Detective de siguranță Echipa de securitate cibernetică a descoperit o scurgere majoră de date care afectează compania de software numită StoreHub.
StoreHub are sediul în Malaezia și oferă un sistem software de punct de vânzare (POS) care este utilizat în principal în restaurante și magazine cu amănuntul.
Datele expuse au fost stocate pe un server Elasticsearch al StoreHub care a fost lăsat deschis fără nicio protecție prin parolă sau criptare. Serverul neprotejat a compromis informațiile a mii de restaurante și magazine cu amănuntul, împreună cu personalul acestora și a aproximativ 1 milion de clienți.
Cine este StoreHub?
StoreHub a fost fondat în 2013 în Malaezia și are în prezent sediul central în Petaling Jaya. Produsul lor este folosit de peste 15,000 de companii conform site-ului lor web, în principal în regiunea Asiei de Sud-Est.
Compania vinde software POS în primul rând companiilor F&B (alimente și băuturi), precum restaurante, dar și magazinelor de vânzare cu amănuntul.
Software-ul POS este folosit în principal pentru a procesa și înregistra achiziții și tranzacții în afaceri cu clienții (restaurante, cafenele, baruri, magazine etc.), precum și pentru emiterea de chitanțe și urmărirea vânzărilor de anumite articole - cum ar fi mesele într-un restaurant sau piese de îmbrăcăminte individuale într-un magazin.
StoreHub oferă, de asemenea, o suită completă de instrumente de gestionare a afacerilor și analize. Acestea includ comerțul electronic și livrarea online, gestionarea stocurilor, managementul angajaților, programele de loialitate și analiza clienților.
Ca rezultat, StoreHub a reușit să colecteze date de la peste 1 milion de oameni din Asia de Sud-Est - în primul rând clienții companiilor care folosesc software-ul său.
Ce a fost expus?
Echipa noastră de securitate cibernetică a descoperit că Storehub a configurat greșit unul dintre serverele lor Elasticsearch, ceea ce a făcut ca acesta să scurgă peste 1.7 miliarde de înregistrări și peste 1 terabyte de date. Acest lucru a expus aproape 1 milion de clienți în Malaezia și, potențial, în țările din Asia de Sud-Est.
StoreHub vinde software POS companiilor orientate către clienți, astfel încât datele expuse vin în două categorii:
- Date de la clienții companiilor care folosesc StoreHub
- Date de la companii care folosesc StoreHub
Date de la clienții companiilor care utilizează StoreHub
Informațiile de identificare personală (PII) expuse de la clienți includ:
- Nume complete
- Numere de telefon
- Adresele fizice
- Adrese de email
- Tipul dispozitivului utilizat
Serverul a expus, de asemenea, date legate de plăți și informații despre comandă aparținând clienților, expunând PII precum:
- Datele tranzacției
- Articole comandate
- Locații de magazine
Unele dintre detaliile comenzii au expus informații parțial mascate ale cardului de credit.
Date de la companii care folosesc StoreHub
Scurgerea a afectat, de asemenea, companiile care folosesc StoreHub și membrii personalului acestora. Informațiile scurse de la companii includ:
- Orele de check-in/check-out de la angajați
- Numele angajaților
- Numele magazinelor
- Stocați adresele fizice
- Stocați adrese de e-mail
Echipa noastră de securitate cibernetică a văzut, de asemenea, scurgeri de jetoane de acces, pe care actorii răi le-ar putea folosi pentru a se autentifica și a modifica site-urile web ale companiilor, provocând potențial mai mult rău. Pe care nu l-am putut testa din motive etice.
Tabelul de mai jos arată o defalcare a acestei scurgeri de date StoreHub.
Numărul de înregistrări scurse | Peste 1.7 miliarde |
Numărul de utilizatori afectați | Aproximativ. 1 milioane |
Dimensiunea scurgerii | Peste 1TB |
Locația serverului | Singapore |
Locația companiei | Petaling Jaya, Malaezia |
Echipa noastră de securitate cibernetică a descoperit această scurgere pe 12 ianuarie 2022. Conținutul serverului pare să fi fost expus cel puțin de la sfârșitul lunii noiembrie 2021.
La găsirea scurgerii, echipa noastră de securitate cibernetică a respectat regulile hacking-ului etic, lăsând serverul și datele neatinse, apoi contactând compania responsabilă.
Am trimis un e-mail StoreHub imediat ce am descoperit scurgerea. Pe 18 ianuarie, le-am trimis un e-mail de urmărire și le-am trimis un e-mail directorului de tehnologie al StoreHub. Nu am primit niciun răspuns până pe 27 ianuarie, așa că am contactat CERT malaezian și Amazon Web Services (compania de găzduire). Amandoi au raspuns prompt.
Am putut dezvălui scurgerea către CERT din Malaezia pe 28 ianuarie. CERT-ul din Malaezia ne-a cerut mai multe informații pe 2 februarie, dar serverul era securizat până atunci. Estimăm că serverul a fost securizat între acea perioadă de la 28 ianuarie până la 2 februarie.
Impactul scurgerii de date
PII expuse lasă victimele vulnerabile la furt și fraudă din partea unor actori răi care pun mâna pe detaliile PII.
Nu avem cum să confirmăm dacă hackerii neetici au descoperit această scurgere de date, dar companiile și clienții afectați ar trebui să fie în alertă pentru următoarele potențiale amenințări.
Escrocherii și fraude
PII expuse îi lasă pe clienți vulnerabili la tentative de fraudă. De exemplu, actorii răi ar putea suna victimele și le-ar câștiga încrederea confirmând informațiile de cumpărare care implică prețul și data unei tranzacții – sau chiar ultimele patru cifre ale unui număr de card de credit.
După câștigarea încrederii, actorii răi ar putea obține informații suplimentare de la victimă, ceea ce le-ar putea permite apoi să provoace un prejudiciu real, accesând banca lor sau abuzând de informațiile cărții de credit.
Furtul de cont
Scurgerea conține token-uri de cont, care aparțin cel mai probabil companiilor care folosesc serverul StoreHub. Actorii răi ar putea folosi aceste jetoane pentru a se autentifica ca companii sau clienți și, eventual, pentru a modifica detaliile contului.
Acest lucru ar putea dăuna afacerii într-o varietate de moduri, în funcție de ceea ce aleg actorii răi să facă. Din motive etice, nu putem testa capacitățile jetoanelor expuse. Cu toate acestea, un exemplu teoretic este că acestea ar putea permite actorilor răi să modifice meniul din contul unui restaurant sau să elimine complet lista companiei. Tokenurile expuse ar putea pune clienții în pericol, deoarece actorii răi ar putea modifica site-ul pentru a colecta PII și mai sensibile și pentru a compromite și mai mult victimele.
Risc de furt de proprietate pentru clienți
Informațiile detaliate din scurgere creează multe vulnerabilități pentru clienți. Informațiile din scurgere ar putea permite actorilor răi să urmărească și să intercepteze comenzile pentru care clientul le-a plătit deja.
Scurgerea indică, de asemenea, orele în care unii clienți părăsesc în general locuințele. În mâini greșite, aceste informații ar putea pune proprietatea clienților în pericol pentru o spargere fizică.
Risc de furt de proprietate pentru companii
Scurgerea conține liste lungi cu orele de check-in și check-out ale personalului, care le spune actorilor răi exact câți angajați sunt în general în magazin în anumite ore. Dacă intenționau să pătrundă fizic și să fure din afacere, aceste informații ar ajuta la furt.
Prevenirea expunerii la date
Ce puteți face pentru a vă proteja datele și pentru a minimiza riscul de infracțiune cibernetică?
Iată câteva modalități prin care vă puteți minimiza riscul de expunere a datelor:
- Furnizați informațiile dumneavoastră personale numai persoanelor și companiilor în care aveți încredere.
- Vizitați doar site-uri web securizate. Site-urile web securizate au nume de domenii care încep cu „https” și/sau un simbol de lacăt închis.
- Fiți deosebit de atenți când vi se cere să furnizați cele mai importante forme de informații personale (de exemplu, numere de securitate socială, numere de identitate guvernamentale și preferințe personale).
- Crea parole super-puternice folosind o combinație de litere, majuscule, numere și simboluri. Actualizați-vă parolele în mod regulat.
- Nu reciclați parolele între servicii. Folosește o manager de parole daca este necesar
- Nu faceți clic pe linkuri din e-mailuri, mesaje SMS sau oriunde altundeva pe internet decât dacă sunteți complet sigur că sursa/expeditorul este autentic. Dacă nu sunteți sigur, accesați site-ul web al companiei și găsiți linkul acolo.
- Editați setările de confidențialitate pentru rețelele sociale. Conturile dvs. ar trebui să afișeze conținutul și detaliile dvs. personale numai utilizatorilor și prietenilor de încredere.
- Limitați sarcinile pe care le efectuați și informațiile pe care le afișați atunci când vă conectați la Wi-Fi public. De exemplu, nu cumpărați un produs și introduceți detaliile cardului dvs. de credit pe WiFi public.
- Utilizați surse online pentru a aflați despre criminalitatea cibernetică, protecția datelor și pașii pe care îi puteți lua pentru a evita atacurile de tip phishing și programele malware.
Despre noi
SafetyDetectives.com este cel mai mare site de revizuire antivirus din lume.
Laboratorul de cercetare SafetyDetectives este un serviciu pro bono care își propune să ajute comunitatea online să se apere împotriva amenințărilor cibernetice, educând în același timp organizațiile cu privire la modul de protejare a datelor utilizatorilor lor. Scopul general al proiectului nostru de cartografiere web este de a contribui la transformarea internetului într-un loc mai sigur pentru toți utilizatorii.
Rapoartele noastre anterioare au scos la iveală mai multe vulnerabilități importante și scurgeri de date, inclusiv peste 200 de milioane de utilizatori expuși de Compania chineză de management al rețelelor sociale Socialarks, precum și o încălcare la Platforma braziliană de integrare a comerțului electronic Hariexpress care a scurs peste 1.75 miliarde de înregistrări.
Pentru o revizuire completă a rapoartelor privind securitatea cibernetică SafetyDetectives în ultimii 3 ani, urmați Echipa SafetyDetectives Cybersecurity.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- Despre Noi
- acces
- accesarea
- Conform
- Cont
- dobândi
- peste
- adresa
- adrese
- care afectează
- împotriva
- TOATE
- deja
- Amazon
- Amazon Web Services
- Google Analytics
- antivirus
- oriunde
- Asia
- Bancă
- baruri
- de mai jos
- între
- Miliard
- miliarde
- încălcarea
- Defalcarea
- afaceri
- întreprinderi
- apel
- capacități
- atent
- provocând
- sigur
- şef
- Director Tehnic
- Alege
- închis
- Îmbrăcăminte
- colecta
- combinaţie
- comunitate
- Companii
- companie
- Compania
- complet
- legat
- conține
- conţinut
- ar putea
- țări
- creează
- credit
- card de credit
- În prezent
- client
- clienţii care
- Cyber
- criminalităţii cibernetice
- Securitate cibernetică
- de date
- scurgeri de date
- protejarea datelor
- livrare
- În funcție
- detaliat
- detalii
- dispozitiv
- cifre
- a descoperit
- Afişa
- domeniu
- jos
- în timpul
- e-commerce
- E-commerce
- educarea
- de angajați
- criptare
- estima
- etc
- etic
- exact
- exemplu
- expus
- descoperire
- urma
- următor
- alimente
- formulare
- Fondat
- fraudă
- din
- Complet
- mai mult
- câștigă
- în general
- Guvern
- hackeri
- hacking
- Sediu
- ajutor
- istorie
- găzduire
- Cum
- Cum Pentru a
- Totuși
- HTTPS
- important
- include
- include
- Inclusiv
- individ
- persoane fizice
- informații
- Internet
- inventar
- IT
- în sine
- ianuarie
- de laborator
- cea mai mare
- scăpa
- Scurgeri
- Părăsi
- ușoară
- Probabil
- linii
- LINK
- Link-uri
- listare
- liste
- Lung
- Loialitate
- major
- face
- Malaezia
- malware
- administrare
- cartografiere
- Mass-media
- Membri actuali
- mesaje
- milion
- mai mult
- cele mai multe
- multiplu
- nume
- număr
- numere
- promoții
- Ofiţer
- on-line
- deschide
- comandă
- comenzilor
- organizații
- plătit
- special
- Parolele
- plăți
- oameni
- perioadă
- personal
- Phishing
- atacuri de phishing
- fizic
- Fizic
- piese
- platformă
- Punct
- PoS
- potenţial
- precedent
- preţ
- intimitate
- Pro
- proces
- Produs
- Programe
- proiect
- proprietate
- proteja
- protecţie
- furniza
- furnizorul
- furnizează
- public
- cumpărare
- achiziții
- scop
- motive
- primit
- record
- înregistrări
- regiune
- Rapoarte
- cercetare
- răspuns
- responsabil
- restaurant
- restaurante
- cu amănuntul
- revizuiască
- Risc
- norme
- mai sigur
- sare
- de vânzări
- sigur
- securizat
- securitate
- serviciu
- Servicii
- magazine
- întrucât
- teren
- SMS-uri
- So
- Social
- social media
- Software
- unele
- specific
- stoca
- magazine
- sistem
- sarcini
- echipă
- Tehnologia
- spune
- test
- furt
- mii
- amenințări
- ori
- indicativele
- Unelte
- urmări
- Urmărire
- Tranzacții
- Încredere
- de încredere
- Actualizează
- us
- utilizare
- utilizatorii
- varietate
- victime
- Vulnerabilitățile
- vulnerabil
- modalități de
- web
- servicii web
- website
- site-uri web
- Ce
- în timp ce
- OMS
- Wi-fi
- Wifi
- fără
- lume
- ar
- ani
- Ta