I Sicurezza Detective Il team di sicurezza informatica ha scoperto un'importante fuga di dati che interessa la società di software chiamata StoreHub.
StoreHub ha sede in Malesia e fornisce un sistema software per punti vendita (POS) utilizzato principalmente nei ristoranti e nei negozi al dettaglio.
I dati esposti sono stati archiviati su un server Elasticsearch di StoreHub che è stato lasciato aperto senza alcuna protezione con password o crittografia. Il server non protetto ha potenzialmente compromesso le informazioni di migliaia di ristoranti e negozi al dettaglio, insieme al loro personale e a circa 1 milione di clienti.
Chi è StoreHub?
StoreHub è stata fondata nel 2013 in Malesia e attualmente ha sede a Petaling Jaya. Il loro prodotto è utilizzato da oltre 15,000 aziende secondo il loro sito Web, principalmente nella regione del sud-est asiatico.
L'azienda vende software POS principalmente ad attività di F&B (cibo e bevande), come ristoranti, ma anche a negozi al dettaglio.
Il software POS viene utilizzato principalmente per elaborare e registrare gli acquisti e le transazioni nelle attività a contatto con i clienti (ristoranti, caffè, bar, negozi, ecc.), nonché per emettere ricevute e tenere traccia delle vendite di articoli particolari, come i pasti in un ristorante o singoli capi di abbigliamento in un negozio.
StoreHub offre anche una suite completa di strumenti di gestione aziendale e analisi. Questi includono e-commerce e consegna online, gestione dell'inventario, gestione dei dipendenti, programmi fedeltà e analisi dei clienti.
Di conseguenza, StoreHub è stato in grado di raccogliere dati da oltre 1 milione di persone provenienti da tutto il sud-est asiatico, principalmente i clienti delle aziende che utilizzano il suo software.
Cosa è stato esposto?
Il nostro team di sicurezza informatica ha scoperto che Storehub aveva configurato in modo errato uno dei loro server Elasticsearch, causando la perdita di oltre 1.7 miliardi di record e oltre 1 terabyte di dati. Ciò ha esposto quasi 1 milione di clienti in Malesia e potenzialmente nei paesi del sud-est asiatico.
StoreHub vende software POS alle aziende rivolte ai clienti, quindi i dati esposti sono suddivisi in due categorie:
- Dati dei clienti delle aziende che utilizzano StoreHub
- Dati delle aziende che utilizzano StoreHub
Dati dei clienti delle aziende che utilizzano StoreHub
Le informazioni di identificazione personale (PII) dei clienti esposte includono:
- Nomi completi
- Numeri di telefono
- Indirizzi fisici
- Indirizzi e-mail
- Tipo di dispositivo utilizzato
Il server ha inoltre esposto i dati relativi ai pagamenti e alle informazioni sugli ordini appartenenti ai clienti, esponendo PII come:
- Date di transazione
- Articoli ordinati
- Posizioni dei negozi
Alcuni dei dettagli dell'ordine mostravano informazioni sulla carta di credito parzialmente mascherate.
Dati da aziende che utilizzano StoreHub
La perdita ha colpito anche le aziende che utilizzano StoreHub e i loro membri del personale. Le informazioni trapelate dalle aziende includono:
- Orari di check-in/check-out da parte dei dipendenti
- Nomi dei dipendenti
- Memorizza i nomi
- Memorizza indirizzi fisici
- Memorizza indirizzi email
Il nostro team di sicurezza informatica ha anche rilevato token di accesso trapelati, che i malintenzionati potrebbero utilizzare per accedere e modificare i siti Web delle aziende, causando potenzialmente più danni. Che non abbiamo potuto testare per ragioni etiche.
La tabella seguente mostra una ripartizione di questa perdita di dati StoreHub.
Numero di record trapelati | Oltre 1.7 miliardi |
Numero di utenti interessati | Circa. 1 milioni |
Dimensione della perdita | Oltre 1 TB |
Posizione del server | Singapore |
Sede dell'azienda | Petaling Jaya, Malesia |
Il nostro team di sicurezza informatica ha scoperto questa perdita il 12 gennaio 2022. Il contenuto del server sembra essere stato esposto almeno dalla fine di novembre del 2021.
Dopo aver individuato la perdita, il nostro team di sicurezza informatica ha seguito le regole dell'hacking etico lasciando intatti il server e i dati, quindi contattando l'azienda responsabile.
Abbiamo inviato un'e-mail a StoreHub non appena abbiamo scoperto la perdita. Il 18 gennaio abbiamo inviato loro un'e-mail di follow-up e abbiamo inviato un'e-mail al chief technology officer di StoreHub. Non abbiamo ricevuto risposta entro il 27 gennaio, quindi abbiamo contattato Malaysian CERT e Amazon Web Services (la società di hosting). Entrambi hanno risposto prontamente.
Siamo stati in grado di rivelare la fuga di notizie al CERT malese il 28 gennaio. Il CERT malese ci ha chiesto maggiori informazioni il 2 febbraio, ma a quel punto il server era protetto. Stimiamo che il server sia stato protetto in quel periodo dal 28 gennaio al 2 febbraio.
Impatto della fuga di dati
Le PII esposte lasciano le vittime vulnerabili a furti e frodi da parte di malintenzionati che mettono le mani sui dettagli delle PII.
Non abbiamo modo di confermare se hacker non etici abbiano scoperto questa fuga di dati, ma le aziende e i clienti interessati dovrebbero essere in allerta per le seguenti potenziali minacce.
Truffe e frodi
Le PII esposte lasciano i clienti vulnerabili ai tentativi di frode. Ad esempio, i malintenzionati potrebbero chiamare le vittime e guadagnarsi la loro fiducia confermando le informazioni di acquisto che coinvolgono il prezzo e la data di una transazione o anche le ultime quattro cifre del numero di una carta di credito.
Dopo aver guadagnato la fiducia, i malintenzionati potrebbero acquisire ulteriori informazioni dalla vittima che potrebbero quindi consentire loro di infliggere danni effettivi accedendo alla loro banca o abusando dei dati della carta di credito.
Furto di account
La perdita contiene token di account, che molto probabilmente appartengono alle aziende che utilizzano il server StoreHub. I malintenzionati potrebbero utilizzare questi token per accedere come aziende o clienti e potenzialmente modificare i dettagli dell'account.
Ciò potrebbe danneggiare l'azienda in vari modi, a seconda di ciò che i cattivi attori scelgono di fare. Per ragioni etiche, non possiamo testare le capacità dei token esposti. Tuttavia, un esempio teorico è che potrebbero consentire a malintenzionati di modificare il menu sull'account di un ristorante o cancellare completamente la scheda dell'attività. I token esposti potrebbero anche mettere a rischio i clienti, poiché i malintenzionati potrebbero potenzialmente modificare il sito per raccogliere PII ancora più sensibili e compromettere ulteriormente le vittime.
Rischio di furto di proprietà per i clienti
Le informazioni dettagliate della perdita creano molte vulnerabilità per i clienti. Le informazioni nella fuga di notizie potrebbero consentire ai malintenzionati di tracciare e intercettare gli ordini per i quali il cliente ha già pagato.
La perdita indica anche i tempi in cui alcuni clienti generalmente lasciano le loro case. Nelle mani sbagliate, queste informazioni potrebbero mettere a rischio la proprietà dei clienti per un'irruzione fisica.
Rischio di furto di proprietà per le imprese
La fuga di notizie contiene lunghi elenchi di orari di check-in e check-out del personale, che dicono esattamente ai malintenzionati quanti dipendenti sono generalmente in negozio in orari specifici. Se intendessero irrompere fisicamente e derubare l'azienda, queste informazioni aiuterebbero nel furto.
Prevenire l'esposizione dei dati
Cosa puoi fare per proteggere i tuoi dati e ridurre al minimo il rischio di criminalità informatica?
Ecco alcuni modi per ridurre al minimo il rischio di esposizione dei dati:
- Fornisci le tue informazioni personali solo a persone e aziende di cui ti fidi.
- Visita solo siti Web sicuri. I siti web sicuri hanno nomi di dominio che iniziano con 'https' e/o un simbolo di lucchetto chiuso.
- Prestare la massima attenzione quando viene chiesto di fornire le forme più importanti di informazioni personali (ad esempio numeri di previdenza sociale, numeri di identificazione del governo e preferenze personali).
- Creare password super forti utilizzando una combinazione di lettere, maiuscole, numeri e simboli. Aggiorna le tue password regolarmente.
- Non riciclare le password tra i servizi. Usare un gestore di password se necessario
- Non fare clic sui collegamenti nelle e-mail, nei messaggi SMS o in qualsiasi altro luogo su Internet a meno che non siate completamente certi che la fonte/mittente sia genuina. In caso di dubbi, visitare il sito Web dell'azienda e trovare il collegamento lì.
- Modifica le impostazioni sulla privacy dei social media. I tuoi account dovrebbero mostrare i tuoi contenuti e i tuoi dati personali solo a utenti e amici fidati.
- Limita le attività che esegui e le informazioni che visualizzi quando sei connesso a una rete Wi-Fi pubblica. Ad esempio, non acquistare un prodotto e digitare i dati della carta di credito sul WiFi pubblico.
- Usa le fonti online per conoscere la criminalità informatica, protezione dei dati e i passaggi che puoi intraprendere per evitare attacchi di phishing e malware.
Chi siamo
SafetyDetectives.com è il più grande sito web di recensioni di antivirus al mondo.
Il laboratorio di ricerca SafetyDetectives è un servizio pro bono che mira ad aiutare la comunità online a difendersi dalle minacce informatiche educando le organizzazioni su come proteggere i dati dei propri utenti. Lo scopo principale del nostro progetto di mappatura web è contribuire a rendere Internet un luogo più sicuro per tutti gli utenti.
I nostri precedenti rapporti hanno portato alla luce molteplici vulnerabilità di alto profilo e fughe di dati, inclusi oltre 200 milioni di utenti esposti da Società cinese di gestione dei social media Socialarks, nonché una violazione a Piattaforma di integrazione di eCommerce brasiliana Hariexpress che ha fatto trapelare oltre 1.75 miliardi di record.
Per una revisione completa dei rapporti sulla sicurezza informatica di SafetyDetectives negli ultimi 3 anni, segui Team di sicurezza informatica SafetyDetectives.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- Chi siamo
- accesso
- Accedendo
- Secondo
- Il mio account
- acquisire
- operanti in
- indirizzo
- indirizzi
- che interessano
- contro
- Tutti
- già
- Amazon
- Amazon Web Services
- analitica
- antivirus
- ovunque
- Asia
- Banca
- bar
- sotto
- fra
- Miliardo
- miliardi
- violazione
- Guasto
- affari
- aziende
- chiamata
- funzionalità
- attento
- causando
- certo
- capo
- Chief Technology Officer
- Scegli
- chiuso
- Abbigliamento
- raccogliere
- combinazione
- comunità
- Aziende
- azienda
- Società
- completamente
- collegato
- contiene
- contenuto
- potuto
- paesi
- crea
- credito
- carta di credito
- Attualmente
- cliente
- Clienti
- Cyber
- cybercrime
- Cybersecurity
- dati
- perdita di data
- protezione dati
- consegna
- Dipendente
- dettagliati
- dettagli
- dispositivo
- cifre
- scoperto
- Dsiplay
- dominio
- giù
- durante
- e-commerce
- ecommerce
- educare
- dipendenti
- crittografia
- stima
- eccetera
- etico
- di preciso
- esempio
- esposto
- ricerca
- seguire
- i seguenti
- cibo
- forme
- Fondato
- frode
- da
- pieno
- ulteriormente
- guadagnando
- generalmente
- Enti Pubblici
- hacker
- pirateria informatica
- LEGALE
- Aiuto
- storia
- di hosting
- Come
- Tutorial
- Tuttavia
- HTTPS
- importante
- includere
- inclusi
- Compreso
- individuale
- individui
- informazioni
- Internet
- inventario
- IT
- stessa
- Gennaio
- laboratorio
- maggiore
- perdita
- Perdite
- Lasciare
- leggera
- probabile
- Linee
- LINK
- Collegamento
- annuncio
- elenchi
- Lunghi
- lealtà
- maggiore
- make
- Malaysia
- il malware
- gestione
- mappatura
- Media
- Utenti
- messaggi
- milione
- Scopri di più
- maggior parte
- multiplo
- nomi
- numero
- numeri
- Offerte
- Responsabile
- online
- aprire
- minimo
- ordini
- organizzazioni
- pagato
- particolare
- Le password
- pagamenti
- Persone
- periodo
- cronologia
- phishing
- attacchi di phishing
- Fisico
- Fisicamente
- pezzi
- piattaforma
- punto
- PoS
- potenziale
- precedente
- prezzo
- Privacy
- Pro
- processi
- Prodotto
- Programmi
- progetto
- proprietà
- protegge
- protezione
- fornire
- fornitore
- fornisce
- la percezione
- Acquista
- acquisti
- scopo
- motivi
- ricevuto
- record
- record
- regione
- Report
- riparazioni
- risposta
- responsabile
- al Deck ristorante
- Ristoranti
- nello specifico retail
- recensioni
- Rischio
- norme
- più sicuro
- vendita
- vendite
- sicuro
- assicurato
- problemi di
- servizio
- Servizi
- negozi
- da
- site
- sms
- So
- Social
- Social Media
- Software
- alcuni
- specifico
- Tornare al suo account
- negozi
- sistema
- task
- team
- Tecnologia
- dice
- test
- I
- furto
- migliaia
- minacce
- volte
- Tokens
- strumenti
- pista
- Tracking
- Le transazioni
- Affidati ad
- di fiducia
- Aggiornanento
- us
- uso
- utenti
- varietà
- vittime
- vulnerabilità
- Vulnerabile
- modi
- sito web
- servizi web
- Sito web
- siti web
- Che
- while
- OMS
- Wi-fi
- Wi-Fi
- senza
- Il mondo di
- sarebbe
- anni
- Trasferimento da aeroporto a Sharm