De Veiligheidsdetectives Het cybersecurity-team heeft een groot datalek ontdekt dat het softwarebedrijf StoreHub treft.
StoreHub is gevestigd in Maleisië en biedt een POS-softwaresysteem (point of sale) dat meestal wordt gebruikt in restaurants en winkels.
De blootgestelde gegevens werden opgeslagen op de Elasticsearch-server van een StoreHub die open werd gelaten zonder wachtwoordbeveiliging of codering. De onbeveiligde server heeft mogelijk de informatie van duizenden restaurants en winkels in gevaar gebracht, samen met hun personeel en ongeveer 1 miljoen klanten.
Wie is StoreHub?
StoreHub is opgericht in 2013 in Maleisië en heeft momenteel hun hoofdkantoor in Petaling Jaya. Hun product wordt volgens hun website door meer dan 15,000 bedrijven gebruikt, voornamelijk in de regio Zuidoost-Azië.
Het bedrijf verkoopt POS-software voornamelijk aan F&B-bedrijven (food and beverages), zoals restaurants, maar ook aan winkels.
POS-software wordt voornamelijk gebruikt om aankopen en transacties in klantgerichte bedrijven (restaurants, cafés, bars, winkels, enz.) individuele kledingstukken in een winkel.
StoreHub biedt ook een volledige reeks tools voor bedrijfsbeheer en analyses. Deze omvatten e-commerce en online levering, voorraadbeheer, personeelsbeheer, loyaliteitsprogramma's en klantanalyses.
Als gevolg hiervan kon StoreHub gegevens verzamelen van meer dan 1 miljoen mensen uit heel Zuidoost-Azië - voornamelijk de klanten van bedrijven die de software gebruiken.
Wat werd blootgesteld?
Ons cyberbeveiligingsteam ontdekte dat Storehub een van hun Elasticsearch-servers verkeerd had geconfigureerd, waardoor deze meer dan 1.7 miljard records en meer dan 1 terabyte aan gegevens lekte. Dit bracht bijna 1 miljoen klanten in Maleisië en mogelijk in Zuidoost-Aziatische landen aan het licht.
StoreHub verkoopt POS-software aan klantgerichte bedrijven, dus de blootgestelde gegevens zijn in twee categorieën te verdelen:
- Gegevens van klanten van bedrijven die StoreHub gebruiken
- Gegevens van bedrijven die StoreHub gebruiken
Gegevens van klanten van bedrijven die StoreHub gebruiken
Blootgestelde persoonlijk identificeerbare informatie (PII) van klanten omvat:
- Volledige namen
- Telefoonnummers
- Fysieke adressen
- E-mailadressen
- Type apparaat dat wordt gebruikt
De server onthulde ook gegevens met betrekking tot betalingen en bestelinformatie van de klanten, waardoor PII openbaar werd gemaakt, zoals:
- Transactiedata
- Bestelde artikelen
- Winkellocaties
Sommige van de bestelgegevens onthulden gedeeltelijk gemaskeerde creditcardgegevens.
Gegevens van bedrijven die StoreHub gebruiken
Het lek had ook gevolgen voor de bedrijven die StoreHub gebruiken en hun medewerkers. Uitgelekte informatie van de bedrijven omvat:
- In- en uitchecktijden van medewerkers
- namen van medewerkers
- Winkelnamen
- Fysieke adressen opslaan
- E-mailadressen opslaan
Ons cyberbeveiligingsteam zag ook gelekte toegangstokens, die kwaadwillenden konden gebruiken om in te loggen op en de websites van bedrijven aan te passen, wat mogelijk meer schade aanricht. Die we om ethische redenen niet konden testen.
Onderstaande tabel geeft een overzicht van dit StoreHub-datalek.
Aantal uitgelekte records | Meer dan 1.7 miljard |
Aantal getroffen gebruikers | Ca. 1 miljoen |
Grootte van lek: | Meer dan 1TB |
Server locatie | Singapore |
Bedrijfslocatie | Petaling Jaya, Maleisië |
Ons cyberbeveiligingsteam ontdekte dit lek op 12 januari 2022. De serverinhoud lijkt sinds ten minste eind november 2021 te zijn blootgesteld.
Bij het vinden van het lek volgde ons cyberbeveiligingsteam de regels van ethisch hacken door de server en gegevens onaangeroerd te laten en vervolgens contact op te nemen met het verantwoordelijke bedrijf.
We hebben StoreHub gemaild zodra we het lek ontdekten. Op 18 januari hebben we ze een vervolg-e-mail gestuurd en we hebben een e-mail gestuurd naar de Chief Technology Officer van StoreHub. We kregen op 27 januari geen reactie, dus namen we contact op met Malaysian CERT en Amazon Web Services (het hostingbedrijf). Beiden reageerden prompt.
We hebben het lek op 28 januari kunnen melden aan het Maleisische CERT. Het Maleisische CERT vroeg ons op 2 februari om meer informatie, maar de server was toen al beveiligd. We schatten dat de server beveiligd was tussen die periode van 28 januari tot 2 februari.
Impact datalek
Blootgestelde PII maakt slachtoffers kwetsbaar voor diefstal en fraude door kwaadwillenden die de PII-gegevens in handen krijgen.
We kunnen niet bevestigen of onethische hackers dit datalek hebben ontdekt, maar getroffen bedrijven en klanten moeten alert zijn op de volgende potentiële bedreigingen.
Oplichting en fraude
De blootgestelde PII maakt klanten kwetsbaar voor pogingen tot fraude. Kwaadwillenden kunnen bijvoorbeeld slachtoffers bellen en hun vertrouwen winnen door aankoopinformatie te bevestigen met de prijs en datum van een transactie, of zelfs de laatste vier cijfers van een creditcardnummer.
Na het winnen van vertrouwen, zouden de kwaadwillenden meer informatie van het slachtoffer kunnen krijgen, wat hen vervolgens in staat zou kunnen stellen om daadwerkelijke schade toe te brengen door toegang te krijgen tot hun bank of door creditcardgegevens te misbruiken.
Account Diefstal
Het lek bevat accounttokens, die hoogstwaarschijnlijk toebehoren aan de bedrijven die de StoreHub-server gebruiken. Slechte actoren kunnen deze tokens gebruiken om in te loggen als bedrijven of klanten en mogelijk accountgegevens te wijzigen.
Dit kan het bedrijf op verschillende manieren schaden, afhankelijk van wat de slechte actoren ervoor kiezen te doen. Om ethische redenen kunnen we de mogelijkheden van de blootgestelde tokens niet testen. Een theoretisch voorbeeld is echter dat ze slechte acteurs kunnen toestaan om het menu van een restaurantaccount aan te passen of de vermelding van het bedrijf volledig te verwijderen. Blootgestelde tokens kunnen ook klanten in gevaar brengen, omdat kwaadwillenden de site mogelijk kunnen aanpassen om nog gevoeligere PII te verzamelen en de slachtoffers verder in gevaar te brengen.
Risico van eigendomsdiefstal voor klanten
De gedetailleerde informatie uit het lek zorgt voor veel kwetsbaarheden voor klanten. Informatie in het lek kan kwaadwillenden in staat stellen bestellingen te volgen en te onderscheppen waarvoor de klant al heeft betaald.
Het lek geeft ook de tijden aan dat sommige klanten over het algemeen hun huis verlaten. In verkeerde handen kan deze informatie het eigendom van de klant in gevaar brengen voor een fysieke inbraak.
Risico van eigendomsdiefstal voor bedrijven
Het lek bevat lange lijsten met in- en uitchecktijden van het personeel, die slechte acteurs precies vertellen hoeveel werknemers er over het algemeen in de winkel zijn op bepaalde tijden. Als ze van plan waren fysiek in te breken en van het bedrijf te stelen, zou deze informatie helpen bij de diefstal.
Blootstelling van gegevens voorkomen
Wat kunt u doen om uw gegevens te beschermen en uw risico op cybercriminaliteit te minimaliseren?
Hier zijn enkele manieren waarop u uw risico op gegevensblootstelling kunt minimaliseren:
- Geef uw persoonlijke gegevens alleen aan personen en bedrijven die u vertrouwt.
- Bezoek alleen beveiligde websites. Beveiligde websites hebben domeinnamen die beginnen met 'https' en/of een gesloten slotje.
- Wees extra voorzichtig wanneer u wordt gevraagd om de belangrijkste vormen van persoonlijke informatie te verstrekken (zoals burgerservicenummers, overheidsidentificatienummers en persoonlijke voorkeuren).
- creëren supersterke wachtwoorden door een combinatie van letters, hoofdletters, cijfers en symbolen te gebruiken. Werk uw wachtwoorden regelmatig bij.
- Recycle wachtwoorden niet tussen services. Gebruik een Password Manager indien nodig
- Klik niet op links in e-mails, sms-berichten of ergens anders op internet, tenzij u er zeker van bent dat de bron/afzender echt is. Als u het helemaal niet zeker weet, gaat u naar de website van het bedrijf en vindt u de link daar.
- Bewerk uw privacy-instellingen voor sociale media. Uw accounts mogen uw inhoud en persoonlijke gegevens alleen weergeven aan vertrouwde gebruikers en vrienden.
- Beperk de taken die u uitvoert en de informatie die u weergeeft wanneer u bent verbonden met openbare wifi. Koop bijvoorbeeld geen product en typ je creditcardgegevens over op openbare wifi.
- Gebruik online bronnen om leer over cybercriminaliteit, gegevensbescherming en de stappen die u kunt nemen om phishing-aanvallen en malware te voorkomen.
Over Ons
VeiligheidDetectives.com is 's werelds grootste beoordelingswebsite voor antivirusprogramma's.
Het SafetyDetectives-onderzoekslaboratorium is een pro bono-service die tot doel heeft de online gemeenschap te helpen zichzelf te verdedigen tegen cyberdreigingen en organisaties te leren hoe ze de gegevens van hun gebruikers kunnen beschermen. Het overkoepelende doel van ons webmapping-project is om het internet veiliger te maken voor alle gebruikers.
Onze eerdere rapporten hebben meerdere spraakmakende kwetsbaarheden en datalekken aan het licht gebracht, waaronder ongeveer 200+ miljoen gebruikers die hierdoor zijn blootgesteld Chinees social media management bedrijf Socialarks, evenals een inbreuk op Braziliaans eCommerce-integratieplatform Hariexpress dat meer dan 1.75 miljard records lekte.
Voor een volledig overzicht van de cyberveiligheidsrapportage van SafetyDetectives van de afgelopen 3 jaar, volgt u SafetyDetectives Cybersecurity-team.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- Over
- toegang
- toegang
- Volgens
- Account
- verwerven
- over
- adres
- adressen
- die van invloed
- tegen
- Alles
- al
- Amazone
- Amazon Web Services
- analytics
- antivirus
- overal
- Azië
- Bank
- bars
- onder
- tussen
- Miljard
- miljarden
- overtreding
- Storing
- bedrijfsdeskundigen
- ondernemingen
- Bellen
- mogelijkheden
- voorzichtig
- veroorzakend
- zeker
- chef
- Chief Technology Officer
- Kies
- CLOSED
- Kleding
- verzamelen
- combinatie van
- gemeenschap
- Bedrijven
- afstand
- Bedrijf
- compleet
- gekoppeld blijven
- bevat
- content
- kon
- landen
- creëert
- Credits
- creditkaart
- Op dit moment
- klant
- Klanten
- cyber
- cybercrime
- Cybersecurity
- gegevens
- gegevenslek
- gegevensbescherming
- levering
- Afhankelijk
- gedetailleerd
- gegevens
- apparaat
- cijfers
- ontdekt
- Display
- domein
- beneden
- gedurende
- e-commerce
- ecommerce
- opleiden
- medewerkers
- encryptie
- schatting
- etc
- ethisch
- precies
- voorbeeld
- blootgestelde
- het vinden van
- volgen
- volgend
- eten
- formulieren
- Opgericht
- bedrog
- oppompen van
- vol
- verder
- met het verkrijgen van
- algemeen
- Overheid
- Hackers
- hacking
- Hoofdkantoor
- hulp
- geschiedenis
- Hosting
- Hoe
- How To
- Echter
- HTTPS
- belangrijk
- omvatten
- omvat
- Inclusief
- individueel
- individuen
- informatie
- Internet
- inventaris
- IT
- zelf
- Januari
- laboratorium
- grootste
- lekken
- Lekken
- Verlof
- licht
- Waarschijnlijk
- lijnen
- LINK
- links
- vermelding
- lijsten
- lang
- Loyaliteit
- groot
- maken
- Maleisië
- malware
- management
- in kaart brengen
- Media
- Leden
- berichten
- miljoen
- meer
- meest
- meervoudig
- namen
- aantal
- nummers
- Aanbod
- Officier
- online.
- open
- bestellen
- orders
- organisaties
- betaald
- bijzonder
- wachtwoorden
- betalingen
- Mensen
- periode
- persoonlijk
- Phishing
- phishing-aanvallen
- Fysiek
- fysiek
- stukken
- platform
- punt
- PoS
- potentieel
- vorig
- prijs
- privacy
- Pro
- Product
- Programma's
- project
- eigendom
- beschermen
- bescherming
- zorgen voor
- leverancier
- biedt
- publiek
- inkomsten
- aankopen
- doel
- redenen
- ontvangen
- record
- archief
- regio
- Rapporten
- onderzoek
- antwoord
- verantwoordelijk
- restaurant
- Restaurants
- <HR>Retail
- beoordelen
- Risico
- reglement
- veiliger
- sale
- verkoop
- beveiligen
- Beveiligde
- veiligheid
- service
- Diensten
- winkels
- sinds
- website
- SMS
- So
- Social
- social media
- Software
- sommige
- specifiek
- shop
- winkels
- system
- taken
- team
- Technologie
- vertelt
- proef
- De
- diefstal
- duizenden kosten
- bedreigingen
- keer
- tokens
- tools
- spoor
- Tracking
- Transacties
- Trust
- vertrouwde
- bijwerken
- us
- .
- gebruikers
- variëteit
- slachtoffers
- kwetsbaarheden
- Kwetsbaar
- manieren
- web
- webservices
- Website
- websites
- Wat
- en
- WIE
- Wi-fi
- wifi
- zonder
- s werelds
- zou
- jaar
- Your