن استفاده می کنید، از نمایش یا تایپ داده های بسیار حساس (مانند شماره کارت اعتباری یا رمز عبور) خودداری کنید.
- خود را در مورد خطرات جرایم سایبری، اهمیت حفاظت از داده ها و روش هایی که احتمال قربانی شدن در حملات فیشینگ و بدافزارها را کاهش می دهد، آموزش دهید.
درباره ما
SafetyDetectives.com بزرگترین وب سایت بررسی آنتی ویروس در جهان است.
آزمایشگاه تحقیقاتی SafetyDetectives یک سرویس رایگان است که با هدف کمک به جامعه آنلاین در دفاع از خود در برابر تهدیدات سایبری و آموزش سازمان ها در مورد نحوه حفاظت از داده های کاربران خود ، کمک می کند. هدف اصلی پروژه نقشه برداری وب ما این است که اینترنت را به مکانی امن برای همه کاربران تبدیل کنیم.
گزارشهای قبلی ما چندین آسیبپذیری با مشخصات بالا و نشت دادهها را آشکار کرده است، از جمله 2.6 میلیون کاربر که توسط پلتفرم تحلیل اجتماعی آمریکایی IGBlade، و همچنین نقض در a پلت فرم ادغام کننده بازار برزیل Hariexpress.com.br که بیش از 610 گیگابایت اطلاعات به بیرون درز کرد.
برای بررسی کامل گزارشات امنیت سایبری SafetyDetectives در 3 سال گذشته، دنبال کنید تیم امنیت سایبری SafetyDetectives.
- "
- 000
- 10
- 2021
- 2022
- a
- درباره ما
- فراوانی
- دسترسی
- در دسترس
- دسترسی
- حساب
- اضافی
- آدرس
- اثر
- موثر بر
- وابسته
- در برابر
- معرفی
- مقدار
- علم تجزیه و تحلیل
- سالیانه
- آنتی ویروس
- هر کس
- نرم افزار
- برنامه های کاربردی
- آریزونا
- دور و بر
- حضور
- تعادل
- بانک
- شروع
- بودن
- در زیر
- میان
- بیلیون
- شکاف
- تفکیک
- مبارزات
- دانشگاه
- کارت ها
- دقیق
- بدون پرداخت پول نقد
- شانس
- تغییر دادن
- بار
- بررسی
- کلاس
- مشتریان
- بسته
- جمع آوری
- مجموعه
- کالج
- مرتکب شده
- انجمن
- شرکت
- شرکت
- به طور کامل
- رفتار
- تماس
- محتوا
- ادامه دادن
- کنترل
- گروه شاهد
- میتوانست
- مجوزها و اعتبارات
- اعتبار
- کارت اعتباری
- کارت های اعتباری
- بحرانی
- جاری
- در حال حاضر
- سایبر
- جرایم اینترنتی
- مجرمان سایبری
- امنیت سایبری
- داده ها
- نقض داده ها
- حفاظت از داده ها
- مجموعه داده ها
- پایگاه داده
- تاریخ
- روز
- معاملات
- جزئیات
- دستگاه
- DID
- رقم
- سخت کوشی
- مستقیما
- کشف
- کشف
- دامنه
- نام دامنه
- حوزه
- پایین
- دانلود
- به آسانی
- آموزش
- آموزش
- تلاش
- پست الکترونیک
- کار می کند
- تعامل
- موجودیت
- تخمین زدن
- برآورد
- واقعه
- کاملا
- مثال
- قرار گرفتن در معرض
- جعلی
- خانواده
- هزینه
- نام خانوادگی
- به دنبال
- پیروی
- اشکال
- یافت
- تاسیس
- از جانب
- کامل
- توابع
- صندوق
- بیشتر
- دروازه
- هکر
- دفتر مرکزی
- کمک
- بالاتر
- آموزش عالی
- خیلی
- دارندگان
- چگونه
- چگونه
- اما
- HTTPS
- شناسایی
- شناسایی
- اجرا
- اهمیت
- غیر ممکن
- شامل
- از جمله
- فرد
- اطلاعات
- امنیت اطلاعات
- موسسات
- اینترنت
- IP
- آدرس های IP
- IT
- خود
- ژانویه
- کلید
- دانستن
- آزمایشگاه
- بزرگترین
- نشت
- نشت
- سطح
- سبک
- ارتباط دادن
- لینک ها
- زنده
- ماشین آلات
- حفظ
- ساخت
- نرم افزارهای مخرب
- نقشه برداری
- بازار یابی (Marketing)
- بازار
- masquerade
- معیارهای
- رسانه ها
- روش
- میلیون
- موبایل
- پرداخت های موبایل
- پول
- مانیتور
- نظارت بر
- بیش
- اکثر
- چندگانه
- نام
- شبکه
- عدد
- تعداد
- چاپ افست
- آنلاین
- باز کن
- کدام سازمان ها
- سازمان های
- دیگر
- پرداخت
- ویژه
- حزب
- کلمه عبور
- کلمه عبور
- پرداخت
- پرداخت
- کارت پرداخت
- مبلغ پرداختی
- مردم
- شخص
- شخصی
- اطلاعات شخصی
- فیشینگ
- حمله فیشینگ
- حملات فیشینگ
- عنقا
- سکو
- ممکن
- پتانسیل
- قدرت
- قبلی
- خلوت
- در هر
- روند
- فرآیندهای
- تولید
- محصولات
- پروژه
- محافظت از
- حفاظت
- ارائه
- ارائه دهنده
- ارائه
- عمومی
- خرید
- هدف
- گرفتن
- سوابق
- كاهش دادن
- ثبت نام
- ثبت
- گزارش ها
- تحقیق
- درامد
- این فایل نقد می نویسید:
- خطر
- خطرات
- امن تر
- همان
- کلاهبرداری
- کلاهبرداری
- امن
- امن
- تیم امنیت لاتاری
- سرویس
- خدمات
- تنظیم
- چند
- قابل توجه
- پس از
- تنها
- شش
- قابل اندازه
- So
- آگاهی
- رسانه های اجتماعی
- نرم افزار
- برخی از
- اسپم
- می ایستد
- ساده کردن
- دانشجو
- متعاقبا
- پشتیبانی
- سیستم های
- هدف
- هدف قرار
- تیم
- پیشرفته
- آزمون
- La
- از این رو
- شخص ثالث
- هزاران نفر
- تهدید
- از طریق
- بلیط
- زمان
- دوره زمانی
- نکات
- معامله کردن
- معاملات
- اعتماد
- زیر
- منحصر به فرد
- متحد
- نا امن
- بروزرسانی
- us
- آمریکا 100 میلیون $
- استفاده کنید
- کاربران
- مختلف
- فروشندگان
- قابل رویت
- حجم
- آسیب پذیری ها
- آسیب پذیر
- کیف پول
- وب
- سایت اینترنتی
- وب سایت
- چه
- در حین
- WHO
- فای
- در داخل
- بدون
- جهان
- با ارزش
- خواهد بود
- سال
- شما