주도 아누 라그 센Walk Through California 프로그램, 안전 탐정 사이버 보안 팀은 미국 결제 소프트웨어 제공업체인 Transact Campus에 영향을 미치는 데이터 노출을 확인했습니다.
회사 웹 사이트에 따르면 Transact Campus의 기술은 여러 지불 기능을 단일 모바일 플랫폼에 통합하여 고등 교육 기관에서 학생 구매를 지원합니다. Transact Campus의 서비스는 학생과 기관 모두를 위한 지불 프로세스를 간소화합니다.
Transact Campus와 관련된 데이터가 포함된 Elasticsearch 서버는 비밀번호 보호 없이 보안이 유지되지 않아 1만 개 이상의 학생 기록이 노출되었습니다.
트랜잭트 캠퍼스는 누구인가요?
Transact Campus는 모바일 결제 및 사용자 ID("Campus ID" 포함)를 학생용 단일 앱으로 통합하는 캠퍼스 결제 기술을 미국 고등 교육 기관에 판매합니다.
학생들은 이벤트 티켓과 매점, 자동 판매기 및 타사 공급업체의 제품을 포함하여 고유한 개인 계정("캠퍼스 ID")으로 수업료 및 기타 다양한 현장 특혜를 현금 없이 결제할 수 있습니다.
캠퍼스 ID는 또한 프린터 액세스, 도어 액세스, 이벤트 액세스 및 수업 출석 모니터링과 같은 다양한 기타 캠퍼스 기능에 대한 학생 액세스 권한을 부여하는 데 사용할 수 있습니다.
Transact 캠퍼스는 애리조나주 피닉스에 본사를 두고 있습니다. 1984년 회사가 설립된 이래 Transact Campus는 12개 고객 기관에서 1,300만 명의 학생에게 서비스를 제공하여 45억 달러 상당의 거래를 촉진했습니다. Transact Campus는 현재 약 400명의 직원을 고용하고 있으며 약 100억 달러의 연간 수익을 창출합니다.
무엇이 노출되었습니까?
개방형 Elasticsearch 서버는 1만 개 이상의 레코드, 총 5GB 이상의 데이터를 노출했습니다. 서버에 액세스할 수 있고 데이터가 암호화되지 않았습니다.
Elasticsearch의 로그에는 Transact Campus의 서비스를 사용하는 다양한 대학의 데이터가 포함되어 있습니다. 이 데이터는 이러한 노출된 기관의 학생들에 속합니다.
다음을 포함하여 여러 형태의 학생 PII가 공개 서버에 노출되었습니다.
- 성명
- 이메일 주소
- 전화 번호
- 일반 텍스트의 로그인 자격 증명, 포함 사용자 이름 및 암호
- 상세 거래 내역, 포함 구매 금액 및 시간
- 신용카드 정보(불완전), 포함 신용 카드 번호, 만료 날짜 및 은행 세부 정보의 첫 번째 6자리(BIN*) 및 마지막 4자리
- 구매한 식사 플랜 및 식사 계획 잔액
*참고: 은행 식별 번호(BIN)는 결제 카드 번호의 처음 XNUMX자리입니다. 이 번호는 카드 발급자를 식별합니다.
SafetyDetectives 사이버보안팀은 특정 포트에서 IP 주소를 확인하던 중 열린 Elasticsearch 서버를 발견했습니다. 서버는 활성 상태였으며 발견 당시 업데이트 중이었습니다.
다음 스크린샷에서 학생 데이터를 노출한 서버 로그의 증거를 볼 수 있습니다.
데이터 노출은 Transact Campus 계정 소유자인 학생에게 영향을 미칩니다. 가족들도 영향을 받을 수 있습니다. 예를 들어 부모가 학생의 등록금을 마련하거나 Transact Campus 계정을 통해 학생을 재정적으로 지원하는 경우 부모의 지불 세부 정보가 노출될 수 있습니다. 노출된 대학 중 하나의 계정에 연결된 계정 및/또는 지불 세부 정보를 가진 사람은 누구나 영향을 받을 수 있습니다.
이 사건으로 얼마나 많은 사람들이 노출되었는지 정확히 알 수 없습니다. 그러나 서버에 노출된 이메일 주소와 전화번호의 양은 약 30,000-40,000명의 학생이 영향을 받는 것으로 나타났습니다.
Transact Campus는 미국 고등 교육 기관을 다루므로 노출된 Elasticsearch는 주로 미국 시민에게 영향을 미칩니다.
아래 표에서 이 데이터 노출에 대한 전체 분석을 볼 수 있습니다.
노출된 레코드 수 | 1 백만 이상 |
영향을 받는 사용자 수 | 30,000-40,000명(대략) |
노출의 크기 | 약 5GB |
서버 위치 | 미국 |
회사 위치 | 미국 애리조나주 피닉스 |
6년 2021월 8일에 오픈 서버를 발견하고 2021년 XNUMX월 XNUMX일에 Transact Campus에 연락했습니다.
9년 14월 2021일과 9일에 Transact Campus에 최초 연락을 취했지만 답변을 받지 못했습니다. 우리는 2022년 13월 2022일에 US-CERT에 이메일을 보냈고 14년 2022월 16일에 일부 주요 연락처에 후속 메시지를 보냈습니다. Transact Campus는 같은 날 응답했습니다. 2022년 XNUMX월 XNUMX일에 Google은 책임감 있게 유출 사실을 Transact Campus에 공개했으며 XNUMX년 XNUMX월 XNUMX일에 데이터 유출이 방지되었습니다.
Transact Campus는 나중에 우리의 메시지에 답장했고 Elasticsearch 서버가 그들의 통제 하에 있지 않다고 말했습니다.
"분명히 이것은 제XNUMX자가 데모용으로 설정한 것이며 결코 중단된 적이 없습니다. 우리는 데이터 세트가 프로덕션 데이터를 사용하지 않고 가짜 데이터 세트로 채워져 있음을 확인했습니다.”
참고: 공개된 Elasticsearch에서 사용자 샘플을 확인했으며 이 데이터는 실제 사람의 데이터인 것 같았습니다.
파운드리의 성명서:
“이 사건은 Transact의 어떤 시스템에도 영향을 미치지 않았습니다. 단일 Foundry 게이트웨이 서버로 격리되었습니다. 취약한 Elasticsearch 클러스터를 적극적으로 검사하는 타사 보안 회사에 의해 잠재적인 노출이 발견되었습니다. Elasticsearch 서버는 의도한 대로 데이터를 테스트하는 대신 700년 10월 2021일부터 14년 2022월 XNUMX일 사이에 식사 계획 계정 액세스에 등록을 시도한 XNUMX명 미만의 학생에 대한 일반 텍스트 사용자 이름과 비밀번호가 포함된 프로덕션 로그를 가져왔습니다. 해당 기간은 영향을 받은 계정을 설명합니다."
거래 명세서:
“또한 생산 로그에 액세스하는 사람은 사용자 이름과 일반 텍스트 비밀번호만으로는 Transact 플랫폼에서 거래에 참여할 수 없었을 것입니다. Transact는 많은 주의를 기울여 비밀번호를 강제로 변경했습니다. Transact는 또한 SafetyDetectives로부터 통지를 받은 후 상당한 노력을 기울였습니다. Transact 고객 및 학생 데이터와 이 데이터를 수집, 처리 및 유지 관리하는 시스템을 보호하는 것은 매우 중요합니다. 따라서 시스템, 애플리케이션 및 서비스의 보안에는 가능한 위협을 상쇄하기 위한 제어 및 보호 장치가 포함됩니다. Transact의 정보 보안 및 개인 정보 보호 조치는 데이터 및 시스템에 대한 무단 액세스, 변경, 공개 또는 파괴를 방지하기 위해 구현됩니다. Transact는 고객에게 최고 수준의 보안을 제공하기 위해 최선을 다하고 있으며 현재 상황과 시스템 보안에 대한 기타 잠재적인 위협을 계속 모니터링할 것입니다.”
데이터 노출 영향
악의적인 행위자가 데이터베이스에 보안이 설정되지 않은 상태에서 액세스했는지 여부를 알 수 없으며 알 수 없습니다. 서버의 콘텐츠는 악의적인 행위자가 서버의 데이터를 읽거나 다운로드한 경우 노출된 학생을 사이버 범죄의 위험에 빠뜨릴 수 있습니다.
스팸 마케팅, 피싱 공격, 과 사기 연락처 세부 정보, 전체 이름 및 Transact Campus 사용자에게 노출되는 기타 민감한 세부 정보로 가능합니다. 공격자는 수많은 유출된 이메일 주소로 스팸 마케팅 캠페인을 수행하여 수천 명의 사람들에게 피싱 메시지, 멀웨어 및 사기를 보낼 수 있습니다.
피싱 공격에서 사이버 범죄자는 신용 카드 뒷면의 CVV 번호와 같은 추가 형태의 개인 데이터를 제공하도록 학생들을 설득하기 위해 신뢰할 수 있는 개인(예: 대학생)으로 가장할 수 있습니다. 피싱 공격자는 학생이 악성 링크를 클릭하도록 유도할 수도 있습니다. 악성 링크를 클릭하면 피해자의 기기에 악성 코드를 다운로드할 수 있으며, 이는 다른 형태의 데이터 수집 및 사이버 범죄를 보완할 수 있습니다.
사이버 범죄자가 서버에 액세스하는 경우 노출된 학생도 사기의 표적이 될 수 있습니다. 사기에서 사이버 범죄자는 피해자를 속여 돈을 지불하도록 시도합니다. 피싱 공격과 마찬가지로 사이버 범죄자는 다른 형태의 노출된 데이터를 사용하여 피해자를 표적으로 삼을 수 있습니다. 예를 들어 사이버 범죄자는 노출된 학생이 미지급 등록금을 공격자에게 직접 지불하도록 유도할 수 있습니다.
노출된 계정 자격 증명 일반 텍스트로 저장되어 영향을 받는 학생들에게 추가 위험을 제공합니다. 해커가 서버에 액세스하면 암호화되지 않은 사용자 이름과 암호를 쉽게 읽을 수 있습니다. 사이버 범죄자는 이 정보를 사용하여 학생의 계정에 액세스할 수 있으며 수수료를 지불하지 않으면 세부 정보를 변경하고 상당한 비용을 부과하겠다고 위협할 수 있습니다.
데이터 노출 방지
데이터를 보호하고 사이버 범죄의 위험을 최소화하기 위해 무엇을 할 수 있습니까?
다음은 데이터 노출을 방지하기 위한 몇 가지 팁입니다.
- 회사, 조직 또는 개인을 100% 신뢰하지 않는 한 개인 정보를 제공하지 마십시오.
- 보안 도메인 이름이 있는 웹사이트만 방문하십시오(시작 부분에 "https" 및/또는 닫힌 자물쇠 기호가 있는 도메인).
- 주민등록번호와 같이 가장 민감한 형태의 데이터를 제공할 때는 각별히 주의하십시오.
- 문자, 숫자 및 기호가 혼합된 견고한 비밀번호를 만드십시오. 정기적으로 비밀번호를 업데이트하십시오.
- 합법적인 출처에서 온 것이 확실하지 않으면 온라인에서 링크를 클릭하지 마십시오. 링크는 이메일, 메시지 또는 합법적인 도메인으로 가장하는 피싱 웹사이트에 있을 수 있습니다.
- 귀하의 콘텐츠와 정보가 친구와 신뢰할 수 있는 사용자에게만 표시되도록 소셜 미디어의 개인 정보 설정을 편집하십시오.
- 공개 또는 보안되지 않은 WiFi 네트워크를 사용할 때 매우 민감한 데이터(예: 신용 카드 번호 또는 비밀번호)를 표시하거나 입력하지 마십시오.
- 사이버 범죄의 위험, 데이터 보호의 중요성, 피싱 공격 및 맬웨어의 희생자가 될 가능성을 줄이는 방법에 대해 교육하십시오.
회사 소개
SafetyDetectives.com 세계 최대의 안티 바이러스 리뷰 웹 사이트입니다.
SafetyDetectives 연구소는 온라인 커뮤니티가 사이버 위협으로부터 스스로를 방어하는 동시에 조직에 사용자 데이터를 보호하는 방법을 교육하는 데 도움이되는 프로 보노 서비스입니다. 웹 매핑 프로젝트의 가장 중요한 목적은 인터넷을 모든 사용자에게 더 안전한 장소로 만드는 것입니다.
우리의 이전 보고서는 2.6만 사용자가 미국 소셜 분석 플랫폼 IGBlade, 뿐만 아니라 위반 브라질 마켓플레이스 통합자 플랫폼 Hariexpress.com.br 610GB 이상의 데이터가 유출되었습니다.
지난 3 년 동안보고 된 SafetyDetectives 사이버 보안에 대한 전체 검토를 보려면 다음을 따르십시오. SafetyDetectives 사이버 보안 팀.
- "
- 000
- 10
- 2021
- 2022
- a
- 소개
- 풍부
- ACCESS
- 얻기 쉬운
- 액세스
- 계정
- 추가
- 구애
- 영향을
- 에 영향을 미치는
- 제휴
- 반대
- All
- 양
- 분석
- 연간
- 안티 바이러스
- 누군가
- 앱
- 어플리케이션
- 애리조나
- 약
- 출석
- 균형
- 은행
- 처음
- 존재
- 이하
- 사이에
- 억원
- 위반
- 분석
- 캠페인
- 교정
- 카드
- 주의
- 현금없는
- 승산
- 이전 단계로 돌아가기
- 요금
- 확인
- 수업
- 클라이언트
- 닫은
- 수집
- 수집
- 칼리지
- 저지른
- 커뮤니티
- 회사
- 회사
- 완전히
- 행위
- CONTACT
- 함유량
- 계속
- 제어
- 컨트롤
- 수
- 신임장
- 신용
- 크레디트 카드
- 신용 카드
- 임계
- Current
- 현재
- 사이버
- 사이버 범죄
- 사이버 범죄자
- 사이버 보안
- 데이터
- 데이터 위반
- 데이터 보호
- 데이터 세트
- 데이터베이스
- 날짜
- 일
- 패키지 딜
- 세부설명
- 장치
- DID
- 숫자
- 근민
- 직접
- 발견
- 발견
- 도메인
- 도메인 이름
- 도메인
- 아래 (down)
- 다운로드
- 용이하게
- 교육
- 교육
- 노력
- 이메일
- 고용하다
- 참여
- 실재
- 견적
- 예상
- 이벤트
- 정확하게
- 예
- 드러난
- 모조품
- 가족
- 지우면 좋을거같음 . SM
- 먼저,
- 따라
- 수행원
- 양식
- 발견
- 설립
- 에
- 가득 찬
- 기능
- 기금
- 추가
- 게이트웨이
- 해커
- 본사
- 도움
- 더 높은
- 고등 교육
- 고도로
- 홀더
- 방법
- How To
- 그러나
- HTTPS
- 식별
- 확인
- 구현
- 중요성
- 불가능한
- 포함
- 포함
- 개인
- 정보
- 정보 보안
- 기관
- 인터넷
- IP
- IP 주소
- IT
- 그 자체
- 일월
- 키
- 알아
- 실험실
- 가장 큰
- 누출
- 누수
- 레벨
- 빛
- LINK
- 모래밭
- 살고있다
- 기계
- 유지하다
- 확인
- 악성 코드
- 매핑
- 마케팅
- 시장
- 가장 무도회
- 조치들
- 미디어
- 방법
- 백만
- 모바일
- 모바일 결제
- 돈
- 모니터
- 모니터링
- 배우기
- 가장
- 여러
- 이름
- 네트워크
- 번호
- 숫자
- 오프셋
- 온라인
- 열 수
- 조직
- 조직
- 기타
- 지급
- 특별한
- 파티
- 비밀번호
- 암호
- 지불
- 지불
- 지불 카드
- 결제
- 사람들
- 사람
- 확인
- 개인 정보
- 피싱
- 피싱 공격
- 피싱 공격
- 피닉스
- 플랫폼
- 가능한
- 가능성
- 힘
- 너무 이른
- 개인 정보 보호
- 찬성
- 방법
- 프로세스
- 생산
- 제품
- 프로젝트
- 보호
- 보호
- 제공
- 공급자
- 제공
- 공개
- 구매
- 목적
- 받다
- 기록
- 감소
- 회원가입
- 등록
- 보고서
- 연구
- 수익
- 리뷰
- 위험
- 위험
- 안전
- 같은
- 사기
- 사기
- 안전해야합니다.
- 보안
- 보안
- 서비스
- 서비스
- 세트
- 몇몇의
- 상당한
- 이후
- 단일
- SIX
- 꽤 큰
- So
- 사회적
- 소셜 미디어
- 소프트웨어
- 일부
- 스팸
- 서
- 유선
- 학생
- 그후
- SUPPORT
- 시스템은
- 목표
- 대상
- 팀
- Technology
- test
- XNUMXD덴탈의
- 따라서
- 타사
- 수천
- 위협
- 을 통하여
- 티켓
- 시간
- 기간
- 도움말
- 거래하다
- 거래 내역
- 믿어
- 아래에
- 유일한
- 미국
- 무담보의
- 업데이트
- us
- US $ 100 만
- 사용
- 사용자
- 여러
- 공급 업체
- 눈에 보이는
- 음량
- 취약점
- 취약
- 지갑
- 웹
- 웹 사이트
- 웹 사이트
- 여부
- 동안
- 누구
- 와이파이
- 이내
- 없이
- 세계
- 가치
- 겠지
- 년
- 너의