के नेतृत्व में अनुराग सेन, सुरक्षा सुरक्षा साइबर सुरक्षा टीम ने यूएस भुगतान सॉफ्टवेयर प्रदाता ट्रांजैक्ट कैंपस को प्रभावित करने वाले डेटा एक्सपोजर की पहचान की।
कंपनी की वेबसाइट के अनुसार, ट्रांजैक्ट कैंपस की तकनीक उच्च शिक्षा संस्थानों में छात्रों की खरीद के लिए कई भुगतान कार्यों को एक ही मोबाइल प्लेटफॉर्म में एकीकृत करती है। ट्रांजैक्ट कैंपस की सेवाएं छात्रों और संस्थानों के लिए समान रूप से भुगतान प्रक्रियाओं को सुव्यवस्थित करती हैं।
ट्रांजैक्ट कैंपस से संबंधित डेटा वाला एक इलास्टिक्स खोज सर्वर बिना किसी पासवर्ड सुरक्षा के असुरक्षित छोड़ दिया गया था, और इसलिए 1 मिलियन से अधिक छात्र रिकॉर्ड उजागर हुए हैं।
ट्रांजैक्ट कैंपस कौन है?
ट्रांजैक्ट कैंपस यूएस के उच्च शिक्षा संस्थानों को एक कैंपस भुगतान तकनीक बेचता है जो छात्रों के लिए एक ही ऐप में मोबाइल भुगतान और उपयोगकर्ता पहचान ("कैंपस आईडी" के साथ) को एकीकृत करता है।
छात्र अपने विशिष्ट व्यक्तिगत खाते ("कैंपस आईडी") के साथ ट्यूशन फीस और विभिन्न अन्य ऑन-साइट विशेषाधिकारों पर कैशलेस भुगतान कर सकते हैं, जिसमें इवेंट टिकट और रियायत स्टैंड, वेंडिंग मशीन और तीसरे पक्ष के विक्रेताओं के उत्पाद शामिल हैं।
कैंपस आईडी का उपयोग छात्र को विभिन्न अन्य कैंपस कार्यों, जैसे प्रिंटर एक्सेस, डोर एक्सेस, इवेंट एक्सेस और क्लास अटेंडेंस मॉनिटरिंग के लिए अधिकृत करने के लिए भी किया जा सकता है।
ट्रांजैक्ट कैंपस का मुख्यालय फीनिक्स, एरिजोना में है। 1984 में कंपनी की स्थापना के बाद से, Transact Campus ने 12 क्लाइंट संस्थानों में 1,300 मिलियन छात्रों को सेवा प्रदान की है, जिससे $45 बिलियन के लेनदेन की सुविधा हुई है। ट्रांजैक्ट कैंपस वर्तमान में लगभग 400 लोगों को रोजगार देता है और अनुमानित वार्षिक राजस्व यूएस $ 100 मिलियन उत्पन्न करता है।
क्या उजागर हुआ?
खुले इलास्टिक्स खोज सर्वर ने 1 मिलियन से अधिक रिकॉर्ड को उजागर किया, जिसमें कुल 5 जीबी से अधिक डेटा था। सर्वर को एक्सेस करने योग्य छोड़ दिया गया था और इसका डेटा अनएन्क्रिप्टेड था।
Elasticsearch के लॉग में विभिन्न कॉलेजों के डेटा शामिल थे जो Transact Campus की सेवाओं का उपयोग करते हैं। यह डेटा इन उजागर संस्थानों के छात्रों का है।
छात्र PII के कई रूप खुले सर्वर पर सामने आए, जिनमें शामिल हैं:
- पुरे नाम
- ईमेल पता
- फोन नंबर
- सादे पाठ में लॉगिन क्रेडेंशियल, सहित उपयोगकर्ता नाम और पासवर्ड
- लेनदेन का विवरण, सहित राशि और खरीद का समय
- क्रेडिट कार्ड विवरण (अपूर्ण), सहित 6 पहले अंक (बिन*) और क्रेडिट कार्ड नंबरों के अंतिम 4 अंक, समाप्ति तिथि और बैंक विवरण
- ख़रीदी गई भोजन योजना और भोजन योजना संतुलन
*नोट: बैंक पहचान संख्या (बीआईएन) भुगतान कार्ड संख्या के पहले छह अंक हैं। ये नंबर कार्ड जारीकर्ता की पहचान करते हैं।
सेफ्टी डिटेक्टिव्स साइबर सिक्योरिटी टीम को एक विशेष पोर्ट पर आईपी एड्रेस की जांच करते समय खुला इलास्टिक्स खोज सर्वर मिला। सर्वर लाइव था और खोज के समय अपडेट किया जा रहा था।
आप निम्न स्क्रीनशॉट में सर्वर लॉग के साक्ष्य देख सकते हैं जो छात्र डेटा को उजागर करते हैं।
डेटा एक्सपोजर उन छात्रों को प्रभावित करता है जो ट्रांजैक्ट कैंपस खाताधारक हैं। परिवार भी प्रभावित हो सकते हैं। उदाहरण के लिए, माता-पिता के भुगतान विवरण को उजागर किया जा सकता है यदि वे किसी छात्र की ट्यूशन फीस को निधि देते हैं या किसी छात्र को ट्रांजैक्ट कैंपस खाते के माध्यम से आर्थिक रूप से सहायता करते हैं। कोई भी व्यक्ति जिसका खाता और/या भुगतान विवरण उजागर हुए कॉलेजों में से किसी एक के खाते से जुड़ा है, प्रभावित हो सकता है।
यह जानना असंभव है कि इस घटना में कितने लोग उजागर हुए थे। हालांकि, सर्वर पर उजागर हुए ईमेल पतों और फोन नंबरों की मात्रा से पता चलता है कि अनुमानित 30,000-40,000 छात्र प्रभावित हैं।
Transact Campus अमेरिका के उच्च शिक्षा संस्थानों से संबंधित है और, जैसे, उजागर Elasticsearch मुख्य रूप से अमेरिकी नागरिकों को प्रभावित करता है।
आप नीचे दी गई तालिका में इस डेटा एक्सपोज़र का पूरा विश्लेषण देख सकते हैं।
उजागर किये गये रिकार्डों की संख्या | 1 मिलियन से अधिक |
प्रभावित उपयोगकर्ताओं की संख्या | 30,000-40,000 लोग (मोटे तौर पर अनुमान) |
एक्सपोजर का आकार | लगभग 5 जीबी |
सर्वर स्थान | संयुक्त राज्य |
कंपनी का स्थान | फीनिक्स, एरिज़ोना, संयुक्त राज्य अमेरिका में |
हमने 6 दिसंबर, 2021 को खुले सर्वर की खोज की, और बाद में 8 दिसंबर, 2021 को ट्रांजैक्ट कैंपस में पहुंचे।
हमने 9 और 14 दिसंबर, 2021 को ट्रांजैक्ट कैंपस के साथ अपने शुरुआती संपर्क का पालन किया, लेकिन हमें कोई जवाब नहीं मिला। हमने 9 जनवरी, 2022 को यूएस-सीईआरटी को ईमेल किया, और 13 जनवरी, 2022 को कुछ प्रमुख संपर्कों को अनुवर्ती संदेश भेजे - ट्रांजैक्ट कैंपस ने उसी दिन उत्तर दिया। 14 जनवरी, 2022 को, हमने जिम्मेदारी से ट्रांजैक्ट कैंपस में लीक का खुलासा किया और 16 जनवरी, 2022 को, डेटा उल्लंघन सुरक्षित था।
ट्रांजैक्ट कैंपस ने बाद में हमारे संदेशों का जवाब दिया, और हमें बताया कि इलास्टिक्स खोज सर्वर उनके नियंत्रण में नहीं था:
"जाहिर है कि यह एक तीसरे पक्ष द्वारा एक डेमो के लिए स्थापित किया गया था और इसे कभी भी नीचे नहीं लिया गया था। हमने पुष्टि की कि डेटासेट नकली डेटा सेट से भरा था और किसी भी उत्पादन डेटा का उपयोग नहीं कर रहा था।
नोट: हमने खुले इलास्टिक्स खोज पर उपयोगकर्ताओं के एक नमूने की जाँच की और यह डेटा वास्तविक लोगों का लग रहा था।
फाउंड्री से बयान:
"इस घटना ने ट्रांजैक्ट में किसी भी सिस्टम को प्रभावित नहीं किया; इसे एक फाउंड्री गेटवे सर्वर से अलग किया गया था। संभावित जोखिम की खोज एक तीसरे पक्ष की सुरक्षा कंपनी द्वारा की गई थी जो सक्रिय रूप से कमजोर इलास्टिक्स खोज समूहों के लिए स्कैन करती है। डेटा का परीक्षण करने के बजाय, जैसा कि इलास्टिक्स खोज सर्वर ने उत्पादन लॉग में खींचा था, जिसमें 700 से कम छात्रों के स्पष्ट टेक्स्ट उपयोगकर्ता नाम और पासवर्ड शामिल थे, जिन्होंने 10 अक्टूबर, 2021 और 14 जनवरी, 2022 के बीच भोजन योजना खाते तक पहुंच के लिए पंजीकरण करने का प्रयास किया था। केवल पंजीकरण के प्रयास लॉग इन किए गए थे वह समय सीमा उन खातों के लिए है जो प्रभावित हुए थे।"
लेन-देन से बयान:
"इसके अलावा उत्पादन लॉग तक पहुंचने वाला कोई भी उपयोगकर्ता उपयोगकर्ता नाम और स्पष्ट टेक्स्ट पासवर्ड का उपयोग करके लेनदेन मंच पर लेनदेन में शामिल होने में असमर्थ होता। लेन-देन ने बहुत सावधानी से पासवर्ड बदलने के लिए बाध्य किया। सेफ्टी डिटेक्टिव्स से नोटिस मिलने के बाद ट्रांजैक्ट भी एक महत्वपूर्ण परिश्रम प्रयास में लगा हुआ है। ट्रांजैक्ट क्लाइंट और छात्र डेटा और इस डेटा को एकत्र करने, संसाधित करने और बनाए रखने वाले सिस्टम की रक्षा करना महत्वपूर्ण महत्व का है। इसलिए, सिस्टम, एप्लिकेशन और सेवाओं की सुरक्षा में संभावित खतरों को दूर करने के लिए नियंत्रण और सुरक्षा उपाय शामिल हैं। डेटा और सिस्टम के अनधिकृत उपयोग, परिवर्तन, प्रकटीकरण या विनाश से बचाव के लिए Transact की सूचना सुरक्षा और गोपनीयता उपायों को लागू किया जाता है। Transact अपने ग्राहकों के लिए उच्चतम स्तर की सुरक्षा प्रदान करने के लिए प्रतिबद्ध है और मौजूदा स्थिति और अपने सिस्टम की सुरक्षा के लिए किसी भी अन्य संभावित खतरों की निगरानी करना जारी रखेगा।
डेटा एक्सपोजर प्रभाव
हम यह नहीं जान सकते हैं और नहीं जानते हैं कि क्या दुर्भावनापूर्ण अभिनेताओं ने डेटाबेस को असुरक्षित होने पर एक्सेस किया था। यदि खराब अभिनेताओं ने सर्वर के डेटा को पढ़ा या डाउनलोड किया है, तो सर्वर की सामग्री उजागर छात्रों को साइबर अपराध के जोखिम में डाल सकती है।
स्पैम मार्केटिंग, फ़िशिंग हमले, और घोटाले ट्रांजैक्ट कैंपस के उपयोगकर्ताओं के लिए संपर्क विवरण, पूरे नाम और अन्य संवेदनशील विवरणों के साथ संभव है। हमलावर इतने सारे लीक हुए ईमेल पतों के साथ स्पैम मार्केटिंग अभियान चला सकते हैं, हजारों लोगों को फ़िशिंग संदेश, मैलवेयर और घोटाले भेज सकते हैं।
एक फ़िशिंग हमले में, एक साइबर अपराधी एक भरोसेमंद व्यक्ति (जैसे कि एक कॉलेज कर्मचारी) के रूप में छात्रों को व्यक्तिगत डेटा के अतिरिक्त रूप प्रदान करने के लिए राजी कर सकता है, जैसे क्रेडिट कार्ड के पीछे सीवीवी नंबर। फ़िशर किसी छात्र को दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए मना सकते हैं। एक बार क्लिक करने के बाद, दुर्भावनापूर्ण लिंक पीड़ित के डिवाइस पर मैलवेयर डाउनलोड कर सकते हैं, जो डेटा संग्रह और साइबर अपराध के अन्य रूपों का पूरक हो सकता है।
साइबर अपराधियों द्वारा सर्वर तक पहुंचने पर उजागर छात्रों को भी घोटालों का निशाना बनाया जा सकता है। एक घोटाले में, एक साइबर अपराधी पीड़ित को पैसे देने के लिए धोखा देने का प्रयास करता है। फ़िशिंग हमलों की तरह, साइबर अपराधी पीड़ित को लक्षित करने के लिए अन्य प्रकार के उजागर डेटा का उपयोग कर सकते हैं। उदाहरण के लिए, एक साइबर अपराधी एक उजागर छात्र को हमलावर को सीधे बकाया ट्यूशन फीस का भुगतान करने के लिए मना सकता है।
एक्सपोज़्ड अकाउंट क्रेडेंशियल्स सादे पाठ में संग्रहीत किए गए थे और यह प्रभावित छात्रों के लिए और जोखिम प्रस्तुत करता है। अगर किसी हैकर ने सर्वर को एक्सेस किया, तो वे अनएन्क्रिप्टेड यूजरनेम और पासवर्ड को आसानी से पढ़ सकते थे। एक साइबर अपराधी इस जानकारी के साथ छात्रों के खातों तक पहुंच प्राप्त कर सकता है, और वे संभावित रूप से विवरण बदल सकते हैं और शुल्क का भुगतान किए जाने तक बड़े शुल्क लगाने की धमकी दे सकते हैं।
डेटा एक्सपोजर को रोकना
हम अपने डेटा की सुरक्षा और साइबर अपराध के जोखिम को कम करने के लिए क्या कर सकते हैं?
डेटा एक्सपोजर को रोकने के लिए यहां कुछ युक्तियां दी गई हैं:
- किसी कंपनी, संगठन या व्यक्ति को अपनी व्यक्तिगत जानकारी तब तक प्रदान न करें जब तक कि आप उस इकाई पर 100% भरोसा न करें।
- केवल उन वेबसाइटों पर जाएं जिनके पास एक सुरक्षित डोमेन नाम है (शुरुआत में "https" और/या बंद लॉक प्रतीक वाले डोमेन)।
- अपने सबसे संवेदनशील प्रकार के डेटा, जैसे कि अपना सामाजिक सुरक्षा नंबर, प्रदान करते समय अतिरिक्त सावधानी बरतें।
- रॉक-सॉलिड पासवर्ड बनाएं जिसमें अक्षरों, संख्याओं और प्रतीकों का मिश्रण हो। अपने पासवर्ड नियमित रूप से अपडेट करें।
- किसी लिंक को ऑनलाइन तब तक क्लिक न करें जब तक कि आप पूरी तरह से सुनिश्चित न हों कि यह एक वैध स्रोत से है। लिंक ईमेल, संदेशों या फ़िशिंग वेबसाइटों पर हो सकते हैं जो वैध डोमेन के रूप में मुखौटा कर रहे हैं।
- सोशल मीडिया पर अपनी गोपनीयता सेटिंग्स को संपादित करें ताकि आपकी सामग्री और जानकारी केवल मित्रों और विश्वसनीय उपयोगकर्ताओं के लिए दृश्यमान हो।
- जब आप सार्वजनिक या असुरक्षित वाईफाई नेटवर्क का उपयोग कर रहे हों तो अत्यधिक संवेदनशील डेटा (जैसे क्रेडिट कार्ड नंबर या पासवर्ड) प्रदर्शित करने या टाइप करने से बचें।
- साइबर अपराध के जोखिमों, डेटा सुरक्षा के महत्व और फ़िशिंग हमलों और मैलवेयर के शिकार होने की संभावना को कम करने वाले तरीकों के बारे में स्वयं को शिक्षित करें।
हमारे बारे में
सुरक्षा जासूस.कॉम दुनिया की सबसे बड़ी एंटीवायरस समीक्षा वेबसाइट है।
SafetyDetectives रिसर्च लैब एक निशुल्क सेवा है, जिसका उद्देश्य संगठनों को अपने उपयोगकर्ताओं के डेटा की सुरक्षा के बारे में शिक्षित करने के दौरान साइबर खतरों के खिलाफ ऑनलाइन समुदाय की रक्षा में मदद करना है। हमारी वेब मैपिंग परियोजना का व्यापक उद्देश्य सभी उपयोगकर्ताओं के लिए इंटरनेट को सुरक्षित स्थान बनाने में मदद करना है।
हमारी पिछली रिपोर्टों ने कई हाई-प्रोफाइल कमजोरियों और डेटा लीक को प्रकाश में लाया है, जिसमें 2.6 मिलियन उपयोगकर्ता शामिल हैं। अमेरिकन सोशल एनालिटिक्स प्लेटफॉर्म IGBlade, साथ ही साथ एक उल्लंघन ब्राजीलियाई मार्केटप्लेस इंटीग्रेटर प्लेटफॉर्म Hariexpress.com.br कि 610 जीबी से अधिक डेटा लीक हुआ।
पिछले 3 वर्षों में सेफ्टीडेक्टिव्स साइबरसुरिटी रिपोर्टिंग की पूरी समीक्षा के लिए, का पालन करें सेफ्टीडेक्टिव साइबरस्पेस टीम.
- "
- 000
- 10
- 2021
- 2022
- a
- About
- प्रचुरता
- पहुँच
- सुलभ
- तक पहुँचने
- लेखा
- अतिरिक्त
- पतों
- को प्रभावित
- प्रभावित करने वाले
- सहबद्ध
- के खिलाफ
- सब
- राशि
- विश्लेषिकी
- वार्षिक
- एंटीवायरस
- किसी
- अनुप्रयोग
- अनुप्रयोगों
- एरिज़ोना
- चारों ओर
- उपस्थिति
- शेष
- बैंक
- शुरू
- जा रहा है
- नीचे
- के बीच
- बिलियन
- भंग
- विश्लेषण
- अभियान
- कैंपस
- पत्ते
- सावधान
- कैशलेस
- संभावना
- परिवर्तन
- प्रभार
- जाँच
- कक्षा
- ग्राहकों
- बंद
- इकट्ठा
- संग्रह
- कॉलेज
- प्रतिबद्ध
- समुदाय
- कंपनी
- कंपनी का है
- पूरी तरह से
- आचरण
- संपर्क करें
- सामग्री
- जारी रखने के
- नियंत्रण
- नियंत्रण
- सका
- साख
- श्रेय
- क्रेडिट कार्ड
- क्रेडिट कार्ड
- महत्वपूर्ण
- वर्तमान
- वर्तमान में
- साइबर
- cybercrime
- साइबर अपराधी
- साइबर सुरक्षा
- तिथि
- डेटा भंग
- आँकड़ा रक्षण
- डेटा सेट
- डाटाबेस
- खजूर
- दिन
- सौदा
- विवरण
- युक्ति
- डीआईडी
- अंक
- लगन
- सीधे
- की खोज
- खोज
- डोमेन
- डोमेन नाम
- डोमेन
- नीचे
- डाउनलोड
- आसानी
- शिक्षित
- शिक्षा
- प्रयास
- ईमेल
- रोजगार
- लगाना
- सत्ता
- आकलन
- अनुमानित
- कार्यक्रम
- ठीक ठीक
- उदाहरण
- उजागर
- उल्लू बनाना
- परिवारों
- फीस
- प्रथम
- का पालन करें
- निम्नलिखित
- रूपों
- पाया
- स्थापित
- से
- पूर्ण
- कार्यों
- कोष
- आगे
- प्रवेश द्वार
- हैकर
- मुख्यालय
- मदद
- उच्चतर
- उच्च शिक्षा
- अत्यधिक
- धारकों
- कैसे
- How To
- तथापि
- HTTPS
- पहचान
- पहचान करना
- कार्यान्वित
- महत्व
- असंभव
- शामिल
- सहित
- व्यक्ति
- करें-
- सूचना सुरक्षा
- संस्थानों
- इंटरनेट
- IP
- आईपी पतों
- IT
- खुद
- जनवरी
- कुंजी
- जानना
- प्रयोगशाला
- सबसे बड़ा
- रिसाव
- लीक
- स्तर
- प्रकाश
- LINK
- लिंक
- जीना
- मशीनें
- बनाए रखना
- बनाना
- मैलवेयर
- मानचित्रण
- विपणन (मार्केटिंग)
- बाजार
- बहाना
- उपायों
- मीडिया
- तरीकों
- दस लाख
- मोबाइल
- मोबाइल भुगतान
- धन
- मॉनिटर
- निगरानी
- अधिक
- अधिकांश
- विभिन्न
- नामों
- नेटवर्क
- संख्या
- संख्या
- ओफ़्सेट
- ऑनलाइन
- खुला
- संगठन
- संगठनों
- अन्य
- प्रदत्त
- विशेष
- पार्टी
- पासवर्ड
- पासवर्ड
- वेतन
- भुगतान
- भुगतान कार्ड
- भुगतान
- स्टाफ़
- व्यक्ति
- स्टाफ़
- व्यक्तिगत डेटा
- फ़िशिंग
- फिशिंग अटैक
- फ़िशिंग हमले
- फ़ीनिक्स
- मंच
- संभव
- संभावित
- बिजली
- पिछला
- एकांत
- प्रति
- प्रक्रिया
- प्रक्रियाओं
- उत्पादन
- उत्पाद
- परियोजना
- रक्षा करना
- सुरक्षा
- प्रदान करना
- प्रदाता
- प्रदान कर
- सार्वजनिक
- खरीद
- उद्देश्य
- प्राप्त करना
- अभिलेख
- को कम करने
- रजिस्टर
- पंजीकरण
- रिपोर्ट
- अनुसंधान
- राजस्व
- की समीक्षा
- जोखिम
- जोखिम
- सुरक्षित
- वही
- घोटाला
- घोटाले
- सुरक्षित
- सिक्योर्ड
- सुरक्षा
- सेवा
- सेवाएँ
- सेट
- कई
- महत्वपूर्ण
- के बाद से
- एक
- छह
- बड़े आकार का
- So
- सोशल मीडिया
- सोशल मीडिया
- सॉफ्टवेयर
- कुछ
- स्पैम
- खड़ा
- सुवीही
- छात्र
- इसके बाद
- समर्थन
- सिस्टम
- लक्ष्य
- लक्षित
- टीम
- टेक्नोलॉजी
- परीक्षण
- RSI
- इसलिये
- तीसरे दल
- हजारों
- धमकी
- यहाँ
- टिकट
- पहर
- समय-सीमा
- सुझावों
- चलाना
- लेनदेन
- ट्रस्ट
- के अंतर्गत
- अद्वितीय
- यूनाइटेड
- असुरक्षित
- अपडेट
- us
- अमेरिका $ मिलियन 100
- उपयोग
- उपयोगकर्ताओं
- विभिन्न
- विक्रेताओं
- दिखाई
- आयतन
- कमजोरियों
- चपेट में
- बटुआ
- वेब
- वेबसाइट
- वेबसाइटों
- या
- जब
- कौन
- वाईफ़ाई
- अंदर
- बिना
- दुनिया की
- लायक
- होगा
- साल
- आपका