Ассоциация Безопасность Команда кибербезопасности обнаружила серьезную утечку данных, затронувшую компанию-разработчика программного обеспечения StoreHub.
StoreHub базируется в Малайзии и предоставляет систему программного обеспечения для торговых точек (POS), которая в основном используется в ресторанах и розничных магазинах.
Открытые данные хранились на сервере Elasticsearch StoreHub, который оставался открытым без какой-либо защиты паролем или шифрования. Незащищенный сервер потенциально скомпрометировал информацию о тысячах ресторанов и розничных магазинов, а также об их персонале и примерно 1 миллионе клиентов.
Кто такой StoreHub?
StoreHub был основан в 2013 году в Малайзии и в настоящее время имеет штаб-квартиру в Петалинг-Джая. Согласно их веб-сайту, их продукт используется более чем 15,000 XNUMX предприятий, в основном в регионе Юго-Восточной Азии.
Компания продает программное обеспечение для POS-терминалов в первую очередь предприятиям общественного питания, таким как рестораны, а также розничным магазинам.
Программное обеспечение POS в основном используется для обработки и записи покупок и транзакций в компаниях, ориентированных на клиентов (рестораны, кафе, бары, магазины и т. д.), а также для выдачи квитанций и отслеживания продаж определенных товаров, таких как блюда в ресторане или отдельные предметы одежды в магазине.
StoreHub также предлагает полный набор инструментов для управления бизнесом и аналитики. К ним относятся электронная коммерция и онлайн-доставка, управление запасами, управление персоналом, программы лояльности и клиентская аналитика.
В результате StoreHub смог собрать данные более чем от 1 миллиона человек со всей Юго-Восточной Азии — в основном от клиентов предприятий, использующих его программное обеспечение.
Что было раскрыто?
Наша команда по кибербезопасности обнаружила, что Storehub неправильно настроил один из своих серверов Elasticsearch, что привело к утечке более 1.7 миллиарда записей и более 1 терабайта данных. Это выявило почти 1 миллион клиентов в Малайзии и, возможно, в странах Юго-Восточной Азии.
StoreHub продает программное обеспечение POS компаниям, работающим с клиентами, поэтому предоставляемые данные делятся на две категории:
- Данные от клиентов предприятий, использующих StoreHub
- Данные от компаний, использующих StoreHub
Данные от клиентов предприятий, использующих StoreHub
Раскрытая личная информация (PII) от клиентов включает:
- Полные имена
- Номера телефонов
- Физические адреса
- Адреса электронной почты
- Тип используемого устройства
Сервер также раскрывал данные, связанные с платежами и информацией о заказах, принадлежащих клиентам, раскрывая персональные данные, такие как:
- Даты транзакций
- Заказанные товары
- Адреса магазинов
Некоторые детали заказа раскрывали частично замаскированную информацию о кредитной карте.
Данные от предприятий, использующих StoreHub
Утечка также затронула компании, использующие StoreHub, и их сотрудников. Утечка информации от предприятий включает:
- Время заезда/выезда сотрудников
- Имена сотрудников
- Названия магазинов
- Хранить физические адреса
- Хранить адреса электронной почты
Наша команда по кибербезопасности также обнаружила утечку токенов доступа, которые злоумышленники могли использовать для входа и изменения веб-сайтов компаний, что потенциально может причинить больший вред. Который мы не могли проверить по этическим соображениям.
В таблице ниже показана разбивка этой утечки данных StoreHub.
Количество утечек записей | Более 1.7 миллиарда |
Количество затронутых пользователей | Прибл. 1 миллионов |
Размер утечки | Более 1 ТБ |
Расположение сервера | Сингапур |
Расположение компании | Петалинг Джайя, Малайзия |
Наша команда по кибербезопасности обнаружила эту утечку 12 января 2022 года. Судя по всему, содержимое сервера было раскрыто как минимум с конца ноября 2021 года.
Обнаружив утечку, наша команда по кибербезопасности следовала правилам этического взлома, оставив сервер и данные нетронутыми, а затем связавшись с ответственной компанией.
Мы написали StoreHub по электронной почте, как только обнаружили утечку. 18 января мы отправили им повторное электронное письмо и отправили электронное письмо техническому директору StoreHub. К 27 января мы не получили ответа, поэтому связались с Malaysian CERT и Amazon Web Services (хостинговой компанией). Оба ответили оперативно.
Мы смогли сообщить об утечке малайзийскому CERT 28 января. Малайзийский CERT запросил у нас дополнительную информацию 2 февраля, но к тому времени сервер был в безопасности. По нашим оценкам, сервер был защищен в период с 28 января по 2 февраля.
Воздействие утечки данных
Разоблачение PII делает жертв уязвимыми для кражи и мошенничества со стороны злоумышленников, которые получают в свои руки детали PII.
У нас нет возможности подтвердить, обнаружили ли неэтичные хакеры эту утечку данных, но пострадавшие предприятия и клиенты должны быть начеку в отношении следующих потенциальных угроз.
Мошенничество и мошенничество
Открытая PII делает клиентов уязвимыми для попыток мошенничества. Например, злоумышленники могут позвонить жертвам и завоевать их доверие, подтвердив информацию о покупке, включая цену и дату транзакции или даже последние четыре цифры номера кредитной карты.
Завоевав доверие, злоумышленники могут получить от жертвы дополнительную информацию, которая затем позволит им нанести реальный вред, получив доступ к своему банку или злоупотребив данными кредитной карты.
Кража аккаунта
Утечка содержит токены учетных записей, которые, скорее всего, принадлежат компаниям, использующим сервер StoreHub. Злоумышленники могут использовать эти токены для входа в систему в качестве компаний или клиентов и, возможно, изменить данные учетной записи.
Это может навредить бизнесу различными способами, в зависимости от того, что решат сделать злоумышленники. По этическим причинам мы не можем проверить возможности открытых токенов. Однако теоретический пример заключается в том, что они могут позволить злоумышленникам изменить меню в аккаунте ресторана или полностью удалить листинг компании. Открытые токены также могут подвергнуть клиентов риску, поскольку злоумышленники потенциально могут изменить сайт для сбора еще более конфиденциальной личной информации и еще больше скомпрометировать жертв.
Риск кражи имущества для клиентов
Подробная информация из утечки создает множество уязвимостей для клиентов. Информация в утечке может позволить злоумышленникам отслеживать и перехватывать заказы, за которые клиент уже заплатил.
Утечка также указывает время, когда некоторые клиенты обычно покидают свои дома. В чужих руках эта информация может подвергнуть имущество клиентов риску физического взлома.
Риск кражи имущества для бизнеса
Утечка содержит длинные списки времени прихода и ухода сотрудников, которые точно сообщают злоумышленникам, сколько сотрудников обычно находится в магазине в определенное время. Если бы они намеревались физически проникнуть в бизнес и украсть его, эта информация помогла бы в краже.
Предотвращение раскрытия данных
Что вы можете сделать, чтобы защитить свои данные и свести к минимуму риск киберпреступности?
Вот несколько способов минимизировать риск раскрытия данных:
- Предоставляйте свою личную информацию только тем лицам и компаниям, которым вы доверяете.
- Посещайте только безопасные веб-сайты. Безопасные веб-сайты имеют доменные имена, которые начинаются с «https» и/или символа закрытого замка.
- Будьте особенно осторожны, когда вас просят предоставить наиболее важные формы личной информации (например, номера социального страхования, государственные идентификационные номера и личные предпочтения).
- Создавай сверхнадежные пароли используя комбинацию букв, заглавных букв, цифр и символов. Регулярно обновляйте свои пароли.
- Не повторяйте пароли между службами. Использовать Password Manager если необходимо
- Не переходите по ссылкам в электронных письмах, SMS-сообщениях или где-либо еще в Интернете, если вы не уверены, что источник/отправитель является подлинным. Если совсем не уверены, зайдите на сайт компании и найдите там ссылку.
- Измените настройки конфиденциальности в социальных сетях. Ваши учетные записи должны отображать ваш контент и личные данные только доверенным пользователям и друзьям.
- Ограничьте задачи, которые вы выполняете, и информацию, которую вы отображаете при подключении к общедоступной сети Wi-Fi. Например, не покупайте продукт и не вводите данные своей кредитной карты в общедоступном Wi-Fi.
- Используйте онлайн-источники, чтобы узнать о киберпреступности, защита данных и шаги, которые вы можете предпринять, чтобы избежать фишинговых атак и вредоносного ПО.
О Нас
SafetyDetectives.com - крупнейший в мире сайт с обзорами антивирусов.
Исследовательская лаборатория SafetyDetectives - это бесплатная услуга, цель которой - помочь онлайн-сообществу защитить себя от киберугроз, одновременно обучая организации тому, как защитить данные своих пользователей. Основная цель нашего проекта веб-картографии - сделать Интернет более безопасным местом для всех пользователей.
Наши предыдущие отчеты выявили множество заметных уязвимостей и утечек данных, в том числе около 200+ миллионов пользователей, обнаруженных Китайская компания по управлению социальными сетями Socialarks, а также нарушение в Бразильская платформа интегратора электронной коммерции Hariexpress утекло более 1.75 миллиарда записей.
Полный обзор отчетов о кибербезопасности SafetyDetectives за последние 3 года см. Команда по кибербезопасности SafetyDetectives.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- О нас
- доступ
- доступа
- По
- Учетная запись
- приобретать
- через
- адрес
- адреса
- затрагивающий
- против
- Все
- уже
- Amazon
- Amazon Web Services
- аналитика
- антивирус
- откуда угодно
- Азия
- Банка
- бары
- ниже
- между
- миллиард
- миллиарды
- нарушение
- Breakdown
- бизнес
- бизнес
- призывают
- возможности
- тщательный
- Причинение
- определенный
- главный
- Главный технический директор
- Выберите
- закрыто
- Одежда
- собирать
- сочетание
- сообщество
- Компании
- Компания
- Компании
- полностью
- подключенный
- содержит
- содержание
- может
- страны
- создает
- кредит
- кредитная карта
- В настоящее время
- клиент
- Клиенты
- кибер-
- киберпреступности
- Информационная безопасность
- данным
- утечка данных
- защита данных
- поставка
- в зависимости
- подробный
- подробнее
- устройство
- цифры
- открытый
- Дисплей
- домен
- вниз
- в течение
- электронная коммерция
- электронной коммерции
- обучение
- сотрудников
- шифрование
- оценка
- и т.д
- этический
- точно,
- пример
- подвергаться
- обнаружение
- следовать
- после
- питание
- формы
- Основана
- мошенничество
- от
- полный
- далее
- получение
- в общем
- Правительство
- Хакеры
- взлом
- Штаб-квартира
- помощь
- история
- хостинг
- Как
- How To
- Однако
- HTTPS
- важную
- включают
- включает в себя
- В том числе
- individual
- лиц
- информация
- Интернет
- инвентаризация
- IT
- саму трезвость
- январь
- лаборатория
- крупнейших
- утечка
- Утечки
- Оставлять
- легкий
- Вероятно
- линий
- LINK
- связи
- листинг
- Списки
- Длинное
- Лояльность
- основной
- сделать
- Малайзия
- вредоносных программ
- управление
- отображение
- Медиа
- Участники
- Сообщения
- миллиона
- БОЛЕЕ
- самых
- с разными
- имена
- номер
- номера
- Предложения
- сотрудник
- онлайн
- открытый
- заказ
- заказы
- организации
- выплачен
- особый
- пароли
- платежи
- Люди
- период
- личного
- фишинг
- фишинговые атаки
- физический
- Физически
- штук
- Платформа
- Точка
- PoS
- потенциал
- предыдущий
- цена
- политикой конфиденциальности.
- Pro
- процесс
- Продукт
- Программы
- Проект
- собственность
- для защиты
- защиту
- обеспечивать
- Недвижимости
- приводит
- что такое варган?
- покупки
- Покупка
- цель
- причины
- получила
- запись
- учет
- область
- Отчеты
- исследованиям
- ответ
- ответственный
- ресторан
- ресторан
- розничный
- обзоре
- Снижение
- условиями,
- безопаснее
- sale
- главная
- безопасный
- обеспеченный
- безопасность
- обслуживание
- Услуги
- магазинов
- с
- сайте
- SMS
- So
- Соцсети
- социальные сети
- Software
- некоторые
- конкретный
- магазин
- магазины
- система
- задачи
- команда
- Технологии
- говорит
- тестXNUMX
- Ассоциация
- кража
- тысячи
- угрозы
- раз
- Лексемы
- инструменты
- трек
- Отслеживание
- Сделки
- Доверие
- надежных
- Обновление ПО
- us
- использование
- пользователей
- разнообразие
- жертвы
- Уязвимости
- Уязвимый
- способы
- Web
- веб-сервисы
- Вебсайт
- веб-сайты
- Что
- в то время как
- КТО
- Wi-Fi
- Wi-Fi
- без
- мире
- бы
- лет
- ВАШЕ