בראשותו של אנוראג סן, ה בטיחות זיהויים צוות אבטחת סייבר זיהה חשיפת נתונים המשפיעה על ספקית תוכנת התשלום האמריקאית Transact Campus.
על פי אתר האינטרנט של החברה, הטכנולוגיה של Transact Campus משלבת מספר פונקציות תשלום בפלטפורמה ניידת אחת כדי לאפשר רכישות של סטודנטים במוסדות להשכלה גבוהה. השירותים של Transact Campus מייעלים את תהליכי התשלום עבור סטודנטים ומוסדות כאחד.
שרת Elasticsearch המכיל נתונים הקשורים ל-Transact Campus נותר לא מאובטח, ללא כל הגנת סיסמה, ולכן חשף למעלה ממיליון רשומות סטודנטים.
מי זה טרנסאקט קמפוס?
Transact Campus מוכרת טכנולוגיית תשלומים בקמפוס למוסדות להשכלה גבוהה בארה"ב המשלבת תשלומים ניידים וזיהוי משתמשים (עם "Campus ID") באפליקציה אחת לסטודנטים.
סטודנטים יכולים לבצע תשלומים ללא מזומן על שכר לימוד והרשאות שונות אחרות באתר עם החשבון האישי הייחודי שלהם ("מזהה קמפוס"), כולל כרטיסים לאירועים ומוצרים מדוכני זיכיון, מכונות אוטומטיות וספקי צד שלישי.
ניתן להשתמש במזהי קמפוס גם כדי לאשר גישה לסטודנטים לפונקציות שונות בקמפוס, כגון גישה למדפסת, גישה לדלת, גישה לאירועים וניטור נוכחות בכיתה.
מטה טרנסאקט קמפוס נמצא בפיניקס, אריזונה. מאז נוסדה החברה ב-1984, טרנסאקט קמפוס שירתה 12 מיליון סטודנטים ב-1,300 מוסדות לקוחות, מה שמאפשר עסקאות בשווי 45 מיליארד דולר. טרנסאקט קמפוס מעסיקה כיום כ-400 עובדים ומייצרת הכנסה שנתית מוערכת של 100 מיליון דולר.
מה נחשף?
שרת Elasticsearch הפתוח חשף למעלה ממיליון רשומות, בהיקף כולל של יותר מ-1 GB של נתונים. השרת נותר נגיש והנתונים שלו לא היו מוצפנים.
היומנים של Elasticsearch הכילו נתונים ממכללות שונות המשתמשות בשירותי Transact Campus. נתונים אלו שייכים לסטודנטים במוסדות חשופים אלו.
מספר צורות של PII של תלמידים נחשפו בשרת הפתוח, כולל:
- שמות מלאים
- כתובות דוא"ל
- מספרי טלפון
- אישורי כניסה בטקסט רגיל, כולל שמות משתמש וסיסמאות
- פרטי העברה, כולל כמות וזמן הרכישה
- פרטי כרטיס אשראי (לא מלאים), כולל 6 ספרות ראשונות (BIN*) ו-4 ספרות אחרונות של מספרי כרטיסי אשראי, תאריכי תפוגה ופרטי בנק
- תכניות ארוחות נרכשו ואיזון תוכנית ארוחות
*הערה: מספר זיהוי בנק (BIN) הוא שש הספרות הראשונות של מספר כרטיס תשלום. מספרים אלו מזהים את מנפיק הכרטיס.
צוות אבטחת הסייבר של SafetyDetectives מצא את שרת Elasticsearch הפתוח תוך בדיקת כתובות IP ביציאה מסוימת. השרת היה פעיל ומתעדכן בזמן הגילוי.
אתה יכול לראות עדויות ליומני שרת שחשפו נתוני תלמידים בצילומי המסך הבאים.
חשיפת הנתונים משפיעה על סטודנטים שהם בעלי חשבון Transact Campus. גם משפחות עלולות להיפגע. לדוגמה, פרטי תשלום של הורה יכולים להיחשף אם הם מממנים את שכר הלימוד של תלמיד או תומך כלכלית בתלמיד דרך חשבון Transact Campus. כל אדם שיש לו חשבון ו/או פרטי תשלום המקושרים לחשבון באחת מהמכללות החשופות עלול להיפגע.
אי אפשר לדעת בדיוק כמה אנשים נחשפו באירוע הזה. עם זאת, נפח כתובות האימייל ומספרי הטלפון שנחשפו בשרת מצביע על כך ש-30,000-40,000 תלמידים מושפעים.
Transact Campus עוסק במוסדות להשכלה גבוהה בארה"ב, וככזה, Elasticsearch החשוף משפיע בעיקר על אזרחי ארה"ב.
ניתן לראות פירוט מלא של חשיפת נתונים זו בטבלה למטה.
מספר הרשומות שנחשפו | מעל 1 מיליון |
מספר המשתמשים המושפעים | 30,000-40,000 אנשים (הערכה גסה) |
גודל החשיפה | בסביבות 5 GB |
מיקום השרת | ארצות הברית |
מיקום החברה | פיניקס, אריזונה, בארצות הברית |
גילינו את השרת הפתוח ב-6 בדצמבר 2021, ולאחר מכן פנינו אל Transact Campus ב-8 בדצמבר 2021.
עקבנו אחר הקשר הראשוני שלנו עם Transact Campus בתאריכים 9 ו-14 בדצמבר 2021, אך לא קיבלנו תשובה. שלחנו אימייל ל-US-CERT ב-9 בינואר 2022, ושלחנו הודעות המשך לכמה אנשי קשר מרכזיים ב-13 בינואר 2022 - טרנסאקט קמפוס השיב באותו יום. ב-14 בינואר 2022, חשפנו באחריות את הדליפה ל-Transact Campus וב-16 בינואר 2022, פרצת המידע אובטחה.
טרנסאקט קמפוס השיב מאוחר יותר להודעות שלנו, ואמר לנו ששרת Elasticsearch אינו בשליטתם:
"כנראה שזה הוגדר על ידי צד שלישי להדגמה ומעולם לא הוסר. אכן אישרנו שמערך הנתונים היה מלא בערכת נתונים מזויפת ולא השתמשנו בנתוני ייצור כלשהם."
הערה: בדקנו מדגם של משתמשים ב- Elasticsearch הפתוח ונראה שהנתונים האלה שייכים לאנשים אמיתיים.
הצהרה מבית היציקה:
"אירוע זה לא השפיע על מערכות כלשהן בטרנסאקט; הוא היה מבודד לשרת שער Foundry יחיד. החשיפה הפוטנציאלית התגלתה על ידי חברת אבטחה של צד שלישי שסורקת באופן אקטיבי לאיתור אשכולות Elasticsearch פגיעים. במקום נתוני בדיקה כמתוכנן, שרת Elasticsearch שלף יומני ייצור שהכילו שם משתמש וסיסמאות בטקסט ברור של פחות מ-700 תלמידים שניסו להירשם לגישה לחשבון תוכנית ארוחות בין ה-10 באוקטובר 2021 ל-14 בינואר 2022. רק ניסיונות הרשמה התחברו בתוך מסגרת הזמן הזו מתייחסת לחשבונות שהושפעו."
הצהרה מ-Transact:
"גם כל מי שניגש ליומני הייצור לא היה יכול לבצע עסקאות בפלטפורמת Transact באמצעות שם משתמש וסיסמת טקסט ברור בלבד. טרנסאקט אכן אילצה שינוי סיסמה מתוך שפע של זהירות. טרנסאקט גם נקטה במאמץ משמעותי לאחר קבלת הודעה מ-SafetyDetectives. יש חשיבות קריטית להגנה על נתוני לקוחות ותלמידים של Transact ועל המערכות שאוספות, מעבדות ושומרות נתונים אלה. לכן, אבטחת המערכות, היישומים והשירותים כוללת בקרות ואמצעי הגנה לקיזוז איומים אפשריים. אמצעי אבטחת המידע והפרטיות של Transact מיושמים כדי להגן מפני גישה בלתי מורשית ל, שינוי, חשיפה או הרס של נתונים ומערכות. טרנסאקט מחויבת לספק את רמת האבטחה הגבוהה ביותר עבור לקוחותיה ותמשיך לעקוב אחר המצב הנוכחי וכל איום פוטנציאלי אחר על אבטחת המערכות שלה".
השפעת חשיפת נתונים
אנחנו לא יכולים ולא יודעים אם שחקנים זדוניים ניגשו למסד הנתונים בזמן שהוא לא מאובטח. תוכן השרת עלול להעמיד תלמידים חשופים בסיכון לפשעי סייבר אם שחקנים גרועים קראו או הורידו את נתוני השרת.
שיווק ספאם, התקפות דיוג, ו הונאות אפשריים עם פרטי התקשרות, שמות מלאים ופרטים רגישים אחרים שנחשפים עבור משתמשי Transact Campus. תוקפים יכולים לנהל קמפיינים שיווקיים ספאם עם כל כך הרבה כתובות דוא"ל שדלפו, לשלוח הודעות דיוג, תוכנות זדוניות והונאות לאלפי אנשים.
בהתקפת פישינג, פושע סייבר יכול להתחזות לאדם אמין (כגון עובד במכללה) כדי לשכנע סטודנטים לספק צורות נוספות של נתונים אישיים, כגון מספרי CVV בגב כרטיסי האשראי. פישרים יכולים גם לשכנע תלמיד ללחוץ על קישור זדוני. לאחר לחיצה, קישורים זדוניים יכולים להוריד תוכנות זדוניות למכשיר של הקורבן, מה שעלול להשלים צורות אחרות של איסוף נתונים ופשעי סייבר.
סטודנטים חשופים עלולים להיות ממוקדים גם בהונאות אם פושעי סייבר ניגשו לשרת. בהונאה, פושע רשת מנסה להערים על הקורבן לשלם לו כסף. כמו התקפות דיוג, פושעי סייבר יכולים להשתמש בצורות אחרות של נתונים חשופים כדי למקד את הקורבן. למשל, פושע רשת יכול לשכנע סטודנט חשוף לשלם שכר לימוד בלתי תלוי ישירות לתוקף.
אישורי חשבון חשופים אוחסנו בטקסט רגיל וזה מהווה סיכונים נוספים עבור תלמידים שנפגעו. אם האקר כלשהו ניגש לשרת, הוא יכול היה לקרוא בקלות את שמות המשתמש והסיסמאות הלא מוצפנים. פושע רשת יכול לקבל גישה לחשבונות של תלמידים עם המידע הזה, והם עלולים לשנות פרטים ולאיים לגבות חיובים נכבדים אלא אם ישולם אגרה.
מניעת חשיפה לנתונים
מה אנחנו יכולים לעשות כדי להגן על הנתונים שלנו ולמזער את הסיכון לפשעי סייבר?
להלן מספר טיפים למניעת חשיפת נתונים:
- אל תספק את המידע האישי שלך לחברה, ארגון או אדם אלא אם כן אתה סומך על הישות הזו ב-100%.
- בקר רק באתרים בעלי שם דומיין מאובטח (דומיינים עם "https" ו/או סמל מנעול סגור בהתחלה).
- היזהר במיוחד כשאתה מספק את צורות הנתונים הרגישות ביותר שלך, כגון מספר תעודת זהות שלך.
- צור סיסמאות מוצקות המכילות תערובת של אותיות, מספרים וסמלים. עדכן את הסיסמאות שלך באופן קבוע.
- אל תלחץ על קישור מקוון אלא אם אתה בטוח לחלוטין שהוא ממקור לגיטימי. קישורים יכולים להיות בהודעות דוא"ל, הודעות או באתרי דיוג שמתחזות לדומיינים לגיטימיים.
- ערוך את הגדרות הפרטיות שלך במדיה החברתית כך שהתוכן והמידע שלך יהיו גלויים רק לחברים ולמשתמשים מהימנים.
- הימנע מהצגה או הקלדה של נתונים רגישים במיוחד (כגון מספרי כרטיסי אשראי או סיסמאות) כאשר אתה משתמש ברשת WiFi ציבורית או לא מאובטחת.
- למד את עצמך על הסיכונים בפשעי סייבר, על החשיבות של הגנת נתונים ועל השיטות שמקטינות את הסיכוי שלך ליפול קורבן להתקפות דיוג ותוכנות זדוניות.
אודות
SafetyDetectives.com הוא אתר ביקורת האנטי-וירוס הגדול בעולם.
מעבדת המחקר SafetyDetectives היא שירות פרו בונו שמטרתו לעזור לקהילה המקוונת להתגונן מפני איומי סייבר תוך חינוך ארגונים כיצד להגן על נתוני המשתמשים שלהם. מטרת העל של פרויקט מיפוי האינטרנט שלנו היא לעזור להפוך את האינטרנט למקום בטוח יותר עבור כל המשתמשים.
הדיווחים הקודמים שלנו העלו נקודות תורפה ודליפות נתונים מרובות, כולל 2.6 מיליון משתמשים שנחשפו על ידי פלטפורמת ניתוח חברתית אמריקאית IGBlade, וכן הפרה ב- a פלטפורמת האינטגרטור של השוק הברזילאי Hariexpress.com.br שהדליפו יותר מ- 610 GB של נתונים.
לבדיקה מלאה של דיווח אבטחת הסייבר של SafetyDetectives בשלוש השנים האחרונות, עקוב אחר כך צוות סייבר אבטחה של SafetyDetectives.
- "
- 000
- 10
- 2021
- 2022
- a
- אודות
- שפע
- גישה
- נגיש
- גישה
- חֶשְׁבּוֹן
- נוסף
- כתובות
- להשפיע על
- משפיע
- שותפים
- נגד
- תעשיות
- כמות
- ניתוח
- שנתי
- אנטי וירוס
- כל אחד
- האפליקציה
- יישומים
- אריזונה
- סביב
- נוכחות
- יתרות
- בנק
- התחלה
- להיות
- להלן
- בֵּין
- B
- הפרה
- התמוטטות
- קמפיינים
- קמפוס
- כרטיסים
- זהיר
- ללא מזומנים
- סיכויים
- שינוי
- חיובים
- בדיקה
- בכיתה
- לקוחות
- סגור
- לגבות
- אוסף
- מִכלָלָה
- מְחוּיָב
- קהילה
- חברה
- של החברה
- לחלוטין
- לנהל
- צור קשר
- תוכן
- להמשיך
- לִשְׁלוֹט
- בקרות
- יכול
- אישורים
- אשראי
- כרטיס אשראי
- כרטיסי אשראי
- קריטי
- נוֹכְחִי
- כיום
- סייבר
- פשעי אינטרנט
- עברייני אינטרנט
- אבטחת סייבר
- נתונים
- נתוני פרה
- הגנה על נתונים
- מערך נתונים
- מסד נתונים
- תאריכים
- יְוֹם
- דילים
- פרטים
- מכשיר
- DID
- ספרות
- חָרִיצוּת
- ישירות
- גילה
- תגלית
- תחום
- שם תחום
- תחומים
- מטה
- להורדה
- בקלות
- לחנך
- חינוך
- מאמץ
- אמייל
- מעסיקה
- לעסוק
- ישות
- לְהַעֲרִיך
- מוערך
- אירוע
- בדיוק
- דוגמה
- חשוף
- מְזוּיָף
- משפחות
- אגרות
- ראשון
- לעקוב
- הבא
- צורות
- מצא
- נוסד
- החל מ-
- מלא
- פונקציות
- קרן
- נוסף
- שער כניסה
- האקר
- שבסיסה
- לעזור
- גבוה יותר
- השכלה גבוהה
- מאוד
- מחזיקים
- איך
- איך
- אולם
- HTTPS
- הזדהות
- לזהות
- יושם
- חשיבות
- בלתי אפשרי
- לכלול
- כולל
- בנפרד
- מידע
- אבטחת מידע
- מוסדות
- אינטרנט
- IP
- כתובות IP
- IT
- עצמו
- יָנוּאָר
- מפתח
- לדעת
- מעבדה
- הגדול ביותר
- לדלוף
- דליפות
- רמה
- אוֹר
- קשר
- קישורים
- לחיות
- מכונה
- לתחזק
- לעשות
- תוכנות זדוניות
- מיפוי
- שיווק
- שוק
- מסכות
- אמצעים
- מדיה
- שיטות
- מִילִיוֹן
- סלולרי
- תשלומים ניידים
- כסף
- צג
- ניטור
- יותר
- רוב
- מספר
- שמות
- רשת
- מספר
- מספרים
- לקזז
- באינטרנט
- לפתוח
- ארגון
- ארגונים
- אחר
- נפרע
- מסוים
- צד
- סיסמה
- סיסמאות
- תשלום
- תשלום
- כרטיס תשלום
- תשלומים
- אֲנָשִׁים
- אדם
- אישי
- מידע אישי
- דיוג
- התקפת דיוג
- התקפות פישינג
- פניקס
- פלטפורמה
- אפשרי
- פוטנציאל
- כּוֹחַ
- קודם
- פְּרָטִיוּת
- מִקצוֹעָן
- תהליך
- תהליכים
- הפקה
- מוצרים
- פּרוֹיֶקט
- להגן
- .
- לספק
- ספק
- מתן
- ציבורי
- רכישות
- מטרה
- לקבל
- רשום
- להפחית
- הירשם
- הַרשָׁמָה
- דוחות לדוגמא
- מחקר
- הכנסה
- סקירה
- הסיכון
- סיכונים
- בטוח יותר
- אותו
- הונאה
- הונאות
- לבטח
- מְאוּבטָח
- אבטחה
- שרות
- שירותים
- סט
- כמה
- משמעותי
- since
- יחיד
- שישה
- במידה ניכרת
- So
- חֶברָתִי
- מדיה חברתית
- תוכנה
- כמה
- דואר זבל
- עומד
- לייעל
- סטודנט
- כתוצאה מכך
- תמיכה
- מערכות
- יעד
- ממוקד
- נבחרת
- טכנולוגיה
- מבחן
- אל האני
- לכן
- צד שלישי
- אלפים
- איומים
- דרך
- כרטיסים
- זמן
- מסגרת זמן
- טיפים
- עסקה
- עסקות
- סומך
- תחת
- ייחודי
- מאוחד
- לא מאובטח
- עדכון
- us
- ארה"ב 100 מיליון דולרים
- להשתמש
- משתמשים
- שונים
- ספקים
- נראה
- כֶּרֶך
- פגיעויות
- פגיע
- ארנק
- אינטרנט
- אתר
- אתרים
- אם
- בזמן
- מי
- wifi
- בתוך
- לְלֹא
- של העולם
- ראוי
- היה
- שנים