安全探偵 サイバーセキュリティチームは、StoreHubと呼ばれるソフトウェア会社に影響を与える主要なデータ漏洩を発見しました。
StoreHubはマレーシアに拠点を置き、主にレストランや小売店で使用されるPOSソフトウェアシステムを提供します。
公開されたデータは、パスワード保護や暗号化なしで開いたままにされたStoreHubのElasticsearchサーバーに保存されました。 保護されていないサーバーは、スタッフや約1万人の顧客とともに、何千ものレストランや小売店の情報を危険にさらす可能性があります。
StoreHubとは誰ですか?
StoreHubは2013年にマレーシアで設立され、現在はペタリンジャヤに本社を置いています。 彼らの製品は、主に東南アジア地域で、彼らのウェブサイトによると15,000以上の企業によって使用されています。
同社はPOSソフトウェアを主にレストランなどのF&B(食品および飲料)事業だけでなく小売店にも販売しています。
POSソフトウェアは主に、顧客対応ビジネス(レストラン、カフェ、バー、ショップなど)での購入とトランザクションの処理と記録、およびレストランでの食事などの特定のアイテムの領収書の発行と販売の追跡に使用されます。店内の個々の衣類。
StoreHubは、ビジネス管理ツールと分析の完全なスイートも提供します。 これらには、eコマースとオンライン配信、在庫管理、従業員管理、ロイヤルティプログラム、および顧客分析が含まれます。
その結果、StoreHubは、主にソフトウェアを使用している企業の顧客である東南アジア全体の1万人を超える人々からデータを収集することができました。
何が公開されましたか?
私たちのサイバーセキュリティチームは、StorehubがElasticsearchサーバーの1.7つを誤って構成し、1億を超えるレコードと1テラバイトを超えるデータをリークさせていることを発見しました。 これにより、マレーシアおよび潜在的に東南アジア諸国全体でほぼXNUMX万人の顧客が露出しました。
StoreHubはPOSソフトウェアを顧客向けの企業に販売しているため、公開されるデータは次のXNUMXつのカテゴリに分類されます。
- StoreHubを使用している企業の顧客からのデータ
- StoreHubを使用している企業からのデータ
StoreHubを使用している企業の顧客からのデータ
顧客から公開される個人情報(PII)には、次のものが含まれます。
- 氏名
- 電話番号
- 物理アドレス
- メールアドレス
- 使用するデバイスのタイプ
サーバーは、顧客に属する支払いおよび注文情報に関連するデータも公開し、次のようなPIIを公開しました。
- 取引日
- 注文した商品
- 店舗の場所
注文の詳細の一部は、部分的にマスクされたクレジットカード情報を公開していました。
StoreHubを使用している企業からのデータ
リークは、StoreHubとそのスタッフを使用している企業にも影響を及ぼしました。 企業から漏洩した情報は次のとおりです。
- 従業員からのチェックイン/チェックアウト時間
- 従業員名
- 店舗名
- 物理アドレスを保存する
- メールアドレスを保存する
また、サイバーセキュリティチームは、悪意のある攻撃者が企業のWebサイトにログインして変更するために使用する可能性のある、漏洩したアクセストークンを確認しました。これにより、さらに多くの被害が発生する可能性があります。 倫理的な理由でテストできませんでした。
次の表は、このStoreHubデータ漏洩の内訳を示しています。
リークされたレコードの数 | 1.7億以上 |
影響を受けるユーザーの数 | 約1億XNUMX万 |
リークのサイズ | 1TB以上 |
サーバーの場所 | シンガポール |
会社の所在地 | ペタリンジャヤ、マレーシア |
私たちのサイバーセキュリティチームは、12年2022月2021日にこのリークを発見しました。サーバーのコンテンツは、少なくともXNUMX年XNUMX月下旬から公開されているようです。
リークを発見すると、サイバーセキュリティチームは、サーバーとデータをそのままにして、責任のある会社に連絡することにより、倫理的なハッキングのルールに従いました。
リークを発見するとすぐにStoreHubにメールを送信しました。 18月27日に、フォローアップメールを送信し、StoreHubの最高技術責任者にメールを送信しました。 XNUMX月XNUMX日までに返答がなかったため、マレーシアのCERTとAmazon Web Services(ホスティング会社)に連絡しました。 どちらも迅速に対応しました。
28月2日にマレーシアのCERTにリークを開示することができました。マレーシアのCERTは28月2日に詳細情報を求めてきましたが、それまでにサーバーは保護されていました。 サーバーはXNUMX月XNUMX日からXNUMX月XNUMX日までの間に保護されたと推定されます。
データ漏えいの影響
公開されたPIIは、被害者をPIIの詳細を手にした悪意のある人物からの盗難や詐欺に対して脆弱なままにします。
非倫理的なハッカーがこのデータ漏洩を発見したかどうかを確認する方法はありませんが、影響を受ける企業や顧客は、次の潜在的な脅威に注意を払う必要があります。
詐欺と詐欺
公開されたPIIにより、顧客は詐欺の試みに対して脆弱になります。 たとえば、悪意のある人物は被害者に電話をかけ、取引の価格と日付、またはクレジットカード番号の下XNUMX桁を含む購入情報を確認することで、被害者の信頼を得ることができます。
信頼を得た後、悪意のある人物は被害者からさらに情報を入手し、銀行にアクセスしたりクレジットカード情報を悪用したりすることで実際に危害を加えることができます。
アカウントの盗難
リークにはアカウントトークンが含まれています。アカウントトークンは、StoreHubサーバーを使用している企業に属している可能性があります。 悪意のある人物は、これらのトークンを利用して企業または顧客としてログインし、アカウントの詳細を変更する可能性があります。
これは、悪意のある人物が何を選択するかに応じて、さまざまな方法でビジネスに害を及ぼす可能性があります。 倫理的な理由から、公開されたトークンの機能をテストすることはできません。 ただし、理論的な例としては、悪意のある人物がレストランのアカウントのメニューを変更したり、ビジネスのリストを完全に削除したりする可能性があります。 悪意のある攻撃者がサイトを変更して、さらに機密性の高いPIIを収集し、被害者をさらに危険にさらす可能性があるため、トークンが公開されると、顧客が危険にさらされる可能性もあります。
顧客の財産盗難のリスク
リークからの詳細な情報は、顧客に多くの脆弱性をもたらします。 リークの情報により、悪意のある人物が顧客がすでに支払った注文を追跡して傍受する可能性があります。
リークは、一部の顧客が一般的に家を出る時間も示しています。 悪意のある人には、この情報が顧客の資産を物理的に侵入する危険にさらす可能性があります。
企業の財産盗難のリスク
リークには、スタッフのチェックイン時間とチェックアウト時間の長いリストが含まれています。これは、悪意のある人物に、特定の時間に一般的に店にいる従業員の数を正確に示します。 彼らが物理的に侵入してビジネスから盗むことを意図した場合、この情報は盗難に役立ちます。
データ漏洩の防止
データを保護し、サイバー犯罪のリスクを最小限に抑えるために何ができるでしょうか。
データ漏洩のリスクを最小限に抑える方法は次のとおりです。
- 個人情報は、信頼できる個人および企業にのみ提供してください。
- 安全なWebサイトにのみアクセスしてください。 安全なWebサイトには、「https」で始まるドメイン名や閉じたロック記号があります。
- 最も重要な形式の個人情報(つまり、社会保障番号、政府ID番号、個人の好み)を提供するように求められる場合は、特に注意してください。
- 創造する 超強力なパスワード 文字、大文字、数字、記号の組み合わせを使用します。 パスワードは定期的に更新してください。
- サービス間でパスワードをリサイクルしないでください。 使う パスワードマネージャ 必要であれば
- 送信元/送信者が本物であることが完全に確実でない限り、電子メール、SMSメッセージ、またはインターネット上の他の場所のリンクをクリックしないでください。 まったくわからない場合は、会社のWebサイトにアクセスして、そこにあるリンクを見つけてください。
- ソーシャルメディアのプライバシー設定を編集します。 アカウントには、信頼できるユーザーや友人にのみコンテンツと個人情報を表示する必要があります。
- パブリックWi-Fiに接続したときに実行するタスクと表示する情報を制限します。 たとえば、製品を購入したり、パブリックWiFiでクレジットカードの詳細を入力したりしないでください。
- オンラインソースを使用して サイバー犯罪について学ぶ、データ保護、およびフィッシング攻撃やマルウェアを回避するために実行できる手順。
私たちに関しては
安全探偵.com 世界最大のアンチウイルスレビューウェブサイトです。
SafetyDetectives研究所は、ユーザーのデータを保護する方法について組織を教育しながら、オンラインコミュニティがサイバー脅威から身を守るのを支援することを目的とした無料サービスです。 私たちのWebマッピングプロジェクトの包括的な目的は、インターネットをすべてのユーザーにとってより安全な場所にすることです。
以前のレポートでは、複数の注目を集める脆弱性とデータ漏えいが明らかになりました。これには、 中国のソーシャルメディア管理会社Socialarks、および違反 ブラジルのeコマースインテグレータープラットフォームHariexpress それは1.75億以上の記録を漏らしました。
過去3年間のSafetyDetectivesサイバーセキュリティレポートの完全なレビューについては、以下をご覧ください。 SafetyDetectivesサイバーセキュリティチーム.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- 私たちについて
- アクセス
- アクセス
- 従った
- 取得する
- 越えて
- 住所
- アドレス
- 影響
- に対して
- すべて
- 既に
- Amazon
- Amazon Webサービス
- 分析論
- アンチウイルス
- どこにでも
- アジア
- 銀行
- バー
- 以下
- の間に
- 10億
- 億
- 違反
- 内訳
- ビジネス
- ビジネス
- コール
- 機能
- 注意深い
- 原因
- 一定
- チーフ
- 最高技術責任者
- 選択する
- 閉まっている
- アパレル
- 収集する
- 組み合わせ
- コミュニティ
- 企業
- 会社
- 会社の
- 完全に
- 交流
- 含まれています
- コンテンツ
- 可能性
- 国
- 作成します。
- クレジット
- クレジットカード
- 現在
- 顧客
- Customers
- サイバー
- サイバー犯罪
- サイバーセキュリティ
- データ
- データ漏洩
- データ保護
- 配達
- によっては
- 詳細な
- 細部
- デバイス
- 数字
- 発見
- ディスプレイ
- ドメイン
- ダウン
- 間に
- eコマース
- eコマース
- 教育する
- 社員
- 暗号化
- 推定
- 等
- 倫理的な
- 正確に
- 例
- 露出した
- 発見
- フォロー中
- フード
- フォーム
- 設立
- 詐欺
- から
- フル
- さらに
- 獲得
- 一般に
- 政府・公共機関
- ハッカー
- ハッキング
- 本社
- 助けます
- history
- ホスティング
- 認定条件
- How To
- しかしながら
- HTTPS
- 重要
- include
- 含ま
- 含めて
- 個人
- 個人
- 情報
- インターネット
- インベントリー
- IT
- 自体
- 1月
- ラボ
- 最大の
- 漏れ
- リーク
- コメントを残す
- 光
- 可能性が高い
- ライン
- LINK
- リンク
- リスト
- リスト
- 長い
- 忠誠心
- 主要な
- make
- マレーシア
- マルウェア
- 管理
- マッピング
- メディア
- メンバー
- メッセージ
- 百万
- 他には?
- 最も
- の試合に
- 名
- 数
- 番号
- オファー
- 役員
- オンライン
- 開いた
- 注文
- 受注
- 組織
- 支払われた
- 特定の
- パスワード
- 支払い
- のワークプ
- 期間
- 個人的な
- フィッシング詐欺
- フィッシング攻撃
- 物理的な
- 物理的に
- ピース
- プラットフォーム
- ポイント
- PoS
- 潜在的な
- 前
- ブランド
- プライバシー
- Pro
- プロセス
- プロダクト
- プログラム
- プロジェクト
- 財産
- 守る
- 保護
- 提供します
- プロバイダー
- は、大阪で
- 公共
- 購入
- 購入
- 目的
- 理由は
- 受け
- 記録
- 記録
- 地域
- レポート
- 研究
- 応答
- 責任
- レストラン
- レストラン
- 小売
- レビュー
- リスク
- ルール
- より安全な
- 塩
- セールス
- 安全に
- セキュア
- セキュリティ
- サービス
- サービス
- ショップ
- から
- ウェブサイト
- SMS
- So
- 社会
- ソーシャルメディア
- ソフトウェア
- 一部
- 特定の
- 店舗
- 店舗
- タスク
- チーム
- テクノロジー
- 伝える
- test
- 盗難
- 数千
- 脅威
- <font style="vertical-align: inherit;">回数</font>
- トークン
- 豊富なツール群
- 追跡する
- 追跡
- 取引
- 信頼
- 信頼されている
- アップデイト
- us
- つかいます
- users
- 多様
- 犠牲者
- 脆弱性
- 脆弱な
- 方法
- ウェブ
- Webサービス
- ウェブサイト
- ウェブサイト
- この試験は
- while
- 誰
- Wi-Fiあり
- 無線LAN
- 無し
- 世界の
- でしょう
- 年
- あなたの