XNUMXD덴탈의 안전 탐정 사이버 보안 팀은 StoreHub라는 소프트웨어 회사에 영향을 미치는 주요 데이터 유출을 발견했습니다.
StoreHub는 말레이시아에 기반을 두고 있으며 레스토랑과 소매점에서 주로 사용되는 POS(Point of Sale) 소프트웨어 시스템을 제공합니다.
노출된 데이터는 비밀번호 보호나 암호화 없이 열려 있는 StoreHub의 Elasticsearch 서버에 저장되었습니다. 보호되지 않은 서버는 직원 및 약 1만 고객과 함께 수천 개의 레스토랑 및 소매점 정보를 잠재적으로 손상시켰습니다.
StoreHub는 누구입니까?
StoreHub는 2013년 말레이시아에서 설립되었으며 현재 Petaling Jaya에 본사를 두고 있습니다. 그들의 제품은 주로 동남아시아 지역의 웹 사이트에 따르면 15,000개 이상의 기업에서 사용합니다.
이 회사는 주로 레스토랑과 같은 F&B(음식 및 음료) 비즈니스뿐만 아니라 소매점에도 POS 소프트웨어를 판매합니다.
POS 소프트웨어는 주로 고객 대면 비즈니스(레스토랑, 카페, 바, 상점 등)에서 구매 및 거래를 처리 및 기록하고 영수증을 발행하고 레스토랑에서 식사와 같은 특정 품목의 판매를 추적하는 데 사용됩니다. 상점의 개별 의류.
StoreHub는 또한 전체 비즈니스 관리 도구 및 분석 제품군을 제공합니다. 여기에는 전자 상거래 및 온라인 배송, 재고 관리, 직원 관리, 로열티 프로그램 및 고객 분석이 포함됩니다.
그 결과 StoreHub는 주로 소프트웨어를 사용하는 기업 고객인 동남아시아 전역에서 1만 명이 넘는 사람들로부터 데이터를 수집할 수 있었습니다.
무엇이 노출되었습니까?
우리 사이버 보안 팀은 Storehub가 Elasticsearch 서버 중 하나를 잘못 구성하여 1.7억 개 이상의 레코드와 1테라바이트 이상의 데이터를 유출했다는 사실을 발견했습니다. 이는 말레이시아와 잠재적으로 동남아시아 국가 전반에 걸쳐 거의 1만 고객을 노출시켰습니다.
StoreHub는 고객 대면 비즈니스에 POS 소프트웨어를 판매하므로 노출된 데이터는 두 가지 범주로 나뉩니다.
- StoreHub를 사용하는 기업 고객의 데이터
- StoreHub를 사용하는 기업의 데이터
StoreHub를 사용하는 기업 고객의 데이터
고객으로부터 노출된 개인 식별 정보(PII)에는 다음이 포함됩니다.
- 성명
- 전화 번호
- 물리적 주소
- 이메일 주소
- 사용 된 장치의 유형
서버는 또한 다음과 같은 PII를 노출하여 고객의 결제 및 주문 정보와 관련된 데이터를 노출했습니다.
- 거래 날짜
- 주문 항목
- 매장 위치
일부 주문 세부 정보가 부분적으로 마스킹된 신용 카드 정보를 노출했습니다.
StoreHub를 사용하는 기업의 데이터
누출은 StoreHub와 직원을 사용하는 비즈니스에도 영향을 미쳤습니다. 기업에서 유출된 정보는 다음과 같습니다.
- 직원의 체크인/체크아웃 시간
- 직원 이름
- 상점 이름
- 물리적 주소 저장
- 이메일 주소 저장
우리 사이버 보안 팀은 또한 악의적인 행위자가 기업 웹사이트에 로그인하고 수정하는 데 사용할 수 있는 유출된 액세스 토큰을 확인하여 잠재적으로 더 많은 피해를 입힐 수 있었습니다. 윤리적인 이유로 테스트할 수 없었습니다.
아래 표는 이 StoreHub 데이터 유출에 대한 분석을 보여줍니다.
유출된 레코드 수 | 1.7 억 이상 |
영향을 받는 사용자 수 | 대략. 1 억 XNUMX 만 |
누출의 크기 | 1TB 이상 |
서버 위치 | 싱가포르 |
회사 위치 | 페탈 링 자야, 말레이시아 |
우리 사이버 보안 팀은 12년 2022월 2021일에 이 누출을 발견했습니다. 서버 콘텐츠는 적어도 XNUMX년 XNUMX월 말부터 노출된 것으로 보입니다.
저희 사이버보안팀은 유출 사실을 발견하자마자 서버와 데이터를 건드리지 않은 채 해당 업체에 연락하는 등 윤리적 해킹 수칙을 따랐습니다.
우리는 누출을 발견하자마자 StoreHub에 이메일을 보냈습니다. 18월 27일에 우리는 그들에게 후속 이메일을 보냈고 StoreHub의 CTO에게 이메일을 보냈습니다. XNUMX월 XNUMX일까지 응답이 없었기 때문에 말레이시아 CERT와 Amazon Web Services(호스팅 회사)에 문의했습니다. 둘 다 즉시 응답했습니다.
28월 2일에 말레이시아 CERT에 유출 사실을 알릴 수 있었습니다. 28월 2일에 말레이시아 CERT에서 추가 정보를 요청했지만 서버는 그때까지 보안이 확보되었습니다. 서버는 XNUMX월 XNUMX일부터 XNUMX월 XNUMX일 사이에 보안이 유지된 것으로 추정됩니다.
데이터 유출 영향
노출된 PII로 인해 피해자는 PII 세부 정보를 손에 넣은 악의적인 행위자로부터 도난 및 사기에 취약합니다.
비윤리적인 해커가 이 데이터 유출을 발견했는지 확인할 수 있는 방법은 없지만 영향을 받는 기업과 고객은 다음과 같은 잠재적 위협에 대해 경계해야 합니다.
사기 및 사기
노출된 PII는 고객을 사기 시도에 취약하게 만듭니다. 예를 들어, 악의적인 행위자는 거래 가격과 날짜 또는 신용 카드 번호의 마지막 XNUMX자리와 관련된 구매 정보를 확인하여 피해자에게 전화를 걸어 신뢰를 얻을 수 있습니다.
신뢰를 얻은 후 악의적인 행위자는 피해자로부터 추가 정보를 얻을 수 있으며, 이를 통해 은행에 액세스하거나 신용 카드 정보를 남용하여 실제 피해를 입힐 수 있습니다.
계정 도용
유출에는 StoreHub 서버를 사용하는 기업에 속하는 계정 토큰이 포함되어 있습니다. 악의적인 행위자는 이러한 토큰을 사용하여 비즈니스 또는 고객으로 로그인하고 계정 세부 정보를 잠재적으로 수정할 수 있습니다.
이는 악의적인 행위자가 무엇을 선택하는지에 따라 다양한 방식으로 비즈니스에 피해를 줄 수 있습니다. 윤리적인 이유로 노출된 토큰의 기능을 테스트할 수 없습니다. 그러나 이론적인 예는 나쁜 행위자가 식당 계정의 메뉴를 수정하거나 비즈니스 목록을 완전히 삭제하도록 허용할 수 있다는 것입니다. 노출된 토큰은 또한 악의적인 행위자가 사이트를 수정하여 더욱 민감한 PII를 수집하고 피해자를 더욱 손상시킬 수 있으므로 고객을 위험에 빠뜨릴 수도 있습니다.
고객의 재산 도난 위험
유출된 자세한 정보는 고객에게 많은 취약점을 생성합니다. 유출된 정보를 통해 악의적인 행위자는 고객이 이미 지불한 주문을 추적하고 가로챌 수 있습니다.
누출은 또한 일부 고객이 일반적으로 집을 떠나는 시간을 나타냅니다. 잘못된 손에 이 정보가 있으면 고객의 재산이 물리적 침입의 위험에 빠질 수 있습니다.
기업의 재산 도난 위험
이 누출에는 직원 체크인 및 체크아웃 시간에 대한 긴 목록이 포함되어 있어 악의적인 행위자가 특정 시간 동안 일반적으로 매장에 얼마나 많은 직원이 있는지 정확히 알려줍니다. 그들이 물리적으로 침입하여 사업을 훔치려 한다면 이 정보가 절도에 도움이 될 것입니다.
데이터 노출 방지
데이터를 보호하고 사이버 범죄의 위험을 최소화하기 위해 무엇을 할 수 있습니까?
데이터 노출 위험을 최소화할 수 있는 몇 가지 방법은 다음과 같습니다.
- 귀하가 신뢰하는 개인 및 회사에만 귀하의 개인 정보를 제공하십시오.
- 안전한 웹사이트만 방문하십시오. 보안 웹사이트에는 'https' 및/또는 닫힌 자물쇠 기호로 시작하는 도메인 이름이 있습니다.
- 가장 중요한 형태의 개인 정보(예: 주민등록번호, 주민등록번호, 개인 선호도)를 제공하라는 요청을 받을 때 각별히 주의하십시오.
- 만들기 초강력 비밀번호 문자, 대문자, 숫자 및 기호의 조합을 사용합니다. 정기적으로 비밀번호를 업데이트하십시오.
- 서비스 간에 암호를 재활용하지 마십시오. 사용 암호 관리자 필요하다면
- 발신자/발신자가 진짜인지 완전히 확신하지 않는 한 이메일, SMS 메시지 또는 인터넷의 다른 곳에서 링크를 클릭하지 마십시오. 확실하지 않은 경우 회사 웹 사이트로 이동하여 링크를 찾으십시오.
- 소셜 미디어 개인 정보 설정을 수정합니다. 귀하의 계정은 신뢰할 수 있는 사용자와 친구에게만 귀하의 콘텐츠와 개인 정보를 표시해야 합니다.
- 공용 Wi-Fi에 연결할 때 수행하는 작업과 표시하는 정보를 제한합니다. 예를 들어, 제품을 구매하지 말고 공용 WiFi에 신용 카드 정보를 입력하십시오.
- 온라인 소스를 사용하여 사이버 범죄에 대해 배우다, 데이터 보호, 피싱 공격 및 맬웨어를 방지하기 위해 취할 수 있는 조치.
회사 소개
SafetyDetectives.com 세계 최대의 안티 바이러스 리뷰 웹 사이트입니다.
SafetyDetectives 연구소는 온라인 커뮤니티가 사이버 위협으로부터 스스로를 방어하는 동시에 조직에 사용자 데이터를 보호하는 방법을 교육하는 데 도움이되는 프로 보노 서비스입니다. 웹 매핑 프로젝트의 가장 중요한 목적은 인터넷을 모든 사용자에게 더 안전한 장소로 만드는 것입니다.
이전 보고서를 통해 노출 된 약 200 억 명 이상의 사용자를 포함하여 여러 가지 주요 취약점과 데이터 유출이 밝혀졌습니다. 중국 소셜 미디어 관리 회사 Socialarks, 위반뿐만 아니라 브라질 전자상거래 통합 플랫폼 Hariexpress 1.75억 XNUMX천만 개 이상의 기록이 유출되었습니다.
지난 3 년 동안보고 된 SafetyDetectives 사이버 보안에 대한 전체 검토를 보려면 다음을 따르십시오. SafetyDetectives 사이버 보안 팀.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- 소개
- ACCESS
- 액세스
- 에 따르면
- 계정
- 얻다
- 가로질러
- 주소
- 구애
- 에 영향을 미치는
- 반대
- All
- 이미
- 아마존
- Amazon Web Services
- 분석
- 안티 바이러스
- 어딘가에
- 아시아
- 은행
- 바
- 이하
- 사이에
- 억원
- 수십억
- 위반
- 분석
- 사업
- 사업
- 전화
- 기능
- 주의
- 일으키는
- 어떤
- 주요한
- 최고 기술 책임자 (CTO)
- 왼쪽 메뉴에서
- 닫은
- 의류
- 수집
- 결합
- 커뮤니티
- 기업
- 회사
- 회사
- 완전히
- 연결
- 이 포함되어 있습니다
- 함유량
- 수
- 국가
- 생성
- 신용
- 크레디트 카드
- 현재
- 고객
- 고객
- 사이버
- 사이버 범죄
- 사이버 보안
- 데이터
- 데이터 유출
- 데이터 보호
- 배달
- 의존
- 상세한
- 세부설명
- 장치
- 숫자
- 발견
- 디스플레이
- 도메인
- 아래 (down)
- ...동안
- 전자 상거래
- 전자 상거래
- 교육
- 이메일
- 직원
- 암호화
- 견적
- 등
- 윤리적인
- 정확하게
- 예
- 드러난
- 발견
- 따라
- 수행원
- 식품
- 양식
- 설립
- 사기
- 에
- 가득 찬
- 추가
- 획득
- 일반적으로
- Government
- 해커
- 컴퓨터 조작을 즐기기
- 본사
- 도움
- history
- 호스팅
- 방법
- How To
- 그러나
- HTTPS
- 중대한
- 포함
- 포함
- 포함
- 개인
- 개인
- 정보
- 인터넷
- 목록
- IT
- 그 자체
- 일월
- 실험실
- 가장 큰
- 누출
- 누수
- 휴가
- 빛
- 아마도
- 라인
- LINK
- 모래밭
- 리스팅
- 기울기
- 긴
- 충성도
- 주요한
- 확인
- 말레이시아
- 악성 코드
- 구축
- 매핑
- 미디어
- 회원
- 메시지
- 백만
- 배우기
- 가장
- 여러
- 이름
- 번호
- 숫자
- 제공
- 장교
- 온라인
- 열 수
- 주문
- 명령
- 조직
- 지급
- 특별한
- 암호
- 결제
- 사람들
- 기간
- 확인
- 피싱
- 피싱 공격
- 물리적
- 육체적으로
- 개
- 플랫폼
- 포인트 적립
- PoS
- 가능성
- 너무 이른
- 가격
- 개인 정보 보호
- 찬성
- 방법
- 프로덕트
- 프로그램
- 프로젝트
- 재산
- 보호
- 보호
- 제공
- 공급자
- 제공
- 공개
- 매수
- 구매
- 목적
- 이유
- 접수
- 기록
- 기록
- 지방
- 보고서
- 연구
- 응답
- 책임
- RESTAURANT
- 레스토랑
- 소매
- 리뷰
- 위험
- 규칙
- 안전
- 판매
- 판매
- 안전해야합니다.
- 보안
- 보안
- 서비스
- 서비스
- 상점
- 이후
- 대지
- SMS
- So
- 사회적
- 소셜 미디어
- 소프트웨어
- 일부
- 구체적인
- 저장
- 상점
- 체계
- 작업
- 팀
- Technology
- 말하다
- test
- XNUMXD덴탈의
- 절도
- 수천
- 위협
- 시대
- 토큰
- 검색을
- 선로
- 추적
- 거래 내역
- 믿어
- 신뢰할 수있는
- 업데이트
- us
- 사용
- 사용자
- 종류
- 피해자
- 취약점
- 취약
- 방법
- 웹
- 웹 서비스
- 웹 사이트
- 웹 사이트
- 뭐
- 동안
- 누구
- Wi-Fi 접속 설비
- 와이파이
- 없이
- 세계
- 겠지
- 년
- 너의