Condus de Anurag Sen, Detective de siguranță Echipa de securitate cibernetică a identificat o expunere a datelor care afectează furnizorul american de software de plată Transact Campus.
Potrivit site-ului web al companiei, tehnologia Transact Campus integrează mai multe funcții de plată într-o singură platformă mobilă pentru a alimenta achizițiile studenților din instituțiile de învățământ superior. Serviciile Transact Campus simplifică procesele de plată atât pentru studenți, cât și pentru instituții.
Un server Elasticsearch care conține date legate de Transact Campus a fost lăsat nesecurizat, fără nicio protecție prin parolă și, prin urmare, a expus peste 1 milion de dosare de studenți.
Cine este Transact Campus?
Transact Campus vinde o tehnologie de plăți în campus către instituțiile de învățământ superior din SUA care integrează plățile mobile și identificarea utilizatorului (cu „Campus ID”) într-o singură aplicație pentru studenți.
Studenții pot efectua plăți fără numerar pentru taxele de școlarizare și diverse alte privilegii la fața locului cu contul lor personal unic („Campus ID”), inclusiv bilete pentru evenimente și produse de la standuri de concesiune, automate și furnizori terți.
ID-urile campusului pot fi, de asemenea, utilizate pentru a autoriza accesul studenților la diverse alte funcții ale campusului, cum ar fi accesul la imprimantă, accesul la uși, accesul la evenimente și monitorizarea prezenței la cursuri.
Transact Campus are sediul în Phoenix, Arizona. De când compania a fost înființată în 1984, Transact Campus a deservit 12 milioane de studenți la 1,300 de instituții clienți, facilitând tranzacții în valoare de 45 de miliarde de dolari. Transact Campus are în prezent aproximativ 400 de angajați și generează un venit anual estimat la 100 milioane USD.
Ce a fost expus?
Serverul deschis Elasticsearch a expus peste 1 milion de înregistrări, însumând mai mult de 5 GB de date. Serverul a fost lăsat accesibil și datele sale au fost necriptate.
Jurnalele Elasticsearch conțineau date de la diferite colegii care utilizează serviciile Transact Campus. Aceste date aparțin studenților acestor instituții expuse.
Mai multe forme de IPI pentru studenți au fost expuse pe serverul deschis, inclusiv:
- Nume complete
- Adrese de email
- Numere de telefon
- Date de conectare în text simplu, incl. nume de utilizator și parole
- Detalii tranzacție, incl. cantitatea și momentul achiziției
- Detalii card de credit (incomplete), incl. primele 6 cifre (BIN*) și ultimele 4 cifre ale numerelor cardului de credit, date de expirare și detalii bancare
- Planuri de masă achiziționate și soldurile planului de masă
*Notă: un număr de identificare bancară (BIN) reprezintă primele șase cifre ale numărului unui card de plată. Aceste numere identifică emitentul cardului.
Echipa SafetyDetectives de securitate cibernetică a găsit serverul deschis Elasticsearch în timp ce verifica adresele IP la un anumit port. Serverul era activ și în curs de actualizare în momentul descoperirii.
Puteți vedea dovezi ale jurnalelor de server care au expus datele studenților în următoarele capturi de ecran.
Expunerea datelor afectează studenții care sunt deținători de cont Transact Campus. Familiile ar putea fi și ele afectate. De exemplu, detaliile de plată ale unui părinte ar putea fi expuse dacă finanțează taxele de școlarizare ale unui student sau sprijină financiar un student printr-un cont Transact Campus. Orice persoană cu un cont și/sau detalii de plată legate de un cont la unul dintre colegiile expuse ar putea fi afectată.
Este imposibil de știut cu exactitate câți oameni au fost expuși în acest incident. Cu toate acestea, volumul de adrese de e-mail și numere de telefon expuse pe server sugerează că aproximativ 30,000-40,000 de studenți sunt afectați.
Transact Campus tratează cu instituții de învățământ superior din SUA și, ca atare, Elasticsearch expus are un impact în primul rând pe cetățenii americani.
Puteți vedea o defalcare completă a acestei expuneri de date în tabelul de mai jos.
Numărul de înregistrări expuse | Peste 1 milioane |
Numărul de utilizatori afectați | 30,000-40,000 de persoane (estimare aproximativă) |
Dimensiunea expunerii | Aproximativ 5 GB |
Locația serverului | Statele Unite |
Locația companiei | Phoenix, Arizona, în Statele Unite |
Am descoperit serverul deschis pe 6 decembrie 2021 și, ulterior, am contactat Transact Campus pe 8 decembrie 2021.
We followed up our initial contact with Transact Campus on the 9th and 14th of December, 2021, but did not receive a reply. We emailed the US-CERT on January 9th, 2022, and sent follow-up messages to some key contacts on January 13th, 2022 — Transact Campus replied on the same day. On January 14th, 2022, we responsibly disclosed the leak to Transact Campus and on January 16th, 2022, the data breach was secured.
Transact Campus a răspuns ulterior la mesajele noastre și ne-a spus că serverul Elasticsearch nu se află sub controlul lor:
„Se pare că acesta a fost creat de o terță parte pentru o demonstrație și nu a fost niciodată eliminat. Am confirmat că setul de date a fost completat cu un set de date fals și nu a folosit nicio dată de producție.”
Notă: am verificat un eșantion de utilizatori pe Elasticsearch deschis și aceste date păreau să aparțină unor persoane reale.
Statement from Foundry:
“This incident did not affect any systems at Transact; it was isolated to a single Foundry gateway server. The potential exposure was discovered by a third party security company that actively scans for vulnerable Elasticsearch clusters. Rather than test data as intended the Elasticsearch server pulled in production logs that contained clear text username and passwords of fewer than 700 students who attempted to register for meal plan account access between October 10, 2021 and January 14, 2022. Only registration attempts logged within that timeframe accounts for the accounts that were affected.”
Statement from Transact:
“Also anyone accessing the production logs would have been unable to engage in transactions on the Transact platform using username and the clear text password alone. Transact did force a password change out of an abundance of caution. Transact also engaged in a significant diligence effort after receiving notice from SafetyDetectives. Protecting Transact client and student data and the systems that collect, process, and maintain this data is of critical importance. Therefore, the security of systems, applications and services include controls and safeguards to offset possible threats. Transact’s information security and privacy measures are implemented to guard against unauthorized access to, alteration, disclosure or destruction of data and systems. Transact is committed to providing the highest level of security for its clients and will continue to monitor the current situation and any other potential threats to the security of its systems.”
Impactul expunerii datelor
Nu putem și nu știm dacă actorii rău intenționați au accesat baza de date în timp ce aceasta nu era securizată. Conținutul serverului ar putea expune studenții expuși la riscul de infracțiuni cibernetice dacă actorii răi au citit sau au descărcat datele serverului.
Spam marketing, atacuri de phishing, și escrocherii sunt posibile cu detalii de contact, nume complete și alte detalii sensibile expuse pentru utilizatorii Transact Campus. Atacatorii ar putea desfășura campanii de marketing spam cu atât de multe adrese de e-mail scurse, trimițând mesaje de phishing, programe malware și escrocherii către mii de oameni.
Într-un atac de tip phishing, un criminal cibernetic s-ar putea preface ca o persoană de încredere (cum ar fi un angajat al unei facultăți) pentru a convinge studenții să furnizeze forme suplimentare de date personale, cum ar fi numerele CVV pe spatele cărților de credit. Phishers ar putea, de asemenea, convinge un student să facă clic pe un link rău intenționat. Odată făcute clic, linkurile rău intenționate pot descărca programe malware pe dispozitivul victimei, care ar putea completa alte forme de colectare de date și criminalitate cibernetică.
Studenții expuși ar putea fi, de asemenea, vizați de escrocherii dacă infractorii cibernetici ar accesa serverul. Într-o înșelătorie, un criminal cibernetic încearcă să păcălească victima să îi plătească bani. La fel ca atacurile de tip phishing, infractorii cibernetici ar putea folosi alte forme de date expuse pentru a viza victima. De exemplu, un criminal cibernetic ar putea convinge un student expus să plătească taxe de școlarizare restante direct atacatorului.
Acreditările contului expuse au fost stocate în text simplu și acest lucru prezintă riscuri suplimentare pentru studenții afectați. Dacă orice hacker a accesat serverul, ar fi putut citi cu ușurință numele de utilizator și parolele necriptate. Un infractor cibernetic ar putea avea acces la conturile studenților cu aceste informații și ar putea să modifice detalii și să amenințe că va acumula taxe considerabile dacă nu se plătește o taxă.
Prevenirea expunerii la date
Ce putem face pentru a ne proteja datele și a minimiza riscul criminalității cibernetice?
Iată câteva sfaturi pentru a preveni expunerea datelor:
- Nu furnizați informațiile dumneavoastră personale unei companii, organizații sau persoane decât dacă aveți încredere 100% în acea entitate.
- Vizitați numai site-uri web care au un nume de domeniu securizat (domenii cu „https” și/sau simbolul de blocare închis la început).
- Fiți foarte atenți când furnizați cele mai sensibile forme de date, cum ar fi numărul dvs. de securitate socială.
- Creați parole solide care conțin un amestec de litere, cifre și simboluri. Actualizați-vă parolele în mod regulat.
- Nu faceți clic pe un link online decât dacă sunteți complet sigur că provine dintr-o sursă legitimă. Link-urile ar putea fi în e-mailuri, mesaje sau pe site-uri web de phishing care se maschează drept domenii legitime.
- Editați-vă setările de confidențialitate pe rețelele sociale, astfel încât conținutul și informațiile dvs. să fie vizibile numai pentru prieteni și utilizatori de încredere.
- Evitați afișarea sau introducerea datelor extrem de sensibile (cum ar fi numerele cardurilor de credit sau parolele) atunci când utilizați o rețea WiFi publică sau nesecurizată.
- Educați-vă despre riscurile crimei cibernetice, importanța protecției datelor și metodele care vă reduc șansele de a deveni victima atacurilor de phishing și a programelor malware.
Despre noi
SafetyDetectives.com este cel mai mare site de revizuire antivirus din lume.
Laboratorul de cercetare SafetyDetectives este un serviciu pro bono care își propune să ajute comunitatea online să se apere împotriva amenințărilor cibernetice, educând în același timp organizațiile cu privire la modul de protejare a datelor utilizatorilor lor. Scopul general al proiectului nostru de cartografiere web este de a contribui la transformarea internetului într-un loc mai sigur pentru toți utilizatorii.
Rapoartele noastre anterioare au scos la iveală mai multe vulnerabilități importante și scurgeri de date, inclusiv 2.6 milioane de utilizatori expuși de un Platforma americană de analiză socială IGBlade, precum și o încălcare la a Platforma Brazilian Marketplace Integrator Hariexpress.com.br care a scurs mai mult de 610 GB de date.
Pentru o revizuire completă a rapoartelor privind securitatea cibernetică SafetyDetectives în ultimii 3 ani, urmați Echipa SafetyDetectives Cybersecurity.
- "
- 000
- 10
- 2021
- 2022
- a
- Despre Noi
- abundenţă
- acces
- accesibil
- accesarea
- Cont
- Suplimentar
- adrese
- afecta
- care afectează
- Parteneri
- împotriva
- TOATE
- sumă
- Google Analytics
- anual
- antivirus
- oricine
- aplicaţia
- aplicatii
- Arizona
- în jurul
- prezență
- soldurile
- Bancă
- Început
- fiind
- de mai jos
- între
- Miliard
- încălcarea
- Defalcarea
- Campanii
- Campus
- Carduri
- atent
- cashless
- șansele
- Schimbare
- taxe
- control
- clasă
- clientii
- închis
- colecta
- colectare
- Colegiu
- comise
- comunitate
- companie
- Compania
- complet
- Conduce
- contactați-ne
- conţinut
- continua
- Control
- controale
- ar putea
- scrisori de acreditare
- credit
- card de credit
- Carduri de credit
- critic
- Curent
- În prezent
- Cyber
- criminalităţii cibernetice
- cybercriminals
- Securitate cibernetică
- de date
- încălcării securității datelor
- protejarea datelor
- set de date
- Baza de date
- Date
- zi
- Oferte
- detalii
- dispozitiv
- FĂCUT
- cifre
- diligență
- direct
- a descoperit
- descoperire
- domeniu
- Domain Name
- domenii
- jos
- Descarca
- cu ușurință
- educarea
- Educaţie
- efort
- angajează
- angaja
- entitate
- estima
- estimativ
- eveniment
- exact
- exemplu
- expus
- fals
- familii
- Taxe
- First
- urma
- următor
- formulare
- găsit
- Fondat
- din
- Complet
- funcții
- fond
- mai mult
- poartă
- hacker
- cu sediul
- ajutor
- superior
- Educatie inalta
- extrem de
- Titularii
- Cum
- Cum Pentru a
- Totuși
- HTTPS
- Identificare
- identifica
- implementat
- importanță
- imposibil
- include
- Inclusiv
- individ
- informații
- securitatea informațiilor
- instituții
- Internet
- IP
- Adresele IP
- IT
- în sine
- ianuarie
- Cheie
- Cunoaște
- de laborator
- cea mai mare
- scăpa
- Scurgeri
- Nivel
- ușoară
- LINK
- Link-uri
- trăi
- Masini
- menține
- face
- malware
- cartografiere
- Marketing
- piaţă
- mascaradă
- măsuri
- Mass-media
- Metode
- milion
- Mobil
- plăți prin telefonul mobil
- bani
- monitor
- Monitorizarea
- mai mult
- cele mai multe
- multiplu
- nume
- reţea
- număr
- numere
- compensa
- on-line
- deschide
- organizație
- organizații
- Altele
- plătit
- special
- parte
- Parolă
- Parolele
- Plătește
- plată
- Card de plată
- plăți
- oameni
- persoană
- personal
- date personale
- Phishing
- atac de phishing
- atacuri de phishing
- fenix
- platformă
- posibil
- potenţial
- putere
- precedent
- intimitate
- Pro
- proces
- procese
- producere
- Produse
- proiect
- proteja
- protecţie
- furniza
- furnizorul
- furnizarea
- public
- achiziții
- scop
- a primi
- înregistrări
- reduce
- Inregistreaza-te
- Înscriere
- Rapoarte
- cercetare
- venituri
- revizuiască
- Risc
- Riscurile
- mai sigur
- acelaşi
- Înșelătorie
- escrocherii
- sigur
- securizat
- securitate
- serviciu
- Servicii
- set
- câteva
- semnificativ
- întrucât
- singur
- SIX
- considerabil
- So
- Social
- social media
- Software
- unele
- spam-
- Standuri
- simplifica
- student
- Ulterior
- a sustine
- sisteme
- Ţintă
- vizate
- echipă
- Tehnologia
- test
- prin urmare
- terț
- mii
- amenințări
- Prin
- bilete
- timp
- interval de timp
- Sfaturi
- tranzacționează
- Tranzacții
- Încredere
- în
- unic
- Unit
- negarantate
- Actualizează
- us
- US 100 de milioane de dolari
- utilizare
- utilizatorii
- diverse
- furnizori
- vizibil
- volum
- Vulnerabilitățile
- vulnerabil
- Portofel
- web
- website
- site-uri web
- dacă
- în timp ce
- OMS
- Wifi
- în
- fără
- lume
- valoare
- ar
- ani
- Ta