Voden z Anurag Senje Varnostni detektivi skupina za kibernetsko varnost je odkrila izpostavljenost podatkov, ki vpliva na ameriškega ponudnika plačilne programske opreme Transact Campus.
Glede na spletno stran podjetja tehnologija Transact Campus združuje več plačilnih funkcij v eno samo mobilno platformo za spodbujanje študentskih nakupov na visokošolskih ustanovah. Storitve Transact Campus poenostavljajo plačilne procese za študente in ustanove.
Strežnik Elasticsearch, ki vsebuje podatke, povezane s kampusom Transact, je ostal nezavarovan, brez kakršne koli zaščite z geslom, zato je razkril več kot 1 milijon študentskih zapisov.
Kdo je Transact Campus?
Transact Campus visokošolskim ustanovam v ZDA prodaja kampusno plačilno tehnologijo, ki združuje mobilna plačila in identifikacijo uporabnika (z »Campus ID«) v eno samo aplikacijo za študente.
Študenti lahko brezgotovinsko plačujejo šolnine in različne druge privilegije na kraju samem s svojim edinstvenim osebnim računom (»Campus ID«), vključno z vstopnicami za dogodke in izdelki s koncesijskih stojnic, prodajnih avtomatov in tretjih prodajalcev.
ID-je kampusa se lahko uporabljajo tudi za odobritev dostopa študentov do različnih drugih funkcij kampusa, kot so dostop do tiskalnika, dostop do vrat, dostop do dogodkov in spremljanje prisotnosti pri pouku.
Transact Campus ima sedež v Phoenixu v Arizoni. Od ustanovitve podjetja leta 1984 je Transact Campus oskrboval 12 milijonov študentov na 1,300 institucijah strank in omogočil transakcije v vrednosti 45 milijard dolarjev. Transact Campus trenutno zaposluje približno 400 ljudi in ustvari letni prihodek v višini 100 milijonov USD.
Kaj je bilo izpostavljeno?
Odprti strežnik Elasticsearch je izpostavil več kot 1 milijon zapisov, skupaj več kot 5 GB podatkov. Strežnik je ostal dostopen in njegovi podatki so bili nešifrirani.
Dnevniki Elasticsearch so vsebovali podatke iz različnih fakultet, ki uporabljajo storitve Transact Campus. Ti podatki pripadajo študentom na teh izpostavljenih ustanovah.
Na odprtem strežniku je bilo izpostavljenih več oblik PII študentov, vključno z:
- Polna imena
- E-poštni naslovi
- Telefonske številke
- Poverilnice za prijavo v navadnem besedilu, vklj. uporabniška imena in gesla
- podrobnosti transakcije, vklj. znesek in čas nakupa
- Podatki o kreditni kartici (nepopolni), vklj. 6 prvih števk (BIN*) in zadnje 4 števke številk kreditnih kartic, datumov poteka in bančnih podatkov
- Kupljeni načrti obrokov in uravnoteženost načrta obrokov
*Opomba: Identifikacijska številka banke (BIN) je prvih šest števk številke plačilne kartice. Te številke identificirajo izdajatelja kartice.
Ekipa za kibernetsko varnost SafetyDetectives je med preverjanjem naslovov IP na določenih vratih našla odprt strežnik Elasticsearch. Strežnik je v času odkritja deloval in se je posodabljal.
Na naslednjih posnetkih zaslona si lahko ogledate dokaze o strežniških dnevnikih, ki so razkrili podatke študentov.
Izpostavljenost podatkov vpliva na študente, ki so imetniki računa Transact Campus. Prizadete so lahko tudi družine. Na primer, podrobnosti o plačilu staršev bi lahko bile razkrite, če financirajo študentovo šolnino ali finančno podpirajo študenta prek računa Transact Campus. Prizadeta bi lahko bila katera koli oseba z računom in/ali plačilnimi podatki, povezanimi z računom na eni od izpostavljenih fakultet.
Nemogoče je natančno vedeti, koliko ljudi je bilo izpostavljenih v tem incidentu. Vendar količina e-poštnih naslovov in telefonskih številk, izpostavljenih na strežniku, kaže na to, da je prizadetih približno 30,000–40,000 študentov.
Transact Campus se ukvarja z visokošolskimi ustanovami v ZDA in kot tak izpostavljeni Elasticsearch vpliva predvsem na državljane ZDA.
V spodnji tabeli si lahko ogledate celotno razčlenitev izpostavljenosti teh podatkov.
Število izpostavljenih zapisov | Preko milijon 1 |
Število prizadetih uporabnikov | 30,000-40,000 ljudi (groba ocena) |
Velikost izpostavljenosti | Približno 5 GB |
Lokacija strežnika | Združene države Amerike |
Lokacija podjetja | Phoenix, Arizona, Združene države Amerike |
Odprti strežnik smo odkrili 6. decembra 2021 in se nato 8. decembra 2021 obrnili na Transact Campus.
Naš prvi stik s podjetjem Transact Campus smo spremljali 9. in 14. decembra 2021, vendar nismo prejeli odgovora. US-CERT smo poslali po e-pošti 9. januarja 2022 in poslali nadaljnja sporočila nekaterim ključnim stikom 13. januarja 2022 — Transact Campus je odgovoril še isti dan. 14. januarja 2022 smo odgovorno razkrili uhajanje v Transact Campus in 16. januarja 2022 je bila kršitev podatkov zavarovana.
Transact Campus je pozneje odgovoril na naša sporočila in nam povedal, da strežnik Elasticsearch ni pod njihovim nadzorom:
»Očitno je to postavila tretja oseba za predstavitev in ni bilo nikoli odstranjeno. Potrdili smo, da je bil nabor podatkov napolnjen s ponarejenim naborom podatkov in da niso bili uporabljeni nobeni proizvodni podatki.«
Opomba: Preverili smo vzorec uporabnikov na odprtem Elasticsearch in zdi se, da ti podatki pripadajo resničnim ljudem.
Izjava Livarne:
»Ta incident ni vplival na noben sistem v podjetju Transact; izoliran je bil na en sam strežnik prehoda Foundry. Potencialno izpostavljenost je odkrilo varnostno podjetje tretje osebe, ki aktivno išče ranljive gruče Elasticsearch. Namesto preskusnih podatkov, kot je bilo predvideno, je strežnik Elasticsearch pridobil produkcijske dnevnike, ki so vsebovali uporabniška imena in gesla z jasnim besedilom manj kot 700 študentov, ki so se poskušali registrirati za dostop do računa obrokov med 10. oktobrom 2021 in 14. januarjem 2022. Samo poskusi registracije, prijavljeni znotraj ta časovni okvir upošteva račune, ki so bili prizadeti."
Izjava iz Transacta:
»Prav tako kdorkoli, ki bi dostopal do produkcijskih dnevnikov, ne bi mogel sodelovati v transakcijah na platformi Transact samo z uporabo uporabniškega imena in gesla z jasnim besedilom. Transact je izsilil spremembo gesla zaradi obilice previdnosti. Transact se je po prejemu obvestila od SafetyDetectives prav tako zelo potrudil. Zaščita podatkov strank in študentov Transact ter sistemov, ki zbirajo, obdelujejo in vzdržujejo te podatke, je ključnega pomena. Zato varnost sistemov, aplikacij in storitev vključuje nadzor in zaščitne ukrepe za preprečevanje morebitnih groženj. Ukrepi za varnost informacij in zasebnost podjetja Transact se izvajajo za zaščito pred nepooblaščenim dostopom do podatkov in sistemov, spreminjanjem, razkritjem ali uničenjem. Transact je zavezan zagotavljanju najvišje ravni varnosti za svoje stranke in bo še naprej spremljal trenutno situacijo in morebitne morebitne grožnje varnosti svojih sistemov.”
Vpliv izpostavljenosti podatkov
Ne moremo in ne vemo, ali so zlonamerni akterji dostopali do baze podatkov, medtem ko je bila nezavarovana. Vsebina strežnika bi lahko izpostavila izpostavljene študente nevarnosti kibernetskega kriminala, če bi zlobni akterji prebrali ali prenesli podatke strežnika.
Neželeno trženje, napadi lažnega predstavljanja, in prevare so možni s kontaktnimi podatki, polnimi imeni in drugimi občutljivimi podatki, ki so izpostavljeni uporabnikom Transact Campusa. Napadalci bi lahko izvajali marketinške kampanje z neželeno pošto s toliko razkritimi e-poštnimi naslovi, pošiljali lažna sporočila, zlonamerno programsko opremo in goljufije na tisoče ljudi.
Pri napadu z lažnim predstavljanjem se lahko kibernetski kriminalec maskira v zaupanja vrednega posameznika (na primer zaposlenega na univerzi), da prepriča študente, da zagotovijo dodatne oblike osebnih podatkov, kot so številke CVV na zadnji strani kreditnih kartic. Lažni lažni predstavljači lahko študenta tudi prepričajo, da klikne zlonamerno povezavo. Po kliku lahko zlonamerne povezave prenesejo zlonamerno programsko opremo na žrtvino napravo, kar bi lahko dopolnilo druge oblike zbiranja podatkov in kibernetske kriminalitete.
Izpostavljeni študentje bi lahko bili tudi tarča prevar, če bi kibernetski kriminalci dostopali do strežnika. Pri prevari skuša kibernetski kriminalec žrtev preslepiti, da bi ji plačala denar. Tako kot napadi z lažnim predstavljanjem lahko kibernetski kriminalci uporabijo druge oblike izpostavljenih podatkov, da ciljajo na žrtev. Na primer, kibernetski kriminalec bi lahko prepričal izpostavljenega študenta, da neporavnane šolnine plača neposredno napadalcu.
Izpostavljene poverilnice računa so bili shranjeni v navadnem besedilu, kar predstavlja dodatna tveganja za prizadete učence. Če bi kateri koli heker dostopal do strežnika, bi lahko zlahka prebral nešifrirana uporabniška imena in gesla. Kibernetski kriminalec bi lahko pridobil dostop do študentskih računov s temi informacijami in bi lahko spremenil podrobnosti ter zagrozil z visokimi stroški, razen če se plača pristojbina.
Preprečevanje izpostavljenosti podatkov
Kaj lahko storimo, da zaščitimo svoje podatke in zmanjšamo tveganje kibernetske kriminalitete?
Tukaj je nekaj nasvetov za preprečevanje izpostavljenosti podatkov:
- Ne posredujte svojih osebnih podatkov podjetju, organizaciji ali osebi, razen če temu subjektu 100 % zaupate.
- Obiskujte samo spletna mesta, ki imajo varno ime domene (domene s “https” in/ali simbolom zaprte ključavnice na začetku).
- Bodite še posebej previdni pri zagotavljanju najbolj občutljivih oblik podatkov, kot je vaša številka socialnega zavarovanja.
- Ustvarite trdna gesla, ki vsebujejo mešanico črk, številk in simbolov. Redno posodabljajte svoja gesla.
- Ne kliknite povezave v spletu, razen če ste povsem prepričani, da je iz zakonitega vira. Povezave so lahko v e-poštnih sporočilih, sporočilih ali na spletnih mestih z lažnim predstavljanjem, ki se predstavljajo kot zakonite domene.
- Uredite svoje nastavitve zasebnosti v družabnih medijih, tako da bodo vaša vsebina in informacije vidne samo prijateljem in zaupanja vrednim uporabnikom.
- Izogibajte se prikazovanju ali vnašanju zelo občutljivih podatkov (kot so številke kreditnih kartic ali gesla), ko uporabljate javno ali nezavarovano omrežje WiFi.
- Poučite se o tveganjih kibernetske kriminalitete, pomenu zaščite podatkov in metodah, ki zmanjšajo vaše možnosti, da postanete žrtev lažnega predstavljanja in zlonamerne programske opreme.
O nas
SafetyDetectives.com je največje spletno mesto za pregled protivirusnih programov.
Raziskovalni laboratorij SafetyDetectives je pro bono storitev, katere namen je pomagati spletni skupnosti, da se brani pred kibernetskimi grožnjami, hkrati pa izobraževa organizacije o tem, kako zaščititi podatke svojih uporabnikov. Glavni namen našega projekta spletnega kartiranja je pomagati, da postane internet varnejši kraj za vse uporabnike.
Naša prejšnja poročila so razkrila številne odmevne ranljivosti in uhajanje podatkov, vključno z 2.6 milijona uporabnikov, ki jih je Ameriška socialna analitična platforma IGBlade, kot tudi kršitev pri a Platforma Brazilian Marketplace Integrator Hariexpress.com.br ki je ušlo več kot 610 GB podatkov.
Za popoln pregled poročanja o kibernetski varnosti SafetyDetectives v zadnjih 3 letih sledite Skupina za kibernetsko varnost varnostnih detektivov.
- "
- 000
- 10
- 2021
- 2022
- a
- O meni
- obilje
- dostop
- dostopen
- Dostop
- Račun
- Dodatne
- naslovi
- vplivajo
- vplivajo
- Affiliate Program
- proti
- vsi
- znesek
- analitika
- letno
- antivirus
- kdo
- aplikacija
- aplikacije
- Arizona
- okoli
- prisotnost
- tehtnice
- Banka
- Začetek
- počutje
- spodaj
- med
- Billion
- kršitev
- Razčlenitev
- Kampanje
- Campus
- Kartice
- previdni
- brezgotovinski
- kvote
- spremenite
- Stroški
- preverjanje
- razred
- stranke
- zaprto
- zbiranje
- zbirka
- College
- storjeno
- skupnost
- podjetje
- Podjetja
- popolnoma
- Ravnanje
- kontakt
- vsebina
- naprej
- nadzor
- Nadzor
- bi
- Mandatno
- kredit
- kreditne kartice
- kreditne kartice
- kritično
- Trenutna
- Trenutno
- cyber
- kibernetski kriminaliteti
- cybercriminals
- Cybersecurity
- datum
- kršitev varnosti podatkov
- Varstvo podatkov
- nabor podatkov
- Baze podatkov
- Termini
- dan
- Ponudba
- Podrobnosti
- naprava
- DID
- števk
- skrbnosti
- neposredno
- odkril
- Odkritje
- domena
- Ime domene
- domen
- navzdol
- prenesi
- enostavno
- izobraževanje
- Izobraževanje
- prizadevanje
- E-naslov
- zaposluje
- sodelovati
- entiteta
- oceniti
- ocenjeni
- Event
- točno
- Primer
- izpostavljena
- ponaredek
- družine
- pristojbine
- prva
- sledi
- po
- Obrazci
- je pokazala,
- Ustanovljeno
- iz
- polno
- funkcije
- Sklad
- nadalje
- Prehod
- heker
- s sedežem
- pomoč
- več
- Višja izobrazba
- zelo
- imetniki
- Kako
- Kako
- Vendar
- HTTPS
- Identifikacija
- identificirati
- izvajali
- Pomembnost
- nemogoče
- vključujejo
- Vključno
- individualna
- Podatki
- varnost informacij
- Institucije
- Internet
- IP
- IP naslovi
- IT
- sam
- januar
- Ključne
- Vedite
- lab
- Največji
- uhajanje
- puščanje
- Stopnja
- light
- LINK
- Povezave
- v živo
- Stroji
- vzdrževati
- Znamka
- zlonamerna programska oprema
- kartiranje
- Trženje
- tržnica
- Maškarada
- ukrepe
- mediji
- Metode
- milijonov
- Mobilni
- mobilna plačila
- Denar
- monitor
- spremljanje
- več
- Najbolj
- več
- Imena
- mreža
- Številka
- številke
- odmik
- na spletu
- odprite
- Organizacija
- organizacije
- Ostalo
- plačana
- zlasti
- zabava
- Geslo
- gesla
- Plačajte
- Plačilo
- Plačilna kartica
- Plačila
- ljudje
- oseba
- Osebni
- osebni podatki
- Ribarjenje
- lažni napad
- lažni napadi
- phoenix
- platforma
- mogoče
- potencial
- moč
- prejšnja
- zasebnost
- za
- Postopek
- Procesi
- proizvodnja
- Izdelki
- Projekt
- zaščito
- zaščita
- zagotavljajo
- Ponudnik
- zagotavljanje
- javnega
- nakupi
- Namen
- prejeti
- evidence
- zmanjša
- Registracija
- registracija
- Poročila
- Raziskave
- prihodki
- pregleda
- Tveganje
- tveganja
- varnejši
- Enako
- Prevara
- prevare
- zavarovanje
- Zavarovano
- varnost
- Storitev
- Storitve
- nastavite
- več
- pomemben
- saj
- sam
- SIX
- veliko
- So
- socialna
- družbeni mediji
- Software
- nekaj
- spam
- stojala
- racionalizirati
- študent
- Kasneje
- podpora
- sistemi
- ciljna
- ciljno
- skupina
- Tehnologija
- Test
- O
- zato
- tretjih oseb
- tisoče
- grožnje
- skozi
- vstopnice
- čas
- časovni okvir
- nasveti
- transakcija
- Transakcije
- Zaupajte
- pod
- edinstven
- Velika
- nezavarovano
- Nadgradnja
- us
- US $ 100 milijonov
- uporaba
- Uporabniki
- različnih
- prodajalci
- vidna
- Obseg
- Ranljivosti
- Ranljivi
- denarnica
- web
- Spletna stran
- spletne strani
- ali
- medtem
- WHO
- Wifi
- v
- brez
- svetu
- vredno
- bi
- let
- Vaša rutina za