Grafik Detektif Keamanan tim keamanan siber telah menemukan kebocoran data besar yang memengaruhi perusahaan perangkat lunak bernama StoreHub.
StoreHub berbasis di Malaysia dan menyediakan sistem perangkat lunak titik penjualan (POS) yang banyak digunakan di restoran dan toko ritel.
Data yang terpapar disimpan di server Elasticsearch StoreHub yang dibiarkan terbuka tanpa perlindungan kata sandi atau enkripsi. Server yang tidak dilindungi berpotensi membahayakan informasi dari ribuan restoran dan toko ritel, bersama dengan staf mereka dan sekitar 1 juta pelanggan.
Siapa StoreHub itu?
StoreHub didirikan pada tahun 2013 di Malaysia dan saat ini memiliki kantor pusat di Petaling Jaya. Produk mereka digunakan oleh lebih dari 15,000 bisnis menurut situs web mereka, terutama di kawasan Asia Tenggara.
Perusahaan menjual perangkat lunak POS terutama untuk bisnis F&B (makanan dan minuman), seperti restoran, tetapi juga ke toko ritel.
Perangkat lunak POS terutama digunakan untuk memproses dan mencatat pembelian dan transaksi dalam bisnis yang dihadapi pelanggan (restoran, kafe, bar, toko, dll.), serta mengeluarkan tanda terima dan melacak penjualan barang-barang tertentu – seperti makanan di restoran, atau pakaian individu di toko.
StoreHub juga menawarkan rangkaian lengkap alat manajemen bisnis dan analitik. Ini termasuk e-commerce dan pengiriman online, manajemen inventaris, manajemen karyawan, program loyalitas, dan analisis pelanggan.
Hasilnya, StoreHub mampu mengumpulkan data dari lebih dari 1 juta orang dari seluruh Asia Tenggara – terutama pelanggan bisnis yang menggunakan perangkat lunaknya.
Apa yang Terkena?
Tim keamanan siber kami menemukan bahwa Storehub telah salah mengonfigurasi salah satu server Elasticsearch mereka, menyebabkannya membocorkan lebih dari 1.7 miliar catatan dan lebih dari 1 terabyte data. Ini mengekspos hampir 1 juta pelanggan di Malaysia dan berpotensi di seluruh negara Asia Tenggara.
StoreHub menjual perangkat lunak POS ke bisnis yang berhubungan dengan pelanggan, sehingga data yang terekspos ada dalam dua kategori:
- Data dari pelanggan bisnis yang menggunakan StoreHub
- Data dari bisnis yang menggunakan StoreHub
Data dari Pelanggan Bisnis yang menggunakan StoreHub
Informasi identitas pribadi (PII) yang terpapar dari pelanggan meliputi:
- Nama lengkap
- Nomor telepon
- Alamat fisik
- Alamat email
- Jenis perangkat yang digunakan
Server juga memaparkan data terkait pembayaran dan informasi pesanan milik pelanggan, memaparkan PII seperti:
- Tanggal transaksi
- Barang yang dipesan
- Lokasi toko
Beberapa detail pesanan mengekspos sebagian informasi kartu kredit yang disamarkan.
Data dari Bisnis menggunakan StoreHub
Kebocoran juga mempengaruhi bisnis yang menggunakan StoreHub dan anggota staf mereka. Informasi yang bocor dari bisnis meliputi:
- Waktu check-in/check-out dari karyawan
- Nama karyawan
- Nama toko
- Simpan alamat fisik
- Simpan alamat email
Tim keamanan siber kami juga melihat token akses yang bocor, yang dapat digunakan oleh pelaku jahat untuk masuk dan memodifikasi situs web bisnis, yang berpotensi menyebabkan lebih banyak kerugian. Yang tidak dapat kami uji karena alasan etis.
Tabel di bawah ini menunjukkan perincian kebocoran data StoreHub ini.
Jumlah catatan yang bocor | Lebih dari 1.7 miliar |
Jumlah pengguna yang terpengaruh | Approx. 1 juta |
Ukuran kebocoran | Lebih dari 1TB |
Lokasi server | Singapura |
Lokasi perusahaan | Petaling Jaya, Malaysia |
Tim keamanan siber kami menemukan kebocoran ini pada 12 Januari 2022. Konten server tampaknya telah terungkap setidaknya sejak akhir November 2021.
Setelah menemukan kebocoran, tim keamanan siber kami mengikuti aturan peretasan etis dengan membiarkan server dan data tidak tersentuh, lalu menghubungi perusahaan yang bertanggung jawab.
Kami mengirim email ke StoreHub segera setelah kami menemukan kebocorannya. Pada tanggal 18 Januari, kami mengirim email tindak lanjut kepada mereka dan kami mengirim email ke chief technology officer StoreHub. Kami tidak menerima tanggapan hingga 27 Januari, jadi kami menghubungi CERT Malaysia dan Amazon Web Services (perusahaan hosting). Keduanya segera merespon.
Kami dapat mengungkapkan kebocoran tersebut ke CERT Malaysia pada 28 Januari. CERT Malaysia meminta kami untuk informasi lebih lanjut pada 2 Februari, tetapi server telah diamankan saat itu. Kami memperkirakan server diamankan antara periode itu dari 28 Januari hingga 2 Februari.
Dampak Kebocoran Data
PII yang terpapar membuat korban rentan terhadap pencurian dan penipuan dari aktor jahat yang mendapatkan detail PII.
Kami tidak memiliki cara untuk mengonfirmasi apakah peretas yang tidak etis telah menemukan kebocoran data ini, tetapi bisnis dan pelanggan yang terpengaruh harus waspada terhadap potensi ancaman berikut.
Penipuan & Penipuan
PII yang terbuka membuat pelanggan rentan terhadap upaya penipuan. Misalnya, pelaku kejahatan dapat menelepon korban dan mendapatkan kepercayaan mereka dengan mengonfirmasi informasi pembelian yang melibatkan harga dan tanggal transaksi—atau bahkan empat digit terakhir nomor kartu kredit.
Setelah mendapatkan kepercayaan, pelaku kejahatan dapat memperoleh informasi lebih lanjut dari korban yang kemudian memungkinkan mereka untuk menimbulkan kerugian yang sebenarnya dengan mengakses bank mereka atau menyalahgunakan informasi kartu kredit.
Pencurian Akun
Kebocoran berisi token akun, yang kemungkinan besar milik bisnis yang menggunakan server StoreHub. Pelaku jahat dapat menggunakan token ini untuk masuk sebagai bisnis atau pelanggan dan berpotensi mengubah detail akun.
Hal ini dapat merugikan bisnis dalam berbagai cara, tergantung pada apa yang dipilih oleh pelaku jahat. Untuk alasan etis, kami tidak dapat menguji kemampuan token yang terbuka. Namun, contoh teoretisnya adalah bahwa mereka dapat mengizinkan pelaku kejahatan untuk mengubah menu di akun restoran atau menghapus daftar bisnis sepenuhnya. Token yang terpapar juga dapat membahayakan pelanggan, karena pelaku kejahatan berpotensi memodifikasi situs untuk mengumpulkan PII yang lebih sensitif dan lebih lanjut membahayakan para korban.
Risiko Pencurian Properti bagi Pelanggan
Informasi rinci dari kebocoran menciptakan banyak kerentanan bagi pelanggan. Informasi dalam kebocoran dapat memungkinkan pelaku jahat untuk melacak dan mencegat pesanan yang telah dibayar pelanggan.
Kebocoran juga menunjukkan waktu beberapa pelanggan umumnya meninggalkan rumah mereka. Di tangan yang salah, informasi ini dapat membahayakan properti pelanggan untuk dibobol secara fisik.
Risiko Pencurian Properti untuk Bisnis
Kebocoran berisi daftar panjang waktu check-in dan check-out staf, yang memberi tahu aktor jahat dengan tepat berapa banyak karyawan yang umumnya berada di toko selama waktu tertentu. Jika mereka bermaksud untuk secara fisik masuk dan mencuri dari bisnis, informasi ini akan membantu dalam pencurian.
Mencegah Eksposur Data
Apa yang dapat Anda lakukan untuk melindungi data Anda dan meminimalkan risiko kejahatan dunia maya?
Berikut adalah beberapa cara Anda dapat meminimalkan risiko paparan data:
- Hanya berikan informasi pribadi Anda kepada individu dan perusahaan yang Anda percayai.
- Hanya kunjungi situs web yang aman. Situs web aman memiliki nama domain yang dimulai dengan 'https' dan/atau simbol kunci tertutup.
- Berhati-hatilah saat diminta untuk memberikan bentuk informasi pribadi yang paling penting (yaitu nomor jaminan sosial, nomor ID pemerintah, dan preferensi pribadi).
- membuat kata sandi yang sangat kuat menggunakan kombinasi huruf, kapital, angka, dan simbol. Perbarui kata sandi Anda secara teratur.
- Jangan mendaur ulang kata sandi di seluruh layanan. Gunakan password manager jika diperlukan
- Jangan mengklik tautan di email, pesan SMS, atau di mana pun di internet kecuali Anda benar-benar yakin bahwa sumber/pengirimnya asli. Jika tidak yakin sama sekali, buka situs web perusahaan dan temukan tautannya di sana.
- Edit pengaturan privasi media sosial Anda. Akun Anda hanya boleh menampilkan konten dan detail pribadi Anda kepada pengguna dan teman tepercaya.
- Batasi tugas yang Anda lakukan dan informasi yang Anda tampilkan saat terhubung ke Wi-Fi publik. Misalnya, jangan membeli produk dan mengetik detail kartu kredit Anda di WiFi publik.
- Gunakan sumber online untuk belajar tentang kejahatan dunia maya, perlindungan data, dan langkah-langkah yang dapat Anda ambil untuk menghindari serangan phishing dan malware.
Tentang Kami
SafetyDetectives.com adalah situs web ulasan antivirus terbesar di dunia.
Lab penelitian SafetyDetectives adalah layanan pro bono yang bertujuan untuk membantu komunitas online mempertahankan diri dari ancaman dunia maya sambil mendidik organisasi tentang cara melindungi data pengguna mereka. Tujuan utama dari proyek pemetaan web kami adalah membantu menjadikan internet tempat yang lebih aman bagi semua pengguna.
Laporan kami sebelumnya telah mengungkap beberapa kerentanan profil tinggi dan kebocoran data, termasuk sekitar 200+ juta pengguna yang terpapar Perusahaan manajemen media sosial Tiongkok, Socialarks, serta pelanggaran di Platform integrator eCommerce Brasil Hariexpress yang membocorkan lebih dari 1.75 miliar catatan.
Untuk ulasan lengkap tentang pelaporan keamanan siber SafetyDetectives selama 3 tahun terakhir, ikuti Tim Keamanan Siber SafetyDetectives.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- Tentang Kami
- mengakses
- mengakses
- Menurut
- Akun
- memperoleh
- di seluruh
- alamat
- alamat
- mempengaruhi
- terhadap
- Semua
- sudah
- Amazon
- Amazon Web Services
- analisis
- antivirus
- di manapun
- Asia
- Bank
- bar
- di bawah
- antara
- Milyar
- miliaran
- pelanggaran
- Kerusakan
- bisnis
- bisnis
- panggilan
- kemampuan
- hati-hati
- menyebabkan
- tertentu
- kepala
- Chief Technology Officer
- Pilih
- tertutup
- Pakaian
- mengumpulkan
- kombinasi
- masyarakat
- Perusahaan
- perusahaan
- Perusahaan
- sama sekali
- terhubung
- mengandung
- Konten
- bisa
- negara
- menciptakan
- kredit
- kartu kredit
- Sekarang
- pelanggan
- pelanggan
- maya
- cybercrime
- Keamanan cyber
- data
- kebocoran data
- perlindungan data
- pengiriman
- Tergantung
- terperinci
- rincian
- alat
- digit
- ditemukan
- Display
- domain
- turun
- selama
- e-commerce
- e-commerce
- mendidik
- karyawan
- enkripsi
- memperkirakan
- dll
- etis
- persis
- contoh
- terkena
- temuan
- mengikuti
- berikut
- makanan
- bentuk
- Didirikan di
- penipuan
- dari
- penuh
- lebih lanjut
- mendapatkan
- umumnya
- Pemerintah
- hacker
- peretasan
- Markas besar
- membantu
- sejarah
- tuan
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- Namun
- HTTPS
- penting
- memasukkan
- termasuk
- Termasuk
- sendiri-sendiri
- individu
- informasi
- Internet
- inventaris
- IT
- Diri
- Januari
- laboratorium
- terbesar
- bocor
- kebocoran
- Meninggalkan
- cahaya
- Mungkin
- baris
- LINK
- link
- daftar
- daftar
- Panjang
- Loyalitas
- utama
- membuat
- Malaysia
- malware
- pengelolaan
- pemetaan
- Media
- Anggota
- pesan
- juta
- lebih
- paling
- beberapa
- nama
- jumlah
- nomor
- Penawaran
- Petugas
- secara online
- Buka
- urutan
- perintah
- organisasi
- dibayar
- tertentu
- password
- pembayaran
- Konsultan Ahli
- periode
- pribadi
- Phishing
- serangan phishing
- fisik
- Secara fisik
- potongan-potongan
- Platform
- Titik
- PoS
- potensi
- sebelumnya
- harga pompa cor beton mini
- pribadi
- per
- proses
- Produk
- program
- proyek
- milik
- melindungi
- perlindungan
- memberikan
- pemberi
- menyediakan
- publik
- membeli
- pembelian
- tujuan
- alasan
- diterima
- catatan
- arsip
- wilayah
- laporan
- penelitian
- tanggapan
- tanggung jawab
- restoran
- restoran
- eceran
- ulasan
- Risiko
- aturan
- lebih aman
- penjualan
- penjualan
- aman
- Dijamin
- keamanan
- layanan
- Layanan
- toko
- sejak
- situs web
- SMS
- So
- Sosial
- media sosial
- Perangkat lunak
- beberapa
- tertentu
- menyimpan
- toko
- sistem
- tugas
- tim
- Teknologi
- mengatakan
- uji
- Grafik
- pencurian
- ribuan
- ancaman
- kali
- Token
- alat
- jalur
- Pelacakan
- Transaksi
- Kepercayaan
- Terpercaya
- Memperbarui
- us
- menggunakan
- Pengguna
- variasi
- korban
- Kerentanan
- Rentan
- cara
- jaringan
- layanan web
- Situs Web
- situs web
- Apa
- sementara
- SIAPA
- Wi-fi
- wifi
- tanpa
- dunia
- akan
- tahun
- Anda