RSI सुरक्षा सुरक्षा साइबर सुरक्षा टीम ने स्टोरहब नामक सॉफ्टवेयर कंपनी को प्रभावित करने वाले एक बड़े डेटा लीक का पता लगाया है।
स्टोरहब मलेशिया में स्थित है और एक प्वाइंट ऑफ सेल (पीओएस) सॉफ्टवेयर सिस्टम प्रदान करता है जिसका उपयोग ज्यादातर रेस्तरां और खुदरा स्टोर में किया जाता है।
उजागर डेटा को स्टोरहब के इलास्टिक्स खोज सर्वर पर संग्रहीत किया गया था जिसे बिना किसी पासवर्ड-सुरक्षा या एन्क्रिप्शन के खुला छोड़ दिया गया था। असुरक्षित सर्वर ने संभावित रूप से हजारों रेस्तरां और खुदरा स्टोरों के साथ-साथ उनके कर्मचारियों और लगभग 1 मिलियन ग्राहकों की जानकारी से समझौता किया।
स्टोरहब कौन है?
स्टोरहब की स्थापना 2013 में मलेशिया में हुई थी और वर्तमान में इसका मुख्यालय पेटलिंग जया में है। उनकी वेबसाइट के अनुसार उनके उत्पाद का उपयोग 15,000 से अधिक व्यवसायों द्वारा किया जाता है, मुख्य रूप से दक्षिण पूर्व एशिया क्षेत्र में।
कंपनी पीओएस सॉफ्टवेयर मुख्य रूप से एफ एंड बी (खाद्य और पेय पदार्थ) व्यवसायों, जैसे रेस्तरां, बल्कि खुदरा स्टोरों को भी बेचती है।
पीओएस सॉफ़्टवेयर का उपयोग मुख्य रूप से ग्राहक-सामना वाले व्यवसायों (रेस्तरां, कैफे, बार, दुकानें इत्यादि) में खरीदारी और लेनदेन को संसाधित करने और रिकॉर्ड करने के लिए किया जाता है, साथ ही रसीदें जारी करने और विशेष वस्तुओं की बिक्री पर नज़र रखने के लिए किया जाता है - जैसे कि रेस्तरां में भोजन, या एक दुकान में कपड़ों के अलग-अलग टुकड़े।
स्टोरहब व्यवसाय प्रबंधन टूल और एनालिटिक्स का एक पूरा सूट भी प्रदान करता है। इनमें ई-कॉमर्स और ऑनलाइन डिलीवरी, इन्वेंट्री प्रबंधन, कर्मचारी प्रबंधन, वफादारी कार्यक्रम और ग्राहक विश्लेषण शामिल हैं।
परिणामस्वरूप, स्टोरहब पूरे दक्षिण पूर्व एशिया से 1 मिलियन से अधिक लोगों से डेटा एकत्र करने में सक्षम था - मुख्य रूप से इसके सॉफ़्टवेयर का उपयोग करने वाले व्यवसायों के ग्राहक।
क्या उजागर हुआ था?
हमारी साइबर सुरक्षा टीम ने पाया कि स्टोरहब ने अपने इलास्टिक्स खोज सर्वर में से एक को गलत तरीके से कॉन्फ़िगर किया था, जिससे 1.7 बिलियन से अधिक रिकॉर्ड और 1 टेराबाइट से अधिक डेटा लीक हो गया। इससे मलेशिया और संभावित रूप से पूरे दक्षिण पूर्व एशियाई देशों में लगभग 1 मिलियन ग्राहक सामने आए।
स्टोरहब ग्राहक-सामना वाले व्यवसायों को पीओएस सॉफ़्टवेयर बेचता है, इसलिए उजागर डेटा दो श्रेणियों में आता है:
- StoreHub का उपयोग करने वाले व्यवसायों के ग्राहकों का डेटा
- StoreHub का उपयोग करने वाले व्यवसायों से डेटा
StoreHub का उपयोग करने वाले व्यवसायों के ग्राहकों का डेटा
ग्राहकों से उजागर व्यक्तिगत पहचान योग्य जानकारी (पीआईआई) में शामिल हैं:
- पुरे नाम
- फोन नंबर
- भौतिक पते
- ईमेल पता
- उपयोग किए जाने वाले उपकरण का प्रकार
सर्वर ने ग्राहकों से संबंधित भुगतान और ऑर्डर की जानकारी से संबंधित डेटा को भी उजागर किया, जैसे कि पीआईआई को उजागर किया:
- लेन-देन की तारीखें
- ऑर्डर किए गए आइटम
- स्टोर स्थान
कुछ ऑर्डर विवरण आंशिक रूप से छिपी हुई क्रेडिट कार्ड जानकारी को उजागर करते हैं।
StoreHub का उपयोग करने वाले व्यवसायों से डेटा
लीक ने स्टोरहब और उनके स्टाफ सदस्यों का उपयोग करने वाले व्यवसायों को भी प्रभावित किया। व्यवसायों से लीक हुई जानकारी में शामिल हैं:
- कर्मचारियों से चेक-इन/चेक-आउट समय
- कर्मचारी के नाम
- स्टोर के नाम
- भौतिक पते संग्रहीत करें
- ईमेल पते संग्रहीत करें
हमारी साइबर सुरक्षा टीम ने लीक हुए एक्सेस टोकन भी देखे, जिनका उपयोग बुरे कलाकार व्यवसायों की वेबसाइटों में लॉग इन करने और उन्हें संशोधित करने के लिए कर सकते हैं, जिससे संभावित रूप से अधिक नुकसान हो सकता है। जिसका हम नैतिक कारणों से परीक्षण नहीं कर सके।
नीचे दी गई तालिका इस स्टोरहब डेटा लीक का विवरण दिखाती है।
कितने रिकॉर्ड लीक हुए | 1.7 बिलियन से अधिक |
प्रभावित उपयोगकर्ताओं की संख्या | लगभग। १ मिलियन |
रिसाव का आकार | 1टीबी से अधिक |
सर्वर स्थान | सिंगापुर |
कंपनी का स्थान | Petaling Jaya, मलेशिया |
हमारी साइबर सुरक्षा टीम ने 12 जनवरी, 2022 को इस लीक का पता लगाया। ऐसा लगता है कि सर्वर सामग्री कम से कम नवंबर 2021 के अंत से उजागर हुई है।
लीक का पता चलने पर, हमारी साइबर सुरक्षा टीम ने सर्वर और डेटा को अछूता छोड़कर एथिकल हैकिंग के नियमों का पालन किया, फिर जिम्मेदार कंपनी से संपर्क किया।
लीक का पता चलते ही हमने StoreHub को ईमेल किया। 18 जनवरी को, हमने उन्हें एक अनुवर्ती ईमेल भेजा और हमने स्टोरहब के मुख्य प्रौद्योगिकी अधिकारी को एक ईमेल भेजा। हमें 27 जनवरी तक कोई प्रतिक्रिया नहीं मिली, इसलिए हमने मलेशियाई सीईआरटी और अमेज़ॅन वेब सर्विसेज (होस्टिंग कंपनी) से संपर्क किया। दोनों ने तुरंत जवाब दिया.
हम 28 जनवरी को मलेशियाई सीईआरटी को लीक का खुलासा करने में सक्षम थे। मलेशियाई सीईआरटी ने हमसे 2 फरवरी को अधिक जानकारी मांगी, लेकिन तब तक सर्वर सुरक्षित था। हमारा अनुमान है कि सर्वर 28 जनवरी से 2 फरवरी की अवधि के बीच सुरक्षित था।
डेटा लीक का असर
उजागर पीआईआई पीड़ितों को बुरे तत्वों द्वारा चोरी और धोखाधड़ी के प्रति संवेदनशील बना देता है, जिनके हाथ पीआईआई विवरण लग जाते हैं।
हमारे पास इसकी पुष्टि करने का कोई तरीका नहीं है कि क्या अनैतिक हैकर्स ने इस डेटा लीक का पता लगाया है, लेकिन प्रभावित व्यवसायों और ग्राहकों को निम्नलिखित संभावित खतरों के प्रति सतर्क रहना चाहिए।
घोटाले और धोखाधड़ी
उजागर पीआईआई ग्राहकों को धोखाधड़ी के प्रयासों के प्रति असुरक्षित बना देता है। उदाहरण के लिए, बुरे कलाकार पीड़ितों को कॉल कर सकते हैं और लेनदेन की कीमत और तारीख या यहां तक कि क्रेडिट कार्ड नंबर के अंतिम चार अंकों से जुड़ी खरीद जानकारी की पुष्टि करके उनका विश्वास हासिल कर सकते हैं।
विश्वास हासिल करने के बाद, बुरे कलाकार पीड़ित से अधिक जानकारी प्राप्त कर सकते हैं जो फिर उनके बैंक तक पहुंच कर या क्रेडिट कार्ड की जानकारी का दुरुपयोग करके उन्हें वास्तविक नुकसान पहुंचाने की अनुमति दे सकता है।
खाता चोरी
लीक में खाता टोकन शामिल हैं, जो संभवतः स्टोरहब सर्वर का उपयोग करने वाले व्यवसायों से संबंधित हैं। बुरे अभिनेता इन टोकन का उपयोग व्यवसायों या ग्राहकों के रूप में लॉगिन करने और संभावित रूप से खाता विवरण संशोधित करने के लिए कर सकते हैं।
यह व्यवसाय को विभिन्न तरीकों से नुकसान पहुंचा सकता है, यह इस बात पर निर्भर करता है कि बुरे अभिनेता क्या करना चुनते हैं। नैतिक कारणों से, हम उजागर टोकन की क्षमताओं का परीक्षण नहीं कर सकते। हालाँकि, एक सैद्धांतिक उदाहरण यह है कि वे बुरे कलाकारों को किसी रेस्तरां के खाते पर मेनू को संशोधित करने या व्यवसाय की सूची को पूरी तरह से हटाने की अनुमति दे सकते हैं। उजागर टोकन भी ग्राहकों को जोखिम में डाल सकते हैं, क्योंकि बुरे कलाकार संभावित रूप से अधिक संवेदनशील पीआईआई एकत्र करने और पीड़ितों से समझौता करने के लिए साइट को संशोधित कर सकते हैं।
ग्राहकों के लिए संपत्ति की चोरी का जोखिम
लीक से मिली विस्तृत जानकारी ग्राहकों के लिए कई कमजोरियां पैदा करती है। लीक में दी गई जानकारी ख़राब कर्ताओं को उन ऑर्डरों को ट्रैक करने और रोकने की अनुमति दे सकती है जिनके लिए ग्राहक पहले ही भुगतान कर चुका है।
लीक उस समय का भी संकेत देता है जब कुछ ग्राहक आम तौर पर अपना घर छोड़ देते हैं। गलत हाथों में, यह जानकारी ग्राहकों की संपत्ति को भौतिक क्षति के खतरे में डाल सकती है।
व्यवसायों के लिए संपत्ति की चोरी का जोखिम
लीक में कर्मचारियों के चेक-इन और चेक-आउट समय की लंबी सूची है, जो खराब अभिनेताओं को बताती है कि विशिष्ट समय के दौरान स्टोर में कितने कर्मचारी आम तौर पर होते हैं। यदि उनका इरादा व्यवसाय में शारीरिक रूप से सेंध लगाने और चोरी करने का था, तो यह जानकारी चोरी में मदद करेगी।
डेटा एक्सपोजर को रोकना
आप अपने डेटा की सुरक्षा और साइबर अपराध के जोखिम को कम करने के लिए क्या कर सकते हैं?
यहां कुछ तरीके दिए गए हैं जिनसे आप डेटा एक्सपोज़र के जोखिम को कम कर सकते हैं:
- अपनी व्यक्तिगत जानकारी केवल उन व्यक्तियों और कंपनियों को प्रदान करें जिन पर आप भरोसा करते हैं।
- केवल सुरक्षित वेबसाइटों पर ही जाएँ। सुरक्षित वेबसाइटों के डोमेन नाम 'https' और/या बंद ताले के प्रतीक से शुरू होते हैं।
- जब व्यक्तिगत जानकारी के सबसे महत्वपूर्ण रूप (यानी सामाजिक सुरक्षा नंबर, सरकारी आईडी नंबर और व्यक्तिगत प्राथमिकताएं) प्रदान करने के लिए कहा जाए तो अतिरिक्त सावधानी बरतें।
- बनाएं अति-मजबूत पासवर्ड अक्षरों, बड़े अक्षरों, संख्याओं और प्रतीकों के संयोजन का उपयोग करना। अपने पासवर्ड नियमित रूप से अपडेट करें.
- सभी सेवाओं में पासवर्ड का पुनर्चक्रण न करें. का उपयोग करो पासवर्ड मैनेजर यदि आवश्यक है
- ईमेल, एसएमएस संदेशों या इंटरनेट पर कहीं भी लिंक पर क्लिक न करें जब तक कि आप पूरी तरह से आश्वस्त न हों कि स्रोत/प्रेषक वास्तविक है। यदि बिल्कुल भी अनिश्चित हैं, तो कंपनी की वेबसाइट पर जाएं और वहां लिंक ढूंढें।
- अपनी सोशल मीडिया गोपनीयता सेटिंग संपादित करें. आपके खातों को केवल विश्वसनीय उपयोगकर्ताओं और मित्रों को ही आपकी सामग्री और व्यक्तिगत विवरण प्रदर्शित करना चाहिए।
- सार्वजनिक वाई-फाई से कनेक्ट होने पर आपके द्वारा किए जाने वाले कार्यों और आपके द्वारा प्रदर्शित की जाने वाली जानकारी को सीमित करें। उदाहरण के लिए, कोई उत्पाद न खरीदें और सार्वजनिक वाईफाई पर अपने क्रेडिट कार्ड का विवरण टाइप न करें।
- के लिए ऑनलाइन स्रोतों का उपयोग करें साइबर क्राइम के बारे में जानें, डेटा सुरक्षा, और फ़िशिंग हमलों और मैलवेयर से बचने के लिए आप क्या कदम उठा सकते हैं।
हमारे बारे में
सुरक्षा जासूस.कॉम दुनिया की सबसे बड़ी एंटीवायरस समीक्षा वेबसाइट है।
SafetyDetectives रिसर्च लैब एक निशुल्क सेवा है, जिसका उद्देश्य संगठनों को अपने उपयोगकर्ताओं के डेटा की सुरक्षा के बारे में शिक्षित करने के दौरान साइबर खतरों के खिलाफ ऑनलाइन समुदाय की रक्षा में मदद करना है। हमारी वेब मैपिंग परियोजना का व्यापक उद्देश्य सभी उपयोगकर्ताओं के लिए इंटरनेट को सुरक्षित स्थान बनाने में मदद करना है।
हमारी पिछली रिपोर्टों ने कई हाई-प्रोफाइल भेद्यताओं और डेटा लीक को प्रकाश में लाया है, जिसमें कुछ 200+ मिलियन उपयोगकर्ता उजागर हुए हैं चीनी सोशल मीडिया प्रबंधन कंपनी सोशलकार्स, साथ ही साथ एक उल्लंघन भी ब्राज़ीलियाई ईकॉमर्स इंटीग्रेटर प्लेटफ़ॉर्म हरीएक्सप्रेस इससे 1.75 बिलियन से अधिक रिकॉर्ड लीक हो गए।
पिछले 3 वर्षों में सेफ्टीडेक्टिव्स साइबरसुरिटी रिपोर्टिंग की पूरी समीक्षा के लिए, का पालन करें सेफ्टीडेक्टिव साइबरस्पेस टीम.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- About
- पहुँच
- तक पहुँचने
- अनुसार
- लेखा
- अधिग्रहण
- के पार
- पता
- पतों
- प्रभावित करने वाले
- के खिलाफ
- सब
- पहले ही
- वीरांगना
- अमेज़ॅन वेब सेवा
- विश्लेषिकी
- एंटीवायरस
- कहीं भी
- एशिया
- बैंक
- सलाखों
- नीचे
- के बीच
- बिलियन
- अरबों
- भंग
- विश्लेषण
- व्यापार
- व्यवसायों
- कॉल
- क्षमताओं
- सावधान
- के कारण
- कुछ
- प्रमुख
- मुख्य प्रौद्योगिकी अधिकारी
- चुनें
- बंद
- कपड़ा
- इकट्ठा
- संयोजन
- समुदाय
- कंपनियों
- कंपनी
- कंपनी का है
- पूरी तरह से
- जुड़ा हुआ
- शामिल हैं
- सामग्री
- सका
- देशों
- बनाता है
- श्रेय
- क्रेडिट कार्ड
- वर्तमान में
- ग्राहक
- ग्राहक
- साइबर
- cybercrime
- साइबर सुरक्षा
- तिथि
- डेटा लीक
- आँकड़ा रक्षण
- प्रसव
- निर्भर करता है
- विस्तृत
- विवरण
- युक्ति
- अंक
- की खोज
- डिस्प्ले
- डोमेन
- नीचे
- दौरान
- ई - कॉमर्स
- ई-कॉमर्स
- शिक्षित
- ईमेल
- कर्मचारियों
- एन्क्रिप्शन
- आकलन
- आदि
- नैतिक
- ठीक ठीक
- उदाहरण
- उजागर
- खोज
- का पालन करें
- निम्नलिखित
- भोजन
- रूपों
- स्थापित
- धोखा
- से
- पूर्ण
- आगे
- पाने
- आम तौर पर
- सरकार
- हैकर्स
- हैकिंग
- मुख्यालय
- मदद
- इतिहास
- होस्टिंग
- कैसे
- How To
- तथापि
- HTTPS
- महत्वपूर्ण
- शामिल
- शामिल
- सहित
- व्यक्ति
- व्यक्तियों
- करें-
- इंटरनेट
- सूची
- IT
- खुद
- जनवरी
- प्रयोगशाला
- सबसे बड़ा
- रिसाव
- लीक
- छोड़ना
- प्रकाश
- संभावित
- पंक्तियां
- LINK
- लिंक
- लिस्टिंग
- सूचियाँ
- लंबा
- निष्ठा
- प्रमुख
- बनाना
- मलेशिया
- मैलवेयर
- प्रबंध
- मानचित्रण
- मीडिया
- सदस्य
- संदेश
- दस लाख
- अधिक
- अधिकांश
- विभिन्न
- नामों
- संख्या
- संख्या
- ऑफर
- अफ़सर
- ऑनलाइन
- खुला
- आदेश
- आदेशों
- संगठनों
- प्रदत्त
- विशेष
- पासवर्ड
- भुगतान
- स्टाफ़
- अवधि
- स्टाफ़
- फ़िशिंग
- फ़िशिंग हमले
- भौतिक
- शारीरिक रूप से
- टुकड़े
- मंच
- बिन्दु
- पीओएस
- संभावित
- पिछला
- मूल्य
- एकांत
- प्रति
- प्रक्रिया
- एस्ट्रो मॉल
- प्रोग्राम्स
- परियोजना
- संपत्ति
- रक्षा करना
- सुरक्षा
- प्रदान करना
- प्रदाता
- प्रदान करता है
- सार्वजनिक
- क्रय
- खरीद
- उद्देश्य
- कारण
- प्राप्त
- रिकॉर्ड
- अभिलेख
- क्षेत्र
- रिपोर्ट
- अनुसंधान
- प्रतिक्रिया
- जिम्मेदार
- रेस्टोरेंट
- रेस्टोरेंट्स
- खुदरा
- की समीक्षा
- जोखिम
- नियम
- सुरक्षित
- बिक्री
- विक्रय
- सुरक्षित
- सिक्योर्ड
- सुरक्षा
- सेवा
- सेवाएँ
- दुकानों
- के बाद से
- साइट
- एसएमएस
- So
- सोशल मीडिया
- सोशल मीडिया
- सॉफ्टवेयर
- कुछ
- विशिष्ट
- की दुकान
- भंडार
- प्रणाली
- कार्य
- टीम
- टेक्नोलॉजी
- बताता है
- परीक्षण
- RSI
- चोरी
- हजारों
- धमकी
- बार
- टोकन
- उपकरण
- ट्रैक
- ट्रैकिंग
- लेनदेन
- ट्रस्ट
- विश्वस्त
- अपडेट
- us
- उपयोग
- उपयोगकर्ताओं
- विविधता
- शिकार
- कमजोरियों
- चपेट में
- तरीके
- वेब
- वेब सेवाओं
- वेबसाइट
- वेबसाइटों
- क्या
- जब
- कौन
- वाई फाई
- वाईफ़ाई
- बिना
- दुनिया की
- होगा
- साल
- आपका