De Sikkerhetsdetektiver cybersikkerhetsteamet har oppdaget en stor datalekkasje som påvirker programvareselskapet StoreHub.
StoreHub er basert i Malaysia og tilbyr et salgssted (POS) programvaresystem som for det meste brukes i restauranter og butikker.
De eksponerte dataene ble lagret på en StoreHubs Elasticsearch-server som ble stående åpen uten passordbeskyttelse eller kryptering. Den ubeskyttede serveren kompromitterte potensielt informasjonen til tusenvis av restauranter og butikker, sammen med deres ansatte og omtrent 1 million kunder.
Hvem er StoreHub?
StoreHub ble grunnlagt i 2013 i Malaysia og har for tiden sitt hovedkontor i Petaling Jaya. Produktet deres brukes av over 15,000 XNUMX virksomheter i henhold til nettstedet deres, primært i Sørøst-Asia-regionen.
Selskapet selger POS-programvare primært til F&B (mat og drikke), for eksempel restauranter, men også til detaljbutikker.
POS-programvare brukes først og fremst til å behandle og registrere kjøp og transaksjoner i kundevendte virksomheter (restauranter, kafeer, barer, butikker, etc.), samt utstede kvitteringer og spore salg av bestemte varer – for eksempel måltider på en restaurant, eller individuelle plagg i en butikk.
StoreHub tilbyr også en komplett pakke med forretningsadministrasjonsverktøy og analyser. Disse inkluderer e-handel og online levering, lagerstyring, ansattes ledelse, lojalitetsprogrammer og kundeanalyse.
Som et resultat var StoreHub i stand til å samle inn data fra over 1 million mennesker fra hele Sørøst-Asia – først og fremst kunder til bedrifter som bruker programvaren.
Hva ble utsatt?
Vårt cybersikkerhetsteam oppdaget at Storehub hadde feilkonfigurert en av deres Elasticsearch-servere, noe som førte til at den lekket over 1.7 milliarder poster og over 1 terabyte med data. Dette avslørte nesten 1 million kunder i Malaysia og potensielt i Sørøst-asiatiske land.
StoreHub selger POS-programvare til kundevendte bedrifter, så de eksponerte dataene kommer i to kategorier:
- Data fra kunder til virksomheter som bruker StoreHub
- Data fra virksomheter som bruker StoreHub
Data fra kunder til bedrifter som bruker StoreHub
Eksponert personlig identifiserbar informasjon (PII) fra kunder inkluderer:
- Fulle navn
- Telefonnummer
- Fysiske adresser
- E-post adresse
- Type enhet brukt
Serveren avslørte også data relatert til betalinger og ordreinformasjon som tilhører kundene, og avslørte PII som:
- Transaksjonsdatoer
- Bestilte varer
- Butikkplasseringer
Noen av bestillingsdetaljene avslørte delvis maskert kredittkortinformasjon.
Data fra bedrifter som bruker StoreHub
Lekkasjen påvirket også virksomhetene som bruker StoreHub og deres ansatte. Lekket informasjon fra virksomhetene inkluderer:
- Inn-/utsjekkingstider fra ansatte
- Ansattes navn
- Butikknavn
- Lagre fysiske adresser
- Lagre e-postadresser
Nettsikkerhetsteamet vårt så også lekkede tilgangstokener, som dårlige aktører kunne bruke til å logge på og endre virksomhetens nettsteder, noe som potensielt kunne forårsake mer skade. Som vi ikke kunne teste av etiske grunner.
Tabellen nedenfor viser en oversikt over denne StoreHub-datalekkasjen.
Antall poster lekket | Over 1.7 milliarder |
Antall berørte brukere | Ca. 1 millioner |
Størrelse på lekkasje | Over 1TB |
Serverplassering | Singapore |
Selskapets beliggenhet | Petaling Jaya, Malaysia |
Nettsikkerhetsteamet vårt oppdaget denne lekkasjen 12. januar 2022. Serverinnholdet ser ut til å ha vært avslørt siden minst slutten av november 2021.
Da vi fant lekkasjen, fulgte cybersikkerhetsteamet reglene for etisk hacking ved å la serveren og dataene være urørt, og deretter kontakte det ansvarlige selskapet.
Vi sendte en e-post til StoreHub så snart vi oppdaget lekkasjen. 18. januar sendte vi en oppfølgings-e-post til dem og vi sendte en e-post til StoreHubs teknologisjef. Vi mottok ingen svar innen 27. januar, så vi kontaktet malaysiske CERT og Amazon Web Services (vertsselskapet). Begge svarte kjapt.
Vi kunne avsløre lekkasjen til det malaysiske CERT 28. januar. Det malaysiske CERT ba oss om mer informasjon 2. februar, men serveren var sikret da. Vi anslår at serveren var sikret mellom den perioden fra 28. januar til 2. februar.
Effekt på datalekkasje
Eksponert PII gjør ofre sårbare for tyveri og svindel fra dårlige skuespillere som får hendene på PII-detaljene.
Vi har ingen måte å bekrefte om uetiske hackere har oppdaget denne datalekkasjen, men berørte virksomheter og kunder bør være på vakt for følgende potensielle trusler.
Svindel og svindel
Den avslørte PII gjør kundene sårbare for svindelforsøk. For eksempel kan dårlige aktører ringe ofre og få deres tillit ved å bekrefte kjøpsinformasjon som involverer prisen og datoen for en transaksjon – eller til og med de fire siste sifrene i et kredittkortnummer.
Etter å ha oppnådd tillit, kunne de dårlige aktørene skaffe seg ytterligere informasjon fra offeret som deretter kunne tillate dem å påføre faktisk skade ved å gå inn på banken deres eller misbruke kredittkortinformasjon.
Kontotyveri
Lekkasjen inneholder kontotokens, som mest sannsynlig tilhører virksomhetene som bruker StoreHub-serveren. Dårlige aktører kan bruke disse tokenene for å logge på som bedrifter eller kunder og potensielt endre kontodetaljer.
Dette kan skade virksomheten på en rekke måter, avhengig av hva de dårlige skuespillerne velger å gjøre. Av etiske grunner kan vi ikke teste egenskapene til de synlige tokenene. Et teoretisk eksempel er imidlertid at de kan tillate dårlige skuespillere å endre menyen på en restaurants konto eller ta helt ned virksomhetens oppføring. Eksponerte tokens kan også sette kunder i fare, ettersom dårlige aktører potensielt kan endre nettstedet for å samle inn enda mer sensitiv PII og kompromittere ofrene ytterligere.
Risiko for eiendomstyveri for kunder
Den detaljerte informasjonen fra lekkasjen skaper mange sårbarheter for kundene. Informasjon i lekkasjen kan tillate dårlige aktører å spore og avskjære bestillinger som kunden allerede har betalt for.
Lekkasjen indikerer også tidspunktene noen kunder generelt forlater hjemmene sine. I feil hender kan denne informasjonen sette kundens eiendom i fare for et fysisk innbrudd.
Risiko for eiendomstyveri for bedrifter
Lekkasjen inneholder lange lister over ansattes inn- og utsjekkingstider, som forteller dårlige aktører nøyaktig hvor mange ansatte som generelt er i butikken på bestemte tider. Hvis de hadde til hensikt å fysisk bryte seg inn og stjele fra virksomheten, ville denne informasjonen hjelpe i tyveriet.
Forhindre eksponering av data
Hva kan du gjøre for å beskytte dataene dine og minimere risikoen for nettkriminalitet?
Her er noen måter du kan minimere risikoen for dataeksponering:
- Gi kun personopplysningene dine til enkeltpersoner og selskaper som du stoler på.
- Besøk kun sikre nettsider. Sikre nettsteder har domenenavn som begynner med 'https' og/eller et lukket låssymbol.
- Vær ekstra forsiktig når du blir bedt om å oppgi de viktigste formene for personlig informasjon (dvs. personnummer, offentlige ID-nummer og personlige preferanser).
- Opprett supersterke passord ved å bruke en kombinasjon av bokstaver, store bokstaver, tall og symboler. Oppdater passordene dine regelmessig.
- Ikke resirkuler passord på tvers av tjenester. Bruk en Password Manager hvis nødvendig
- Ikke klikk på lenker i e-poster, SMS-meldinger eller andre steder på internett med mindre du er helt sikker på at kilden/avsenderen er ekte. Hvis du er usikker i det hele tatt, gå til selskapets nettside og finn linken der.
- Rediger personverninnstillingene for sosiale medier. Kontoene dine skal kun vise innholdet og personlige detaljer til pålitelige brukere og venner.
- Begrens oppgavene du utfører og informasjonen du viser når du er koblet til offentlig Wi-Fi. For eksempel, ikke kjøp et produkt og skriv inn kredittkortopplysningene dine på offentlig WiFi.
- Bruk nettbaserte kilder for å lære om nettkriminalitet, databeskyttelse og trinnene du kan ta for å unngå phishing-angrep og skadelig programvare.
Om Oss
SafetyDetectives.com er verdens største antivirusanmeldelsesnettsted.
SafetyDetectives forskningslaboratorium er en pro bono-tjeneste som tar sikte på å hjelpe nettsamfunnet til å forsvare seg mot cybertrusler, samtidig som de lærer organisasjoner om hvordan de skal beskytte brukernes data. Det overordnede formålet med prosjektet vårt for nettkartlegging er å bidra til å gjøre internett til et tryggere sted for alle brukere.
Våre tidligere rapporter har brakt frem flere høyprofilerte sårbarheter og datalekkasjer, inkludert rundt 200+ millioner brukere utsatt av Kinesisk administrasjonsselskap for sosiale medier Socialarks, samt et brudd kl Brasiliansk e-handelsintegratorplattform Hariexpress som lekket over 1.75 milliarder poster.
For en fullstendig gjennomgang av SafetyDetectives cybersikkerhetsrapportering de siste 3 årene, følg SafetyDetectives Cybersecurity Team.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- Om oss
- adgang
- Tilgang
- Ifølge
- Logg inn
- erverve
- tvers
- adresse
- adresser
- påvirker
- mot
- Alle
- allerede
- Amazon
- Amazon Web Services
- analytics
- antivirus
- hvor som helst
- asia
- Bank
- barer
- under
- mellom
- Milliarder
- milliarder
- brudd
- Breakdown
- virksomhet
- bedrifter
- ring
- evner
- forsiktig
- forårsaker
- viss
- sjef
- Chief Technology Officer
- Velg
- stengt
- Klær
- samle
- kombinasjon
- samfunnet
- Selskaper
- Selskapet
- Selskapets
- helt
- tilkoblet
- inneholder
- innhold
- kunne
- land
- skaper
- kreditt
- kredittkort
- I dag
- kunde
- Kunder
- cyber
- cybercrime
- Cybersecurity
- dato
- datalekkasje
- databeskyttelse
- levering
- avhengig
- detaljert
- detaljer
- enhet
- sifre
- oppdaget
- Vise
- domene
- ned
- under
- e-handel
- e-handel
- utdanne
- emalje
- ansatte
- kryptering
- anslag
- etc
- etisk
- nøyaktig
- eksempel
- utsatt
- finne
- følge
- etter
- mat
- skjemaer
- Stiftet
- svindel
- fra
- fullt
- videre
- få
- generelt
- Regjeringen
- hackere
- hacking
- Hovedkvarter
- hjelpe
- historie
- Hosting
- Hvordan
- Hvordan
- Men
- HTTPS
- viktig
- inkludere
- inkluderer
- Inkludert
- individuelt
- individer
- informasjon
- Internet
- inventar
- IT
- selv
- Januar
- lab
- største
- lekke
- Lekkasjer
- Permisjon
- lett
- Sannsynlig
- linjer
- LINK
- lenker
- oppføring
- lister
- Lang
- Lojalitet
- større
- gjøre
- Malaysia
- malware
- ledelse
- kartlegging
- Media
- medlemmer
- meldinger
- millioner
- mer
- mest
- flere
- navn
- Antall
- tall
- Tilbud
- Offiser
- på nett
- åpen
- rekkefølge
- ordrer
- organisasjoner
- betalt
- Spesielt
- passord
- betalinger
- Ansatte
- perioden
- personlig
- phishing
- phishing-angrep
- fysisk
- fysisk
- stykker
- plattform
- Point
- PoS
- potensiell
- forrige
- pris
- privatliv
- pro
- prosess
- Produkt
- programmer
- prosjekt
- eiendom
- beskytte
- beskyttelse
- gi
- leverandør
- gir
- offentlig
- Kjøp
- kjøp
- formål
- grunner
- mottatt
- rekord
- poster
- region
- Rapporter
- forskning
- svar
- ansvarlig
- Restaurant
- restauranter
- detaljhandel
- anmeldelse
- Risiko
- regler
- sikrere
- salg
- salg
- sikre
- sikret
- sikkerhet
- tjeneste
- Tjenester
- butikker
- siden
- nettstedet
- SMS
- So
- selskap
- sosiale medier
- Software
- noen
- spesifikk
- oppbevare
- butikker
- system
- oppgaver
- lag
- Teknologi
- forteller
- test
- De
- tyveri
- tusener
- trusler
- ganger
- tokens
- verktøy
- spor
- Sporing
- Transaksjoner
- Stol
- klarert
- Oppdater
- us
- bruke
- Brukere
- variasjon
- ofre
- Sikkerhetsproblemer
- Sårbar
- måter
- web
- webtjenester
- Nettsted
- nettsteder
- Hva
- mens
- HVEM
- Wi-fi
- wifi
- uten
- Verdens
- ville
- år
- Din