O Varnostni detektivi ekipa za kibernetsko varnost je odkrila veliko uhajanje podatkov, ki vpliva na podjetje za programsko opremo StoreHub.
StoreHub ima sedež v Maleziji in ponuja sistem programske opreme za prodajna mesta (POS), ki se večinoma uporablja v restavracijah in maloprodajnih trgovinah.
Razkriti podatki so bili shranjeni na strežniku StoreHub Elasticsearch, ki je ostal odprt brez kakršne koli zaščite z geslom ali šifriranja. Nezaščiten strežnik je potencialno ogrozil podatke tisočih restavracij in maloprodajnih trgovin, skupaj z njihovim osebjem in približno 1 milijonom strank.
Kdo je StoreHub?
StoreHub je bil ustanovljen leta 2013 v Maleziji in ima trenutno svoj sedež v Petaling Jaya. Njihov izdelek uporablja več kot 15,000 podjetij glede na njihovo spletno stran, predvsem v regiji jugovzhodne Azije.
Podjetje prodaja programsko opremo POS predvsem podjetjem za hrano in pijačo (hrana in pijača), kot so restavracije, pa tudi maloprodajnim trgovinam.
Programska oprema POS se uporablja predvsem za obdelavo in beleženje nakupov in transakcij v podjetjih, namenjenih strankam (restavracije, kavarne, bari, trgovine itd.), ter za izdajo potrdil in sledenje prodaji določenih artiklov – kot so obroki v restavraciji ali posamezne kose oblačil v trgovini.
StoreHub ponuja tudi celotno zbirko orodij za upravljanje poslovanja in analitiko. Ti vključujejo e-trgovino in spletno dostavo, upravljanje zalog, upravljanje zaposlenih, programe zvestobe in analitiko strank.
Kot rezultat je StoreHub lahko zbral podatke več kot 1 milijona ljudi iz celotne jugovzhodne Azije – predvsem strank podjetij, ki uporabljajo njegovo programsko opremo.
Kaj je bilo izpostavljeno?
Naša ekipa za kibernetsko varnost je odkrila, da je Storehub napačno konfiguriral enega od svojih strežnikov Elasticsearch, zaradi česar je iz njega ušlo več kot 1.7 milijarde zapisov in več kot 1 terabajt podatkov. To je izpostavilo skoraj 1 milijon strank v Maleziji in potencialno v državah jugovzhodne Azije.
StoreHub prodaja POS programsko opremo podjetjem, ki se obrnejo na stranke, zato so izpostavljeni podatki v dveh kategorijah:
- Podatki strank podjetij, ki uporabljajo StoreHub
- Podatki podjetij, ki uporabljajo StoreHub
Podatki strank podjetij, ki uporabljajo StoreHub
Izpostavljeni osebno določljivi podatki (PII) strank vključujejo:
- Polna imena
- Telefonske številke
- Fizični naslovi
- E-poštni naslovi
- Vrsta uporabljene naprave
Strežnik je razkril tudi podatke v zvezi s plačili in informacije o naročilih, ki pripadajo strankam, ter razkril PID, kot so:
- Datumi transakcij
- Naročeni artikli
- Lokacije trgovin
Nekatere podrobnosti naročila so razkrile delno prikrite podatke o kreditni kartici.
Podatki podjetij, ki uporabljajo StoreHub
Uhajanje je vplivalo tudi na podjetja, ki uporabljajo StoreHub, in njihove uslužbence. Informacije, ki so ušle iz podjetij, vključujejo:
- Čas prijave/odjave zaposlenih
- Imena zaposlenih
- Imena trgovin
- Shranite fizične naslove
- Shranite e-poštne naslove
Naša ekipa za kibernetsko varnost je opazila tudi razkrite žetone za dostop, ki bi jih slabi akterji lahko uporabili za prijavo in spreminjanje spletnih mest podjetij, kar bi lahko povzročilo več škode. Česar iz etičnih razlogov nismo mogli testirati.
Spodnja tabela prikazuje razčlenitev tega uhajanja podatkov StoreHub.
Število razkritih zapisov | Več kot 1.7 milijarde |
Število prizadetih uporabnikov | Pribl. 1 milijon |
Velikost puščanja | Več kot 1TB |
Lokacija strežnika | Singapur |
Lokacija podjetja | Petaling Jaya, Malezija |
Naša ekipa za kibernetsko varnost je to uhajanje odkrila 12. januarja 2022. Zdi se, da je bila vsebina strežnika razkrita vsaj od konca novembra 2021.
Ko je odkrila uhajanje, je naša ekipa za kibernetsko varnost sledila pravilom etičnega hekanja tako, da je strežnik in podatke pustila nedotaknjena, nato pa se je obrnila na odgovorno podjetje.
StoreHubu smo poslali e-pošto takoj, ko smo odkrili uhajanje. 18. januarja smo jim poslali nadaljnje e-poštno sporočilo in poslali e-poštno sporočilo direktorju tehnologije StoreHub. Do 27. januarja nismo prejeli nobenega odgovora, zato smo se obrnili na malezijski CERT in Amazon Web Services (gostiteljsko podjetje). Oba sta se takoj odzvala.
Malezijski CERT smo lahko razkrili uhajanje 28. januarja. Malezijski CERT nas je 2. februarja prosil za več informacij, vendar je bil strežnik do takrat zavarovan. Ocenjujemo, da je bil strežnik zavarovan med tem obdobjem od 28. januarja do 2. februarja.
Vpliv uhajanja podatkov
Izpostavljeni osebno določljivi podatki puščajo žrtve ranljive za krajo in goljufije s strani slabih akterjev, ki se dokopajo do podatkov določljivih oseb.
Ne moremo potrditi, ali so neetični hekerji odkrili to uhajanje podatkov, vendar bi morala biti prizadeta podjetja in stranke previdni zaradi naslednjih možnih groženj.
Prevare in goljufije
Izpostavljeni PII pušča stranke ranljive za poskuse goljufij. Zlobni akterji lahko na primer pokličejo žrtve in pridobijo njihovo zaupanje s potrditvijo informacij o nakupu, ki vključujejo ceno in datum transakcije – ali celo zadnje štiri števke številke kreditne kartice.
Ko si pridobijo zaupanje, lahko zlobni akterji od žrtve pridobijo dodatne informacije, ki jim nato omogočijo povzročitev dejanske škode z dostopom do njihove banke ali zlorabo podatkov o kreditni kartici.
Kraja računa
Puščanje vsebuje žetone računa, ki najverjetneje pripadajo podjetjem, ki uporabljajo strežnik StoreHub. Slabi akterji bi lahko uporabili te žetone za prijavo kot podjetja ali stranke in potencialno spremenili podrobnosti računa.
To bi lahko škodovalo podjetju na različne načine, odvisno od tega, kaj se slabi akterji odločijo narediti. Iz etičnih razlogov ne moremo testirati zmogljivosti izpostavljenih žetonov. Vendar pa je teoretični primer, da bi lahko dovolili slabim akterjem, da spremenijo jedilnik na računu restavracije ali v celoti odstranijo seznam podjetja. Izpostavljeni žetoni bi lahko tudi ogrozili stranke, saj bi slabi akterji potencialno lahko spremenili spletno mesto za zbiranje še bolj občutljivih PID in dodatno ogrozili žrtve.
Tveganje kraje lastnine za stranke
Podrobne informacije iz uhajanja ustvarjajo veliko ranljivosti za stranke. Informacije v uhajanju bi lahko slabim akterjem omogočile sledenje in prestrezanje naročil, ki jih je stranka že plačala.
Puščanje nakazuje tudi čas, ko nekatere stranke običajno zapustijo svoje domove. V napačnih rokah bi te informacije lahko ogrozile lastnino strank zaradi fizičnega vloma.
Tveganje kraje lastnine za podjetja
Puščanje vsebuje dolge sezname ur prijave in odjave osebja, ki slabim akterjem natančno povejo, koliko zaposlenih je na splošno v trgovini ob določenem času. Če bi nameravali fizično vlomiti in ukrasti podjetje, bi ti podatki pomagali pri kraji.
Preprečevanje izpostavljenosti podatkov
Kaj lahko storite, da zaščitite svoje podatke in zmanjšate tveganje kibernetske kriminalitete?
Tukaj je nekaj načinov, kako lahko zmanjšate tveganje izpostavljenosti podatkov:
- Osebne podatke posredujte samo posameznikom in podjetjem, ki jim zaupate.
- Obiskujte samo varna spletna mesta. Varna spletna mesta imajo imena domen, ki se začnejo s 'https' in/ali simbolom zaprte ključavnice.
- Bodite še posebej previdni, ko vas prosimo, da navedete najpomembnejše oblike osebnih podatkov (tj. številke socialnega zavarovanja, državne identifikacijske številke in osebne nastavitve).
- ustvarjanje super močna gesla z uporabo kombinacije črk, velikih črk, številk in simbolov. Redno posodabljajte svoja gesla.
- Ne reciklirajte gesel med storitvami. Uporabi vodja geslo če je potrebno
- Ne klikajte povezav v e-poštnih sporočilih, sporočilih SMS ali kjer koli drugje na internetu, razen če ste popolnoma prepričani, da je vir/pošiljatelj pristen. Če sploh niste prepričani, pojdite na spletno stran podjetja in tam poiščite povezavo.
- Uredite nastavitve zasebnosti družbenih medijev. Vaši računi naj vašo vsebino in osebne podatke prikazujejo le zaupanja vrednim uporabnikom in prijateljem.
- Omejite opravila, ki jih izvajate, in informacije, ki jih prikažete, ko ste povezani v javno omrežje Wi-Fi. Na primer, ne kupujte izdelka in ne vnašajte podatkov o svoji kreditni kartici v javni WiFi.
- Uporabite spletne vire za spoznati kibernetski kriminal, varstvo podatkov in korake, ki jih lahko sprejmete, da se izognete lažnemu predstavljanju in zlonamerni programski opremi.
O nas
SafetyDetectives.com je največje spletno mesto za pregled protivirusnih programov.
Raziskovalni laboratorij SafetyDetectives je pro bono storitev, katere namen je pomagati spletni skupnosti, da se brani pred kibernetskimi grožnjami, hkrati pa izobraževa organizacije o tem, kako zaščititi podatke svojih uporabnikov. Glavni namen našega projekta spletnega kartiranja je pomagati, da postane internet varnejši kraj za vse uporabnike.
Naša prejšnja poročila so razkrila številne odmevne ranljivosti in uhajanje podatkov, vključno s približno 200+ milijoni uporabnikov, ki jih je razkrilo Kitajsko podjetje za upravljanje družbenih omrežij Socialarks, kot tudi kršitev pri Brazilska integratorska platforma za e-trgovino Hariexpress iz katerega je ušlo več kot 1.75 milijarde zapisov.
Za popoln pregled poročanja o kibernetski varnosti SafetyDetectives v zadnjih 3 letih sledite Skupina za kibernetsko varnost varnostnih detektivov.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- O meni
- dostop
- Dostop
- Po
- Račun
- pridobiti
- čez
- Naslov
- naslovi
- vplivajo
- proti
- vsi
- že
- Amazon
- Amazon Web Services
- analitika
- antivirus
- kjerkoli
- asia
- Banka
- bari
- spodaj
- med
- Billion
- milijardah
- kršitev
- Razčlenitev
- poslovni
- podjetja
- klic
- Zmogljivosti
- previdni
- povzroča
- nekatere
- šef
- Vodja tehnološke
- Izberite
- zaprto
- Oblačila
- zbiranje
- kombinacija
- skupnost
- Podjetja
- podjetje
- Podjetja
- popolnoma
- povezane
- Vsebuje
- vsebina
- bi
- države
- ustvari
- kredit
- kreditne kartice
- Trenutno
- stranka
- Stranke, ki so
- cyber
- kibernetski kriminaliteti
- Cybersecurity
- datum
- puščanje podatkov
- Varstvo podatkov
- dostava
- Odvisno
- podrobno
- Podrobnosti
- naprava
- števk
- odkril
- zaslon
- domena
- navzdol
- med
- e-trgovina
- elektronskem poslovanju
- izobraževanje
- E-naslov
- Zaposleni
- šifriranje
- oceniti
- itd
- etično
- točno
- Primer
- izpostavljena
- iskanje
- sledi
- po
- hrana
- Obrazci
- Ustanovljeno
- goljufija
- iz
- polno
- nadalje
- pridobivanje
- splošno
- vlada
- hekerji
- taksist
- Sedež
- pomoč
- zgodovina
- gostovanje
- Kako
- Kako
- Vendar
- HTTPS
- Pomembno
- vključujejo
- vključuje
- Vključno
- individualna
- posamezniki
- Podatki
- Internet
- inventar
- IT
- sam
- januar
- lab
- Največji
- uhajanje
- puščanje
- pustite
- light
- Verjeten
- linije
- LINK
- Povezave
- seznam
- seznami
- Long
- Zvestoba
- velika
- Znamka
- Malezija
- zlonamerna programska oprema
- upravljanje
- kartiranje
- mediji
- člani
- sporočil
- milijonov
- več
- Najbolj
- več
- Imena
- Številka
- številke
- Ponudbe
- Častnik
- na spletu
- odprite
- Da
- naročila
- organizacije
- plačana
- zlasti
- gesla
- Plačila
- ljudje
- Obdobje
- Osebni
- Ribarjenje
- lažni napadi
- fizično
- Fizično
- kosov
- platforma
- Točka
- PoS
- potencial
- prejšnja
- Cena
- zasebnost
- za
- Postopek
- Izdelek
- programi
- Projekt
- nepremičnine
- zaščito
- zaščita
- zagotavljajo
- Ponudnik
- zagotavlja
- javnega
- nakup
- nakupi
- Namen
- Razlogi
- prejetih
- zapis
- evidence
- okolica
- Poročila
- Raziskave
- Odgovor
- odgovorna
- restavracija
- restavracije
- Trgovina na drobno
- pregleda
- Tveganje
- pravila
- varnejši
- prodaja
- prodaja
- zavarovanje
- Zavarovano
- varnost
- Storitev
- Storitve
- trgovin
- saj
- spletna stran
- SMS
- So
- socialna
- družbeni mediji
- Software
- nekaj
- specifična
- trgovina
- trgovine
- sistem
- Naloge
- skupina
- Tehnologija
- pove
- Test
- O
- Kraja
- tisoče
- grožnje
- krat
- Boni
- orodja
- sledenje
- Sledenje
- Transakcije
- Zaupajte
- zaupa
- Nadgradnja
- us
- uporaba
- Uporabniki
- raznolikost
- žrtve
- Ranljivosti
- Ranljivi
- načini
- web
- spletne storitve
- Spletna stran
- spletne strani
- Kaj
- medtem
- WHO
- Wi-fi
- Wifi
- brez
- svetu
- bi
- let
- Vaša rutina za