A Detectives de Segurança equipe de segurança cibernética descobriu um grande vazamento de dados que afeta a empresa de software chamada StoreHub.
A StoreHub está sediada na Malásia e fornece um sistema de software de ponto de venda (POS) que é usado principalmente em restaurantes e lojas de varejo.
Os dados expostos foram armazenados em um servidor Elasticsearch do StoreHub que foi deixado aberto sem nenhuma proteção por senha ou criptografia. O servidor desprotegido comprometeu potencialmente as informações de milhares de restaurantes e lojas de varejo, juntamente com seus funcionários e cerca de 1 milhão de clientes.
Quem é StoreHub?
A StoreHub foi fundada em 2013 na Malásia e atualmente tem sua sede em Petaling Jaya. Seu produto é usado por mais de 15,000 empresas de acordo com seu site, principalmente na região do Sudeste Asiático.
A empresa vende software POS principalmente para empresas de alimentos e bebidas (alimentos e bebidas), como restaurantes, mas também para lojas de varejo.
O software POS é usado principalmente para processar e registrar compras e transações em empresas voltadas para o cliente (restaurantes, cafés, bares, lojas etc.), bem como emitir recibos e rastrear vendas de itens específicos - como refeições em um restaurante ou peças individuais de roupa em uma loja.
O StoreHub também oferece um conjunto completo de ferramentas e análises de gerenciamento de negócios. Isso inclui e-commerce e entrega on-line, gerenciamento de estoque, gerenciamento de funcionários, programas de fidelidade e análise de clientes.
Como resultado, a StoreHub conseguiu coletar dados de mais de 1 milhão de pessoas de todo o Sudeste Asiático – principalmente os clientes de empresas que usam seu software.
O que foi exposto?
Nossa equipe de segurança cibernética descobriu que o Storehub havia configurado incorretamente um de seus servidores Elasticsearch, causando o vazamento de mais de 1.7 bilhão de registros e mais de 1 terabyte de dados. Isso expôs quase 1 milhão de clientes na Malásia e potencialmente em países do Sudeste Asiático.
A StoreHub vende software POS para empresas voltadas para o cliente, portanto, os dados expostos vêm em duas categorias:
- Dados de clientes de empresas que usam StoreHub
- Dados de empresas que usam o StoreHub
Dados de clientes de empresas usando StoreHub
As informações de identificação pessoal (PII) expostas de clientes incluem:
- Nomes completos
- Números de telefone
- Endereços físicos
- Endereço de email
- Tipo de dispositivo usado
O servidor também expôs dados relacionados a pagamentos e informações de pedidos pertencentes aos clientes, expondo PII como:
- Datas de transação
- Itens pedidos
- Localizações de lojas
Alguns dos detalhes do pedido expuseram informações de cartão de crédito parcialmente mascaradas.
Dados de empresas usando StoreHub
O vazamento também afetou as empresas que usam o StoreHub e seus funcionários. As informações vazadas das empresas incluem:
- Horários de check-in/check-out dos funcionários
- Nomes de funcionários
- Nomes de lojas
- Armazenar endereços físicos
- Armazenar endereços de e-mail
Nossa equipe de segurança cibernética também viu tokens de acesso vazados, que criminosos poderiam usar para fazer login e modificar os sites das empresas, potencialmente causando mais danos. Que não pudemos testar por razões éticas.
A tabela abaixo mostra um detalhamento desse vazamento de dados do StoreHub.
Número de registros vazados | Mais de 1.7 bilhão |
Número de usuários afetados | Aproximadamente. 1 milhões |
Tamanho do vazamento | Mais de 1 TB |
Localização do servidor | Singapore |
Localização da empresa | Petaling Jaya, Malásia |
Nossa equipe de segurança cibernética descobriu esse vazamento em 12 de janeiro de 2022. O conteúdo do servidor parece ter sido exposto desde pelo menos o final de novembro de 2021.
Ao encontrar o vazamento, nossa equipe de segurança cibernética seguiu as regras de hacking ético, deixando o servidor e os dados intocados, entrando em contato com a empresa responsável.
Enviamos um e-mail para o StoreHub assim que descobrimos o vazamento. Em 18 de janeiro, enviamos um e-mail de acompanhamento para eles e enviamos um e-mail para o diretor de tecnologia da StoreHub. Não recebemos nenhuma resposta até 27 de janeiro, então entramos em contato com o Malaysian CERT e a Amazon Web Services (a empresa de hospedagem). Ambos responderam prontamente.
Conseguimos divulgar o vazamento para o CERT da Malásia em 28 de janeiro. O CERT da Malásia nos pediu mais informações em 2 de fevereiro, mas o servidor estava protegido até então. Estimamos que o servidor tenha sido protegido entre esse período de 28 de janeiro a 2 de fevereiro.
Impacto do vazamento de dados
As PII expostas deixam as vítimas vulneráveis a roubo e fraude de agentes mal-intencionados que colocam as mãos nos detalhes das PII.
Não temos como confirmar se hackers antiéticos descobriram esse vazamento de dados, mas as empresas e clientes afetados devem estar alertas para as seguintes ameaças em potencial.
Golpes e fraudes
As PII expostas deixam os clientes vulneráveis a tentativas de fraude. Por exemplo, os maus atores podem ligar para as vítimas e ganhar sua confiança confirmando informações de compra envolvendo o preço e a data de uma transação – ou até mesmo os quatro últimos dígitos de um número de cartão de crédito.
Depois de ganhar a confiança, os maus atores poderiam obter mais informações da vítima, o que poderia permitir que eles infligissem danos reais ao acessar seu banco ou abusar das informações do cartão de crédito.
Roubo de conta
O vazamento contém tokens de conta, que provavelmente pertencem às empresas que usam o servidor StoreHub. Os maus atores podem usar esses tokens para fazer login como empresas ou clientes e potencialmente modificar os detalhes da conta.
Isso pode prejudicar os negócios de várias maneiras, dependendo do que os maus atores escolherem fazer. Por motivos éticos, não podemos testar os recursos dos tokens expostos. No entanto, um exemplo teórico é que eles podem permitir que atores mal-intencionados modifiquem o cardápio na conta de um restaurante ou retirem totalmente a listagem da empresa. Os tokens expostos também podem colocar os clientes em risco, pois os agentes mal-intencionados podem modificar o site para coletar PII ainda mais confidenciais e comprometer ainda mais as vítimas.
Risco de roubo de propriedade para clientes
As informações detalhadas do vazamento criam muitas vulnerabilidades para os clientes. As informações no vazamento podem permitir que agentes mal-intencionados rastreiem e interceptem pedidos pelos quais o cliente já pagou.
O vazamento também indica os horários em que alguns clientes geralmente saem de casa. Nas mãos erradas, essas informações podem colocar a propriedade dos clientes em risco de invasão física.
Risco de roubo de propriedade para empresas
O vazamento contém longas listas de horários de check-in e check-out da equipe, que informam exatamente quantos funcionários geralmente estão na loja durante horários específicos. Se eles pretendiam invadir fisicamente e roubar o negócio, essa informação ajudaria no roubo.
Prevenindo a exposição de dados
O que você pode fazer para proteger seus dados e minimizar o risco de crimes cibernéticos?
Aqui estão algumas maneiras de minimizar o risco de exposição de dados:
- Forneça suas informações pessoais apenas para indivíduos e empresas em quem você confia.
- Visite apenas sites seguros. Sites seguros têm nomes de domínio que começam com 'https' e/ou um símbolo de cadeado fechado.
- Seja extremamente cuidadoso quando solicitado a fornecer as formas mais importantes de informações pessoais (ou seja, números de previdência social, números de identificação do governo e preferências pessoais).
- Crie senhas super fortes usando uma combinação de letras, maiúsculas, números e símbolos. Atualize suas senhas regularmente.
- Não recicle senhas entre serviços. Use um gerenciador de senhas se necessário
- Não clique em links em e-mails, mensagens SMS ou em qualquer outro lugar na Internet, a menos que tenha certeza absoluta de que a fonte/remetente é genuína. Se não tiver certeza, acesse o site da empresa e encontre o link lá.
- Edite suas configurações de privacidade de mídia social. Suas contas devem exibir seu conteúdo e detalhes pessoais apenas para usuários e amigos confiáveis.
- Limite as tarefas que você executa e as informações que você exibe quando conectado a uma rede Wi-Fi pública. Por exemplo, não compre um produto e digite os detalhes do seu cartão de crédito em uma rede Wi-Fi pública.
- Use fontes online para saiba mais sobre crimes cibernéticos, proteção de dados e as etapas que você pode seguir para evitar ataques de phishing e malware.
Sobre Nós
SafetyDetectives.com é o maior site de análise de antivírus do mundo.
O laboratório de pesquisa SafetyDetectives é um serviço pro bono que visa ajudar a comunidade online a se defender contra ameaças cibernéticas e, ao mesmo tempo, educar as organizações sobre como proteger os dados de seus usuários. O objetivo geral de nosso projeto de mapeamento da web é ajudar a tornar a Internet um lugar mais seguro para todos os usuários.
Nossos relatórios anteriores trouxeram à luz várias vulnerabilidades de alto perfil e vazamentos de dados, incluindo mais de 200 milhões de usuários expostos por Socialarks, empresa chinesa de gerenciamento de mídia social, bem como uma violação Plataforma brasileira integradora de comércio eletrônico Hariexpress que vazou mais de 1.75 bilhão de registros.
Para uma revisão completa dos relatórios de cibersegurança da SafetyDetectives nos últimos 3 anos, siga Equipe de Segurança Cibernética de Detectives de Segurança.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- Sobre
- Acesso
- acessando
- Segundo
- Conta
- adquirir
- em
- endereço
- endereços
- afetando
- contra
- Todos os Produtos
- já
- Amazon
- Amazon Web Services
- analítica
- antivirus
- qualquer lugar
- Ásia
- Bank
- barras
- abaixo
- entre
- bilhão
- bilhões
- violação
- Breakdown
- negócio
- negócios
- chamada
- capacidades
- cuidadoso
- causando
- certo
- chefe
- Chief Technology Officer
- Escolha
- fechado
- Vestuário
- coletar
- combinação
- comunidade
- Empresas
- Empresa
- Empresa
- completamente
- conectado
- contém
- conteúdo
- poderia
- países
- cria
- crédito
- cartão de crédito
- Atualmente
- cliente
- Clientes
- cibernético
- cibercrime
- Cíber segurança
- dados,
- vazamento de dados
- protecção de dados
- Entrega
- Dependendo
- detalhado
- detalhes
- dispositivo
- dígitos
- descoberto
- Ecrã
- domínio
- down
- durante
- e-commerce,
- Loja virtual
- educar
- colaboradores
- criptografia
- estimativa
- etc.
- considerações éticas
- exatamente
- exemplo
- exposto
- descoberta
- seguir
- seguinte
- comida
- formas
- Fundado
- fraude
- da
- cheio
- mais distante
- ganhando
- geralmente
- Governo
- hackers
- hacker
- Sede
- ajudar
- história
- hospedagem
- Como funciona o dobrador de carta de canal
- Como Negociar
- Contudo
- HTTPS
- importante
- incluir
- inclui
- Incluindo
- Individual
- indivíduos
- INFORMAÇÕES
- Internet
- inventário
- IT
- se
- janeiro
- laboratório
- maior
- vazar
- Vazamentos
- Deixar
- leve
- Provável
- linhas
- LINK
- Links
- listagem
- listas
- longo
- Lealdade
- principal
- fazer
- Malaysia
- malwares
- de grupos
- mapeamento
- Mídia
- Membros
- mensagens
- milhão
- mais
- a maioria
- múltiplo
- nomes
- número
- números
- Oferece
- Oficial
- online
- aberto
- ordem
- ordens
- organizações
- pago
- particular
- senhas
- pagamentos
- Pessoas
- significativo
- pessoal
- Phishing
- ataques de phishing
- físico
- Fisicamente
- peças
- plataforma
- ponto
- PoS
- potencial
- anterior
- preço
- política de privacidade
- Pro
- processo
- Produto
- Programas
- projeto
- propriedade
- proteger
- proteção
- fornecer
- provedor
- fornece
- público
- compra
- compras
- propósito
- razões
- recebido
- registro
- registros
- região
- Relatórios
- pesquisa
- resposta
- responsável
- restaurante
- Restaurantes
- varejo
- rever
- Risco
- regras
- mais segura
- Promoção
- vendas
- seguro
- Secured
- segurança
- serviço
- Serviços
- lojas
- desde
- local
- SMS
- So
- Redes Sociais
- meios de comunicação social
- Software
- alguns
- específico
- loja
- lojas
- .
- tarefas
- Profissionais
- Equipar
- conta
- teste
- A
- roubo
- milhares
- ameaças
- vezes
- Tokens
- ferramentas
- pista
- Rastreamento
- Transações
- Confiança
- confiável
- Atualizar
- us
- usar
- usuários
- variedade
- vítimas
- vulnerabilidades
- Vulnerável
- maneiras
- web
- serviços web
- Site
- sites
- O Quê
- enquanto
- QUEM
- Wi-fi
- wi-fi
- sem
- do mundo
- seria
- anos
- investimentos