Prowadzone przez Anurag SenThe Detektywi Bezpieczeństwa Zespół ds. cyberbezpieczeństwa zidentyfikował ujawnienie danych dotyczące amerykańskiego dostawcy oprogramowania płatniczego Transact Campus.
Według strony internetowej firmy technologia Transact Campus integruje kilka funkcji płatniczych w jedną platformę mobilną, aby usprawnić zakupy studentów w instytucjach szkolnictwa wyższego. Usługi Transact Campus usprawniają procesy płatności zarówno dla studentów, jak i instytucji.
Serwer Elasticsearch zawierający dane związane z Transact Campus pozostał niezabezpieczony, bez żadnej ochrony hasłem, w związku z czym ujawnił ponad 1 milion rekordów uczniów.
Kim jest kampus Transact?
Transact Campus sprzedaje instytucjom szkolnictwa wyższego w USA technologię płatności kampusowych, która integruje płatności mobilne i identyfikację użytkownika (za pomocą „Campus ID”) w jedną aplikację dla studentów.
Studenci mogą dokonywać bezgotówkowych płatności za czesne i różne inne przywileje na miejscu za pomocą swojego unikalnego konta osobistego („ID kampusu”), w tym biletów na wydarzenia i produktów ze stoisk z koncesjami, automatów i dostawców zewnętrznych.
Identyfikatorów kampusowych można również używać do autoryzacji dostępu studentów do różnych innych funkcji kampusu, takich jak dostęp do drukarki, dostęp do drzwi, dostęp do wydarzeń i monitorowanie obecności na zajęciach.
Siedziba Transact Campus znajduje się w Phoenix w Arizonie. Od założenia firmy w 1984 r. Transact Campus służył 12 milionom studentów w 1,300 instytucjach klienckich, umożliwiając transakcje o wartości 45 miliardów dolarów. Transact Campus zatrudnia obecnie około 400 osób i generuje szacunkowe roczne przychody na poziomie 100 milionów dolarów.
Co zostało ujawnione?
Otwarty serwer Elasticsearch ujawnił ponad 1 milion rekordów, w sumie ponad 5 GB danych. Serwer pozostał dostępny, a jego dane nie były szyfrowane.
Dzienniki Elasticsearch zawierały dane z różnych uczelni korzystających z usług Transact Campus. Dane te należą do studentów tych narażonych instytucji.
Na otwartym serwerze ujawniono kilka form danych osobowych uczniów, w tym:
- Pełne nazwy
- Adresy e-mail
- Numery telefoniczne
- Dane logowania w postaci zwykłego tekstu, m.in. nazwy użytkownika i hasła
- Szczegóły transakcji, w tym ilość i czas zakupu
- Dane karty kredytowej (niekompletne), m.in. 6 pierwszych cyfr (BIN*) i 4 ostatnie cyfry numeru karty kredytowej, daty ważności i danych bankowych
- Zakupione plany posiłków i salda planu posiłków
*Uwaga: Bankowy Numer Identyfikacyjny (BIN) to pierwsze sześć cyfr numeru karty płatniczej. Numery te identyfikują wystawcę karty.
Zespół ds. cyberbezpieczeństwa SafetyDetectives znalazł otwarty serwer Elasticsearch podczas sprawdzania adresów IP na określonym porcie. W momencie wykrycia serwer działał i był aktualizowany.
Na poniższych zrzutach ekranu możesz zobaczyć dowody dzienników serwera, które ujawniły dane uczniów.
Narażenie danych dotyczy studentów będących posiadaczami kont Transact Campus. Może to dotyczyć także rodzin. Na przykład szczegóły płatności rodzica mogą zostać ujawnione, jeśli finansuje on czesne ucznia lub wspiera finansowo ucznia za pośrednictwem konta Transact Campus. Może to dotyczyć każdej osoby posiadającej konto i/lub szczegóły płatności powiązane z kontem w jednej z ujawnionych uczelni.
Nie da się dokładnie określić, ile osób zostało narażonych na działanie tego zdarzenia. Jednak liczba adresów e-mail i numerów telefonów ujawnionych na serwerze sugeruje, że problem dotyczy około 30,000 40,000–XNUMX XNUMX uczniów.
Transact Campus współpracuje z amerykańskimi instytucjami szkolnictwa wyższego i jako taki ujawniony Elasticsearch ma wpływ przede wszystkim na obywateli USA.
W poniższej tabeli możesz zobaczyć pełny podział tej ekspozycji danych.
Liczba ujawnionych rekordów | Ponad 1 milionów |
Liczba dotkniętych użytkowników | 30,000 40,000–XNUMX XNUMX osób (przybliżone szacunki) |
Rozmiar ekspozycji | Około 5 GB |
Lokalizacja serwera | Stany Zjednoczone |
Miejsce Firmy | Phoenix w Arizonie w Stanach Zjednoczonych |
Otwarty serwer odkryliśmy 6 grudnia 2021 r., a następnie skontaktowaliśmy się z firmą Transact Campus 8 grudnia 2021 r.
Kontynuowaliśmy nasz pierwszy kontakt z Transact Campus w dniach 9 i 14 grudnia 2021 r., ale nie otrzymaliśmy odpowiedzi. 9 stycznia 2022 r. wysłaliśmy e-mail do US-CERT, a 13 stycznia 2022 r. wysłaliśmy wiadomości uzupełniające do niektórych kluczowych kontaktów — odpowiedź Transact Campus została udzielona tego samego dnia. 14 stycznia 2022 r. odpowiedzialnie ujawniliśmy wyciek firmie Transact Campus, a 16 stycznia 2022 r. zabezpieczyliśmy naruszenie danych.
Transact Campus odpowiedział później na nasze wiadomości i poinformował nas, że serwer Elasticsearch nie jest pod ich kontrolą:
„Najwyraźniej zostało to utworzone przez stronę trzecią na potrzeby wersji demonstracyjnej i nigdy nie zostało usunięte. Potwierdziliśmy, że zbiór danych został wypełniony fałszywym zestawem danych i nie korzystał z żadnych danych produkcyjnych”.
Uwaga: sprawdziliśmy próbkę użytkowników w otwartym Elasticsearch i wydawało się, że dane te należą do prawdziwych osób.
Oświadczenie z odlewni:
„Ten incydent nie miał wpływu na żadne systemy w firmie Transact; został odizolowany od pojedynczego serwera bramy Foundry. Potencjalne narażenie zostało odkryte przez zewnętrzną firmę zajmującą się bezpieczeństwem, która aktywnie skanuje w poszukiwaniu podatnych na ataki klastrów Elasticsearch. Zamiast testować dane zgodnie z zamierzeniami, serwer Elasticsearch pobrał dzienniki produkcyjne zawierające nazwy użytkownika i hasła w postaci zwykłego tekstu mniej niż 700 uczniów, którzy próbowali zarejestrować się w celu uzyskania dostępu do konta z planem posiłków w okresie od 10 października 2021 r. do 14 stycznia 2022 r. Tylko próby rejestracji zalogowane w ciągu w tym przedziale czasowym uwzględniane są rachunki, których to dotyczyło”.
Oświadczenie z Transact:
„Również każdy, kto miałby dostęp do dzienników produkcyjnych, nie byłby w stanie angażować się w transakcje na platformie Transact, używając samej nazwy użytkownika i hasła w postaci zwykłego tekstu. Transact wymusił zmianę hasła ze względu na dużą ostrożność. Transact również dołożył wszelkich starań po otrzymaniu powiadomienia od SafetyDetectives. Ochrona danych klientów i uczniów Transact oraz systemów, które zbierają, przetwarzają i przechowują te dane, ma kluczowe znaczenie. Dlatego bezpieczeństwo systemów, aplikacji i usług obejmuje kontrole i zabezpieczenia równoważące potencjalne zagrożenia. W Transact wdrożono środki bezpieczeństwa informacji i prywatności, aby chronić przed nieuprawnionym dostępem, zmianą, ujawnieniem lub zniszczeniem danych i systemów. Transact stara się zapewnić swoim klientom najwyższy poziom bezpieczeństwa i będzie w dalszym ciągu monitorować bieżącą sytuację oraz wszelkie inne potencjalne zagrożenia dla bezpieczeństwa swoich systemów.”
Wpływ narażenia danych
Nie możemy i nie wiemy, czy złośliwi aktorzy uzyskali dostęp do bazy danych, gdy była ona niezabezpieczona. Zawartość serwera może narazić narażonych uczniów na ryzyko cyberprzestępczości, jeśli nieodpowiednie osoby przeczytają lub pobiorą dane z serwera.
Marketing spamowy, ataki phishingowe, i oszustwa są możliwe w przypadku danych kontaktowych, imion i nazwisk oraz innych wrażliwych danych udostępnianych użytkownikom Transact Campus. Osoby atakujące mogą prowadzić kampanie marketingowe zawierające spam, wykorzystując tak wiele adresów e-mail, które wyciekły, wysyłając wiadomości phishingowe, złośliwe oprogramowanie i oszustwa do tysięcy osób.
Podczas ataku phishingowego cyberprzestępca może podszywać się pod osobę godną zaufania (np. pracownika uczelni), aby przekonać studentów do podania dodatkowych form danych osobowych, takich jak numery CVV znajdujące się na odwrocie kart kredytowych. Phisherzy mogą również przekonać ucznia do kliknięcia złośliwego łącza. Po kliknięciu złośliwe linki mogą pobrać na urządzenie ofiary złośliwe oprogramowanie, co może stanowić uzupełnienie innych form gromadzenia danych i cyberprzestępczości.
Narażeni studenci mogą również stać się celem oszustw, jeśli cyberprzestępcy uzyskają dostęp do serwera. W ramach oszustwa cyberprzestępca próbuje nakłonić ofiarę do zapłacenia pieniędzy. Podobnie jak ataki phishingowe, cyberprzestępcy mogą wykorzystać inne formy ujawnionych danych, aby zaatakować ofiarę. Na przykład cyberprzestępca może przekonać narażonego studenta, aby uiścił zaległe czesne bezpośrednio atakującemu.
Ujawnione dane logowania do konta były przechowywane w postaci zwykłego tekstu, co stwarza dalsze ryzyko dla dotkniętych nimi uczniów. Gdyby jakikolwiek haker uzyskał dostęp do serwera, mógłby z łatwością odczytać niezaszyfrowane nazwy użytkowników i hasła. Dzięki tym informacjom cyberprzestępca może uzyskać dostęp do kont uczniów i potencjalnie zmienić szczegóły oraz zagrozić pobraniem znacznych opłat, jeśli opłata nie zostanie uiszczona.
Zapobieganie ujawnianiu danych
Co możemy zrobić, aby chronić nasze dane i zminimalizować ryzyko cyberprzestępczości?
Oto kilka wskazówek, jak zapobiegać narażeniu danych:
- Nie podawaj swoich danych osobowych firmie, organizacji ani osobie, jeśli nie ufasz temu podmiotowi w 100%.
- Odwiedzaj tylko strony internetowe, które mają bezpieczną nazwę domeny (domeny z symbolem „https” i/lub zamkniętą kłódką na początku).
- Zachowaj szczególną ostrożność, podając najbardziej wrażliwe formy danych, takie jak numer ubezpieczenia społecznego.
- Twórz solidne hasła zawierające mieszankę liter, cyfr i symboli. Regularnie aktualizuj swoje hasła.
- Nie klikaj linku w Internecie, jeśli nie masz całkowitej pewności, że pochodzi on z legalnego źródła. Linki mogą znajdować się w e-mailach, wiadomościach lub witrynach phishingowych udających legalne domeny.
- Edytuj swoje ustawienia prywatności w mediach społecznościowych, aby Twoje treści i informacje były widoczne tylko dla znajomych i zaufanych użytkowników.
- Unikaj wyświetlania lub wpisywania bardzo poufnych danych (takich jak numery kart kredytowych lub hasła), gdy korzystasz z publicznej lub niezabezpieczonej sieci Wi-Fi.
- Zdobądź wiedzę na temat zagrożeń związanych z cyberprzestępczością, znaczenia ochrony danych i metod zmniejszających ryzyko, że staniesz się ofiarą ataków phishingowych i złośliwego oprogramowania.
O nas
SafetyDetectives.com to największa na świecie witryna z recenzjami oprogramowania antywirusowego.
Laboratorium badawcze SafetyDetectives to usługa pro bono, której celem jest pomoc społeczności internetowej w obronie przed cyberzagrożeniami, jednocześnie ucząc organizacje, jak chronić dane użytkowników. Nadrzędnym celem naszego projektu tworzenia map internetowych jest pomoc w uczynieniu internetu bezpieczniejszym miejscem dla wszystkich użytkowników.
Nasze poprzednie raporty ujawniły wiele głośnych luk w zabezpieczeniach i wycieków danych, w tym 2.6 miliona użytkowników ujawnionych przez Amerykańska platforma analizy społecznościowej IGblade, a także wyłom w Platforma brazylijskiego Marketplace Integrator Hariexpress.com.br które wyciekły ponad 610 GB danych.
Aby zapoznać się z pełnym przeglądem raportów dotyczących cyberbezpieczeństwa SafetyDetectives z ostatnich 3 lat, zobacz Zespół ds. Cyberbezpieczeństwa SafetyDetectives.
- "
- 000
- 10
- 2021
- 2022
- a
- O nas
- obfitość
- dostęp
- dostępny
- Dostęp
- Konto
- Dodatkowy
- Adresy
- oddziaływać
- wpływający
- Program Partnerski
- przed
- Wszystkie kategorie
- ilość
- analityka
- roczny
- antywirusowe
- ktoś
- Aplikacja
- aplikacje
- Arizona
- na około
- frekwencja
- salda
- Bank
- Początek
- jest
- poniżej
- pomiędzy
- Miliard
- naruszenie
- awaria
- Kampanie
- Kampus
- Kartki okolicznosciowe
- ostrożny
- Bezgotówkowy
- duża szansa,
- zmiana
- Opłaty
- kontrola
- klasa
- klientów
- zamknięte
- zbierać
- kolekcja
- Studentki
- zobowiązany
- społeczność
- sukcesy firma
- Firma
- całkowicie
- Prowadzenie
- skontaktuj się
- zawartość
- kontynuować
- kontrola
- kontroli
- mógłby
- Listy uwierzytelniające
- kredyt
- Karta kredytowa
- Karty Kredytowe
- krytyczny
- Aktualny
- Obecnie
- cyber
- cyberprzestępczość
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- dane
- naruszenie danych
- Ochrona danych
- zbiór danych
- Baza danych
- Daty
- dzień
- Promocje
- detale
- urządzenie
- ZROBIŁ
- cyfry
- pracowitość
- bezpośrednio
- odkryty
- odkrycie
- domena
- Nazwa domeny
- domeny
- na dół
- pobieranie
- z łatwością
- edukowanie
- Edukacja
- wysiłek
- zatrudnia
- zobowiązany
- jednostka
- oszacowanie
- szacunkowa
- wydarzenie
- dokładnie
- przykład
- narażony
- imitacja
- rodzin
- Opłaty
- i terminów, a
- obserwuj
- następujący
- formularze
- znaleziono
- Założony
- od
- pełny
- Funkcje
- fundusz
- dalej
- Bramka
- haker
- z siedzibą
- pomoc
- wyższy
- Wyższa edukacja
- wysoko
- posiadacze
- W jaki sposób
- How To
- Jednak
- HTTPS
- Identyfikacja
- zidentyfikować
- realizowane
- znaczenie
- niemożliwy
- zawierać
- Włącznie z
- indywidualny
- Informacja
- bezpieczeństwo informacji
- instytucje
- Internet
- IP
- Adresy IP
- IT
- samo
- styczeń
- Klawisz
- Wiedzieć
- laboratorium
- największym
- przeciec
- Wycieki
- poziom
- lekki
- LINK
- linki
- relacja na żywo
- maszyny
- utrzymać
- robić
- malware
- mapowanie
- Marketing
- rynek
- maskarada
- środków
- Media
- metody
- milion
- Aplikacje mobilne
- płatności mobilne
- pieniądze
- monitor
- monitorowanie
- jeszcze
- większość
- wielokrotność
- Nazwy
- sieć
- numer
- z naszej
- offset
- Online
- koncepcja
- organizacja
- organizacji
- Inne
- płatny
- szczególny
- przyjęcie
- Hasło
- hasła
- Zapłacić
- płatność
- Karta płatnicza
- płatności
- Ludzie
- osoba
- osobisty
- dane personalne
- phishing
- atak phishingowy
- ataki phishingowe
- feniks
- Platforma
- możliwy
- potencjał
- power
- poprzedni
- prywatność
- Pro
- wygląda tak
- procesów
- Produkcja
- Produkty
- projekt
- chronić
- ochrona
- zapewniać
- dostawca
- że
- publiczny
- zakupy
- cel
- otrzymać
- dokumentacja
- zmniejszyć
- zarejestrować
- Rejestracja
- Raporty
- Badania naukowe
- dochód
- przeglądu
- Ryzyko
- ryzyko
- bezpieczniej
- taki sam
- oszustwo
- oszustwa
- bezpieczne
- zabezpieczone
- bezpieczeństwo
- usługa
- Usługi
- zestaw
- kilka
- znaczący
- ponieważ
- pojedynczy
- SIX
- spory
- So
- Obserwuj Nas
- Media społecznościowe
- Tworzenie
- kilka
- spam
- stojaki
- opływowy
- student
- Następnie
- wsparcie
- systemy
- cel
- ukierunkowane
- zespół
- Technologia
- test
- Połączenia
- w związku z tym
- innych firm
- tysiące
- zagrożenia
- Przez
- bilety
- czas
- ramy czasowe
- wskazówki
- przeprowadzać transakcję
- transakcje
- Zaufaj
- dla
- wyjątkowy
- Zjednoczony
- niezabezpieczony
- Aktualizacja
- us
- US $ 100 milionów
- posługiwać się
- Użytkownicy
- różnorodny
- sprzedawców
- widoczny
- Tom
- Luki w zabezpieczeniach
- Wrażliwy
- Portfel
- sieć
- Strona internetowa
- strony internetowe
- czy
- Podczas
- KIM
- wifi
- w ciągu
- bez
- świat
- wartość
- by
- lat
- Twój