Liderados por Anurag Sen, Detectives de Segurança A equipe de segurança cibernética identificou uma exposição de dados que afetava o provedor de software de pagamento dos EUA, Transact Campus.
De acordo com o site da empresa, a tecnologia do Transact Campus integra diversas funções de pagamento em uma única plataforma móvel para potencializar as compras dos alunos em instituições de ensino superior. Os serviços do Transact Campus agilizam os processos de pagamento para estudantes e instituições.
Um servidor Elasticsearch contendo dados relacionados ao Transact Campus ficou inseguro, sem qualquer proteção por senha e, portanto, expôs mais de 1 milhão de registros de alunos.
Quem é o Transact Campus?
A Transact Campus vende uma tecnologia de pagamentos de campus para instituições de ensino superior dos EUA que integra pagamentos móveis e identificação de usuário (com “Campus ID”) em um único aplicativo para estudantes.
Os alunos podem fazer pagamentos sem dinheiro em mensalidades e vários outros privilégios no local com sua conta pessoal exclusiva (“Campus ID”), incluindo ingressos para eventos e produtos de estandes de concessão, máquinas de venda automática e fornecedores terceirizados.
Os IDs do campus também podem ser usados para autorizar o acesso dos alunos a diversas outras funções do campus, como acesso a impressoras, acesso a portas, acesso a eventos e monitoramento de frequência às aulas.
O Transact Campus está sediado em Phoenix, Arizona. Desde que a empresa foi fundada em 1984, o Transact Campus atendeu 12 milhões de estudantes em 1,300 instituições clientes, facilitando transações no valor de US$ 45 bilhões. O Transact Campus emprega atualmente cerca de 400 pessoas e gera uma receita anual estimada em US$ 100 milhões.
O que foi exposto?
O servidor Elasticsearch aberto expôs mais de 1 milhão de registros, totalizando mais de 5 GB de dados. O servidor ficou acessível e seus dados não foram criptografados.
Os logs do Elasticsearch continham dados de diversas faculdades que usam os serviços do Transact Campus. Esses dados pertencem a alunos dessas instituições expostas.
Várias formas de PII de estudantes foram expostas no servidor aberto, incluindo:
- Nomes completos
- Endereço de email
- Números de telefone
- Credenciais de login em texto simples, incluindo. nomes de usuário e senhas
- Detalhes da transação, incluindo. quantidade e hora da compra
- Dados do cartão de crédito (incompletos), incluindo. 6 primeiros dígitos (BIN*) e últimos 4 dígitos de números de cartão de crédito, datas de validade e dados bancários
- Planos de refeições adquiridos e saldos do plano de refeições
*Nota: Um Número de Identificação Bancária (BIN) são os primeiros seis dígitos de um número de cartão de pagamento. Esses números identificam o emissor do cartão.
A equipe de segurança cibernética da SafetyDetectives encontrou o servidor Elasticsearch aberto enquanto verificava endereços IP em uma porta específica. O servidor estava ativo e sendo atualizado no momento da descoberta.
Você pode ver evidências de logs do servidor que expuseram os dados dos alunos nas capturas de tela a seguir.
A exposição de dados afeta os alunos titulares de contas do Transact Campus. As famílias também podem ser afetadas. Por exemplo, os detalhes de pagamento dos pais podem ser expostos se eles financiarem as mensalidades de um aluno ou apoiarem financeiramente um aluno por meio de uma conta Transact Campus. Qualquer pessoa com uma conta e/ou detalhes de pagamento vinculados a uma conta em uma das faculdades expostas poderá ser afetada.
É impossível saber exatamente quantas pessoas foram expostas neste incidente. No entanto, o volume de endereços de e-mail e números de telefone expostos no servidor sugere que cerca de 30,000 a 40,000 estudantes sejam afetados.
O Transact Campus lida com instituições de ensino superior dos EUA e, como tal, o Elasticsearch exposto impacta principalmente os cidadãos dos EUA.
Você pode ver um detalhamento completo dessa exposição de dados na tabela abaixo.
Número de registros expostos | Mais de 1 milhões |
Número de usuários afetados | 30,000-40,000 pessoas (estimativa aproximada) |
Tamanho da exposição | Cerca de 5 GB |
Localização do servidor | Os Estados Unidos |
Localização da empresa | Phoenix, Arizona, nos Estados Unidos |
Descobrimos o servidor aberto em 6 de dezembro de 2021 e, posteriormente, entramos em contato com o Transact Campus em 8 de dezembro de 2021.
Seguimos nosso contato inicial com o Transact Campus nos dias 9 e 14 de dezembro de 2021, mas não obtivemos resposta. Enviamos um e-mail ao US-CERT em 9 de janeiro de 2022 e mensagens de acompanhamento para alguns contatos importantes em 13 de janeiro de 2022 – o Transact Campus respondeu no mesmo dia. Em 14 de janeiro de 2022, divulgamos de forma responsável o vazamento ao Transact Campus e em 16 de janeiro de 2022, a violação de dados foi garantida.
Posteriormente, o Transact Campus respondeu às nossas mensagens e nos informou que o servidor Elasticsearch não estava sob seu controle:
“Aparentemente, isso foi configurado por terceiros para uma demonstração e nunca foi removido. Confirmamos que o conjunto de dados foi preenchido com um conjunto de dados falso e não utilizou nenhum dado de produção.”
Observação: verificamos uma amostra de usuários do Elasticsearch aberto e esses dados pareciam pertencer a pessoas reais.
Declaração da Fundição:
“Este incidente não afetou nenhum sistema da Transact; ele foi isolado em um único servidor gateway Foundry. A exposição potencial foi descoberta por uma empresa de segurança terceirizada que verifica ativamente clusters vulneráveis do Elasticsearch. Em vez de testar os dados conforme planejado, o servidor Elasticsearch extraiu logs de produção que continham nomes de usuário e senhas em texto não criptografado de menos de 700 alunos que tentaram se registrar para acesso à conta do plano de refeições entre 10 de outubro de 2021 e 14 de janeiro de 2022. Somente tentativas de registro registradas dentro esse prazo é responsável pelas contas que foram afetadas.”
Declaração da Transact:
“Além disso, qualquer pessoa que acessasse os logs de produção não seria capaz de realizar transações na plataforma Transact usando apenas o nome de usuário e a senha em texto não criptografado. A Transact forçou uma mudança de senha por precaução. A Transact também se envolveu em um esforço significativo de diligência após receber notificação dos SafetyDetectives. Proteger os dados de clientes e alunos do Transact e os sistemas que coletam, processam e mantêm esses dados é de importância crítica. Portanto, a segurança dos sistemas, aplicações e serviços inclui controles e salvaguardas para compensar possíveis ameaças. As medidas de segurança e privacidade da informação da Transact são implementadas para proteger contra acesso não autorizado, alteração, divulgação ou destruição de dados e sistemas. A Transact está comprometida em fornecer o mais alto nível de segurança para seus clientes e continuará monitorando a situação atual e quaisquer outras ameaças potenciais à segurança de seus sistemas.”
Impacto da exposição de dados
Não podemos e não sabemos se agentes mal-intencionados acessaram o banco de dados enquanto ele não estava seguro. O conteúdo do servidor pode colocar os alunos expostos em risco de crimes cibernéticos se pessoas mal-intencionadas lerem ou baixarem os dados do servidor.
Marketing de spam, ataques de phishing, e scams são possíveis com detalhes de contato, nomes completos e outros detalhes confidenciais expostos aos usuários do Transact Campus. Os invasores podem conduzir campanhas de marketing de spam com tantos endereços de e-mail vazados, enviando mensagens de phishing, malware e golpes para milhares de pessoas.
Num ataque de phishing, um cibercriminoso pode disfarçar-se como um indivíduo de confiança (como um funcionário universitário) para convencer os estudantes a fornecer formas adicionais de dados pessoais, como números CVV no verso dos cartões de crédito. Os phishers também poderiam convencer um aluno a clicar em um link malicioso. Uma vez clicados, os links maliciosos podem baixar malware no dispositivo da vítima, o que pode complementar outras formas de coleta de dados e crimes cibernéticos.
Os alunos expostos também podem ser alvo de golpes se os cibercriminosos acessarem o servidor. Em uma fraude, um cibercriminoso tenta enganar a vítima para que lhe pague dinheiro. Tal como os ataques de phishing, os cibercriminosos podem utilizar outras formas de dados expostos para atingir a vítima. Por exemplo, um cibercriminoso poderia convencer um estudante exposto a pagar mensalidades pendentes diretamente ao invasor.
Credenciais de conta expostas foram armazenados em texto simples e isso apresenta riscos adicionais para os alunos afetados. Se algum hacker acessasse o servidor, poderia facilmente ler os nomes de usuário e senhas não criptografados. Um cibercriminoso poderia obter acesso às contas dos estudantes com essas informações, e poderia alterar detalhes e ameaçar acumular cobranças consideráveis, a menos que uma taxa fosse paga.
Prevenindo a exposição de dados
O que podemos fazer para proteger os nossos dados e minimizar o risco de crimes cibernéticos?
Aqui estão algumas dicas para evitar a exposição de dados:
- Não forneça suas informações pessoais a uma empresa, organização ou pessoa, a menos que você confie 100% nessa entidade.
- Visite apenas sites que tenham um nome de domínio seguro (domínios com “https” e/ou símbolo de cadeado fechado no início).
- Tenha muito cuidado ao fornecer seus dados mais confidenciais, como seu número de seguro social.
- Crie senhas sólidas que contenham uma mistura de letras, números e símbolos. Atualize suas senhas regularmente.
- Não clique em um link on-line a menos que tenha certeza absoluta de que é de uma fonte legítima. Os links podem estar em e-mails, mensagens ou em sites de phishing disfarçados de domínios legítimos.
- Edite suas configurações de privacidade nas redes sociais para que seu conteúdo e informações fiquem visíveis apenas para amigos e usuários confiáveis.
- Evite exibir ou digitar dados altamente confidenciais (como números de cartão de crédito ou senhas) quando estiver usando uma rede WiFi pública ou não segura.
- Eduque-se sobre os riscos do crime cibernético, a importância da proteção de dados e os métodos que reduzem suas chances de ser vítima de ataques de phishing e malware.
Sobre Nós
SafetyDetectives.com é o maior site de análise de antivírus do mundo.
O laboratório de pesquisa SafetyDetectives é um serviço pro bono que visa ajudar a comunidade online a se defender contra ameaças cibernéticas e, ao mesmo tempo, educar as organizações sobre como proteger os dados de seus usuários. O objetivo geral de nosso projeto de mapeamento da web é ajudar a tornar a Internet um lugar mais seguro para todos os usuários.
Nossos relatórios anteriores trouxeram à tona várias vulnerabilidades de alto perfil e vazamentos de dados, incluindo 2.6 milhões de usuários expostos por um Plataforma americana de análise social IGblade, bem como uma violação Plataforma brasileira integradora de marketplace Hariexpress.com.br que vazou mais de 610 GB de dados.
Para uma revisão completa dos relatórios de cibersegurança da SafetyDetectives nos últimos 3 anos, siga Equipe de Segurança Cibernética de Detectives de Segurança.
- "
- 000
- 10
- 2021
- 2022
- a
- Sobre
- abundância
- Acesso
- acessível
- acessando
- Conta
- Adicional
- endereços
- afetar
- afetando
- Afiliados
- contra
- Todos os Produtos
- quantidade
- analítica
- anual
- antivirus
- qualquer um
- app
- aplicações
- arizona
- por aí
- comparecimento
- saldos
- Bank
- Começo
- ser
- abaixo
- entre
- bilhão
- violação
- Breakdown
- Campanhas
- Escola
- Cartões
- cuidadoso
- Sem dinheiro
- chances
- alterar
- acusações
- a verificação
- classe
- clientes
- fechado
- coletar
- coleção
- Faculdade
- comprometido
- comunidade
- Empresa
- Empresa
- completamente
- Conduzir
- Contacto
- conteúdo
- continuar
- ao controle
- controles
- poderia
- Credenciais
- crédito
- cartão de crédito
- Cartões de crédito
- crítico
- Atual
- Atualmente
- cibernético
- cibercrime
- cibercriminosos
- Cíber segurança
- dados,
- violação de dados
- protecção de dados
- conjunto de dados
- banco de dados
- Datas
- dia
- Ofertas
- detalhes
- dispositivo
- DID
- dígitos
- diligência
- diretamente
- descoberto
- descoberta
- domínio
- Nome de domínio
- domínios
- down
- download
- facilmente
- educar
- Educação
- esforço
- emprega
- engajar
- entidade
- estimativa
- estimado
- Evento
- exatamente
- exemplo
- exposto
- falsificação
- famílias
- Taxas
- Primeiro nome
- seguir
- seguinte
- formas
- encontrado
- Fundado
- da
- cheio
- funções
- fundo
- mais distante
- porta de entrada
- cabouqueiro
- com sede
- ajudar
- superior
- Ensino superior
- altamente
- titulares
- Como funciona o dobrador de carta de canal
- Como Negociar
- Contudo
- HTTPS
- identificação
- identificar
- implementado
- importância
- impossível
- incluir
- Incluindo
- Individual
- INFORMAÇÕES
- segurança da informação
- instituições
- Internet
- IP
- Endereços IP
- IT
- se
- janeiro
- Chave
- Saber
- laboratório
- maior
- vazar
- Vazamentos
- Nível
- leve
- LINK
- Links
- viver
- máquinas
- a manter
- fazer
- malwares
- mapeamento
- Marketing
- marketplace
- mascarada
- medidas
- Mídia
- métodos
- milhão
- Móvel Esteira
- pagamentos móveis
- dinheiro
- Monitore
- monitoração
- mais
- a maioria
- múltiplo
- nomes
- rede
- número
- números
- compensar
- online
- aberto
- organização
- organizações
- Outros
- pago
- particular
- festa
- Senha
- senhas
- Pagar
- pagamento
- Cartão de pagamento
- pagamentos
- Pessoas
- pessoa
- pessoal
- dados pessoais
- Phishing
- ataque de phishing
- ataques de phishing
- Phoenix
- plataforma
- possível
- potencial
- poder
- anterior
- política de privacidade
- Pro
- processo
- processos
- Produção
- Produtos
- projeto
- proteger
- proteção
- fornecer
- provedor
- fornecendo
- público
- compras
- propósito
- receber
- registros
- reduzir
- cadastre-se
- Registo
- Relatórios
- pesquisa
- receita
- rever
- Risco
- riscos
- mais segura
- mesmo
- Golpe
- scams
- seguro
- Secured
- segurança
- serviço
- Serviços
- conjunto
- vários
- periodo
- desde
- solteiro
- SIX
- considerável
- So
- Redes Sociais
- meios de comunicação social
- Software
- alguns
- Spam
- fica
- simplificar
- estudante
- Subseqüentemente
- ajuda
- sistemas
- Target
- visadas
- Profissionais
- Equipar
- teste
- A
- assim sendo
- De terceiros
- milhares
- ameaças
- Através da
- bilhetes
- tempo
- prazo
- dicas
- transacionar
- Transações
- Confiança
- para
- único
- Unido
- inseguro
- Atualizar
- us
- US $ 100 milhões
- usar
- usuários
- vário
- fornecedores
- visível
- volume
- vulnerabilidades
- Vulnerável
- Wallet
- web
- Site
- sites
- se
- enquanto
- QUEM
- wi-fi
- dentro
- sem
- do mundo
- Equivalente há
- seria
- anos
- investimentos