השמיים בטיחות זיהויים צוות אבטחת סייבר גילה דליפת נתונים גדולה המשפיעה על חברת התוכנה בשם StoreHub.
StoreHub מבוססת במלזיה ומספקת מערכת תוכנת נקודת מכירה (POS) המשמשת בעיקר במסעדות ובחנויות קמעונאיות.
הנתונים שנחשפו אוחסנו בשרת Elasticsearch של StoreHub שנותר פתוח ללא כל הגנת סיסמה או הצפנה. השרת הלא מוגן עלול לסכן את המידע של אלפי מסעדות וחנויות קמעונאיות, יחד עם הצוות שלהם וכמיליון לקוחות בערך.
מי זה StoreHub?
StoreHub נוסדה בשנת 2013 במלזיה וכיום המטה שלה נמצא ב- Petaling Jaya. המוצר שלהם נמצא בשימוש על ידי למעלה מ-15,000 עסקים לפי אתר האינטרנט שלהם, בעיקר באזור דרום מזרח אסיה.
החברה מוכרת תוכנת קופה בעיקר לעסקים של מזון ומשקאות, כגון מסעדות, אך גם לחנויות קמעונאיות.
תוכנת קופה משמשת בעיקר לעיבוד ורישום רכישות ועסקאות בעסקים מול לקוחות (מסעדות, בתי קפה, ברים, חנויות וכו'), כמו גם הנפקת קבלות ומעקב אחר מכירות של פריטים מסוימים - כגון ארוחות במסעדה, או פריטי לבוש בודדים בחנות.
StoreHub מציעה גם חבילה מלאה של כלים וניתוחים לניהול עסקי. אלה כוללים מסחר אלקטרוני ומשלוח מקוון, ניהול מלאי, ניהול עובדים, תוכניות נאמנות וניתוח לקוחות.
כתוצאה מכך, StoreHub הצליחה לאסוף נתונים מיותר ממיליון אנשים מרחבי דרום מזרח אסיה - בעיקר לקוחות של עסקים המשתמשים בתוכנה שלה.
מה נחשף?
צוות אבטחת הסייבר שלנו גילה ש-Storehub הגדיר באופן שגוי את אחד משרתי Elasticsearch שלהם, מה שגרם לו להדליף למעלה מ-1.7 מיליארד רשומות ולמעלה מ-1 טרה-בייט של נתונים. זה חשף כמעט 1 מיליון לקוחות במלזיה ואולי במדינות דרום מזרח אסיה.
StoreHub מוכרת תוכנת קופה לעסקים מול לקוחות, כך שהנתונים החשופים מגיעים בשתי קטגוריות:
- נתונים מלקוחות של עסקים המשתמשים ב- StoreHub
- נתונים מעסקים המשתמשים ב- StoreHub
נתונים מלקוחות של עסקים המשתמשים ב- StoreHub
מידע אישי חשוף (PII) מלקוחות כולל:
- שמות מלאים
- מספרי טלפון
- כתובות פיזיות
- כתובות דוא"ל
- סוג המכשיר המשמש
השרת גם חשף נתונים הקשורים לתשלומים ומידע על הזמנות השייכים ללקוחות, וחשף PII כגון:
- תאריכי עסקה
- פריטים שהוזמנו
- מיקומי חנות
חלק מפרטי ההזמנה חשפו פרטי כרטיס אשראי במסווה חלקית.
נתונים מעסקים המשתמשים ב- StoreHub
ההדלפה השפיעה גם על העסקים המשתמשים ב- StoreHub ועל אנשי הצוות שלהם. מידע שדלף מהעסקים כולל:
- זמני צ'ק-אין/צ'ק-אאוט מהעובדים
- שמות עובדים
- שמות חנויות
- אחסן כתובות פיזיות
- אחסן כתובות אימייל
צוות אבטחת הסייבר שלנו ראה גם אסימוני גישה שדלפו, שבהם שחקנים גרועים יכולים להשתמש כדי להתחבר ולשנות את אתרי האינטרנט של העסקים, מה שעלול לגרום לנזק נוסף. מה שלא יכולנו לבדוק מסיבות אתיות.
הטבלה שלהלן מציגה פירוט של דליפת נתונים זו של StoreHub.
מספר הרשומות שדלפו | מעל 1.7 מיליארד |
מספר המשתמשים המושפעים | משוער. 1 מיליון |
גודל הדליפה | מעל 1TB |
מיקום השרת | סינגפור |
מיקום החברה | פטלינג ג'יה, מלזיה |
צוות אבטחת הסייבר שלנו גילה את הדליפה הזו ב-12 בינואר 2022. נראה שתוכן השרת נחשף לפחות מסוף נובמבר 2021.
עם מציאת הדליפה, צוות אבטחת הסייבר שלנו עקב אחר כללי הפריצה האתית על ידי השארת השרת והנתונים ללא נגיעה, ולאחר מכן פנה לחברה האחראית.
שלחנו אימייל ל-StoreHub ברגע שגילינו את הדליפה. ב-18 בינואר, שלחנו אימייל מעקב אליהם ושלחנו אימייל למנהל הטכנולוגיה הראשי של StoreHub. לא קיבלנו תגובה עד 27 בינואר, אז יצרנו קשר עם CERT המלזית ו-Amazon Web Services (חברת האחסון). שניהם הגיבו מיד.
הצלחנו לחשוף את ההדלפה ל-CERT המלזי ב-28 בינואר. ה-CERT המלזי ביקש מאיתנו מידע נוסף ב-2 בפברואר, אך השרת היה מאובטח עד אז. אנו מעריכים שהשרת היה מאובטח בין התקופה הזו מ-28 בינואר ל-2 בפברואר.
השפעה על דליפת נתונים
PII חשוף מותיר את הקורבנות חשופים לגניבה והונאה מצד שחקנים גרועים ששמים את ידם על פרטי ה-PII.
אין לנו דרך לאשר אם האקרים לא אתיים גילו את דליפת הנתונים הזו, אבל עסקים ולקוחות מושפעים צריכים להיות ערניים לאיומים הפוטנציאליים הבאים.
הונאות והונאה
ה-PII שנחשף מותיר לקוחות חשופים לניסיונות הונאה. לדוגמה, שחקנים גרועים יכולים להתקשר לקורבנות ולרכוש את אמונם על ידי אישור פרטי רכישה הכוללים את המחיר והתאריך של עסקה - או אפילו את ארבע הספרות האחרונות של מספר כרטיס אשראי.
לאחר שרכשו אמון, השחקנים הרעים יכלו לרכוש מידע נוסף מהקורבן, מה שיכול לאפשר להם לגרום נזק ממשי על ידי גישה לבנק שלהם או ניצול לרעה של פרטי כרטיס האשראי.
גניבת חשבון
ההדלפה מכילה אסימוני חשבון, ששייכים ככל הנראה לעסקים המשתמשים בשרת StoreHub. שחקנים גרועים יכולים לעשות שימוש באסימונים אלה כדי להתחבר כעסקים או לקוחות ועשויים לשנות את פרטי החשבון.
זה עלול להזיק לעסק במגוון דרכים, תלוי במה שהשחקנים הרעים בוחרים לעשות. מסיבות אתיות, איננו יכולים לבדוק את היכולות של האסימונים החשופים. עם זאת, דוגמה תיאורטית היא שהם יכולים לאפשר לשחקנים גרועים לשנות את התפריט בחשבון של מסעדה או להוריד לחלוטין את הרישום של העסק. אסימונים חשופים גם עלולים לסכן לקוחות, שכן שחקנים גרועים עלולים לשנות את האתר כדי לאסוף PII רגיש עוד יותר ולסכן עוד יותר את הקורבנות.
סיכון של גניבת רכוש עבור לקוחות
המידע המפורט מהדליפה יוצר נקודות תורפה רבות ללקוחות. מידע בהדלפה עלול לאפשר לשחקנים גרועים לעקוב וליירט הזמנות שהלקוח כבר שילם עבורן.
הדליפה גם מצביעה על הזמנים שבהם חלק מהלקוחות בדרך כלל עוזבים את בתיהם. בידיים הלא נכונות, מידע זה עלול לסכן את רכוש הלקוחות לפריצה פיזית.
סיכון לגניבת רכוש לעסקים
ההדלפה מכילה רשימות ארוכות של מועדי צ'ק-אין וצ'ק-אאוט של הצוות, מה שאומר לשחקנים גרועים בדיוק כמה עובדים נמצאים בדרך כלל בחנות בזמנים ספציפיים. אם הם התכוונו לפרוץ פיזית ולגנוב מהעסק, המידע הזה יעזור בגניבה.
מניעת חשיפה לנתונים
מה אתה יכול לעשות כדי להגן על הנתונים שלך ולמזער את הסיכון לפשעי סייבר?
הנה כמה דרכים שבהן תוכל למזער את הסיכון לחשיפת נתונים:
- ספק את המידע האישי שלך רק לאנשים פרטיים וחברות שאתה סומך עליהם.
- בקר רק באתרים מאובטחים. לאתרים מאובטחים יש שמות דומיין שמתחילים ב-'https' ו/או בסמל מנעול סגור.
- היזהר במיוחד כאשר תתבקש לספק את הצורות החשובות ביותר של מידע אישי (כלומר מספרי תעודת זהות, מספרי זהות ממשלתיים והעדפות אישיות).
- צור סיסמאות חזקות במיוחד באמצעות שילוב של אותיות, אותיות רישיות, מספרים וסמלים. עדכן את הסיסמאות שלך באופן קבוע.
- אין למחזר סיסמאות בין שירותים. תשתמש ב מנהל סיסמא אם נחוץ
- אל תלחץ על קישורים בהודעות דוא"ל, הודעות SMS או בכל מקום אחר באינטרנט, אלא אם אתה בטוח לחלוטין שהמקור/השולח הם אמיתיים. אם לא בטוחים בכלל, היכנסו לאתר החברה ומצאו שם את הקישור.
- ערוך את הגדרות הפרטיות שלך במדיה החברתית. החשבונות שלך צריכים להציג את התוכן והפרטים האישיים שלך רק למשתמשים וחברים מהימנים.
- הגבל את המשימות שאתה מבצע ואת המידע שאתה מציג כאשר אתה מחובר ל-Wi-Fi ציבורי. לדוגמה, אל תרכוש מוצר והקלד את פרטי כרטיס האשראי שלך ב-WiFi ציבורי.
- השתמש במקורות מקוונים כדי ללמוד על פשעי סייבר, הגנת נתונים והצעדים שתוכל לנקוט כדי למנוע התקפות דיוג ותוכנות זדוניות.
אודות
SafetyDetectives.com הוא אתר ביקורת האנטי-וירוס הגדול בעולם.
מעבדת המחקר SafetyDetectives היא שירות פרו בונו שמטרתו לעזור לקהילה המקוונת להתגונן מפני איומי סייבר תוך חינוך ארגונים כיצד להגן על נתוני המשתמשים שלהם. מטרת העל של פרויקט מיפוי האינטרנט שלנו היא לעזור להפוך את האינטרנט למקום בטוח יותר עבור כל המשתמשים.
הדיווחים הקודמים שלנו העלו מספר פגיעויות ודליפות נתונים בפרופיל גבוה, כולל כ-200+ מיליון משתמשים שנחשפו על ידי חברת ניהול המדיה החברתית הסינית Socialarks, כמו גם הפרה ב פלטפורמת אינטגרטור מסחר אלקטרוני ברזילאית Hariexpress שהדליף יותר מ-1.75 מיליארד רשומות.
לבדיקה מלאה של דיווח אבטחת הסייבר של SafetyDetectives בשלוש השנים האחרונות, עקוב אחר כך צוות סייבר אבטחה של SafetyDetectives.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- אודות
- גישה
- גישה
- פי
- חֶשְׁבּוֹן
- לרכוש
- לרוחב
- כתובת
- כתובות
- משפיע
- נגד
- תעשיות
- כְּבָר
- אמזון בעברית
- אמזון שירותי אינטרנט
- ניתוח
- אנטי וירוס
- בְּכָל מָקוֹם
- אסיה
- בנק
- סורגים
- להלן
- בֵּין
- B
- מיליארדים
- הפרה
- התמוטטות
- עסקים
- עסקים
- שיחה
- יכולות
- זהיר
- גורם
- מסוים
- רֹאשׁ
- מנהל טכנולוגיה ראשי
- בחרו
- סגור
- ביגוד
- לגבות
- שילוב
- קהילה
- חברות
- חברה
- של החברה
- לחלוטין
- מחובר
- מכיל
- תוכן
- יכול
- מדינות
- יוצר
- אשראי
- כרטיס אשראי
- כיום
- לקוח
- לקוחות
- סייבר
- פשעי אינטרנט
- אבטחת סייבר
- נתונים
- דליפת נתונים
- הגנה על נתונים
- מסירה
- תלוי
- מְפוֹרָט
- פרטים
- מכשיר
- ספרות
- גילה
- לְהַצִיג
- תחום
- מטה
- בְּמַהֲלָך
- מסחר אלקטרוני
- מסחר אלקטרוני
- לחנך
- אמייל
- עובדים
- הצף
- לְהַעֲרִיך
- וכו '
- אֶתִי
- בדיוק
- דוגמה
- חשוף
- מציאת
- לעקוב
- הבא
- מזון
- צורות
- נוסד
- הונאה
- החל מ-
- מלא
- נוסף
- זכייה
- בדרך כלל
- ממשלה
- האקרים
- פריצה
- מטה
- לעזור
- היסטוריה
- אירוח
- איך
- איך
- אולם
- HTTPS
- חשוב
- לכלול
- כולל
- כולל
- בנפרד
- אנשים
- מידע
- אינטרנט
- מלאי
- IT
- עצמו
- יָנוּאָר
- מעבדה
- הגדול ביותר
- לדלוף
- דליפות
- יציאה
- אוֹר
- סביר
- קווים
- קשר
- קישורים
- רישום
- רשימות
- ארוך
- נאמנות
- גדול
- לעשות
- מלזיה
- תוכנות זדוניות
- ניהול
- מיפוי
- מדיה
- להרשם/להתחבר
- הודעות
- מִילִיוֹן
- יותר
- רוב
- מספר
- שמות
- מספר
- מספרים
- המיוחדות שלנו
- קָצִין
- באינטרנט
- לפתוח
- להזמין
- הזמנות
- ארגונים
- נפרע
- מסוים
- סיסמאות
- תשלומים
- אֲנָשִׁים
- תקופה
- אישי
- דיוג
- התקפות פישינג
- גופני
- פיזית
- חתיכות
- פלטפורמה
- נקודה
- PoS
- פוטנציאל
- קודם
- מחיר
- פְּרָטִיוּת
- מִקצוֹעָן
- תהליך
- המוצר
- תוכניות
- פּרוֹיֶקט
- רכוש
- להגן
- .
- לספק
- ספק
- מספק
- ציבורי
- לִרְכּוֹשׁ
- רכישות
- מטרה
- סיבות
- קיבלו
- שיא
- רשום
- באזור
- דוחות לדוגמא
- מחקר
- תגובה
- אחראי
- מסעדה
- מסעדות
- קמעוני
- סקירה
- הסיכון
- כללי
- בטוח יותר
- SALE
- מכירות
- לבטח
- מְאוּבטָח
- אבטחה
- שרות
- שירותים
- חנויות
- since
- אתר
- SMS
- So
- חֶברָתִי
- מדיה חברתית
- תוכנה
- כמה
- ספציפי
- חנות
- חנויות
- מערכת
- משימות
- נבחרת
- טכנולוגיה
- אומר
- מבחן
- השמיים
- גְנֵבָה
- אלפים
- איומים
- פִּי
- מטבעות
- כלים
- לעקוב
- מעקב
- עסקות
- סומך
- מהימן
- עדכון
- us
- להשתמש
- משתמשים
- מגוון
- קורבנות
- פגיעויות
- פגיע
- דרכים
- אינטרנט
- שירותי אינטרנט
- אתר
- אתרים
- מה
- בזמן
- מי
- חיבור אינטרנט אלחוטי
- wifi
- לְלֹא
- של העולם
- היה
- שנים