Smakämnen Säkerhetsdetektiv cybersäkerhetsteam har upptäckt en stor dataläcka som påverkar mjukvaruföretaget StoreHub.
StoreHub är baserat i Malaysia och tillhandahåller ett mjukvarusystem för försäljningsställen (POS) som oftast används i restauranger och butiker.
Den exponerade informationen lagrades på en StoreHubs Elasticsearch-server som lämnades öppen utan något lösenordsskydd eller kryptering. Den oskyddade servern har potentiellt äventyrat informationen från tusentals restauranger och butiker, tillsammans med deras personal och ungefär 1 miljon kunder.
Vem är StoreHub?
StoreHub grundades 2013 i Malaysia och har för närvarande sitt huvudkontor i Petaling Jaya. Deras produkt används av över 15,000 XNUMX företag enligt deras hemsida, främst i regionen Sydostasien.
Företaget säljer POS-mjukvara främst till F&B-företag (mat och dryck), såsom restauranger, men även till butiker.
POS-programvara används främst för att bearbeta och registrera inköp och transaktioner i kundinriktade företag (restauranger, kaféer, barer, butiker, etc.), samt att utfärda kvitton och spåra försäljning av särskilda föremål – såsom måltider på en restaurang, eller enskilda klädesplagg i en butik.
StoreHub erbjuder också en komplett uppsättning av verktyg för företagshantering och analys. Dessa inkluderar e-handel och onlineleverans, lagerhantering, personalhantering, lojalitetsprogram och kundanalys.
Som ett resultat kunde StoreHub samla in data från över 1 miljon människor från hela Sydostasien – främst kunder till företag som använder dess mjukvara.
Vad exponerades?
Vårt cybersäkerhetsteam upptäckte att Storehub hade felkonfigurerat en av deras Elasticsearch-servrar, vilket fick den att läcka över 1.7 miljarder poster och över 1 terabyte data. Detta exponerade nästan 1 miljon kunder i Malaysia och potentiellt i sydostasiatiska länder.
StoreHub säljer POS-programvara till kundinriktade företag, så den exponerade informationen finns i två kategorier:
- Data från kunder till företag som använder StoreHub
- Data från företag som använder StoreHub
Data från kunder till företag som använder StoreHub
Exponerad personligt identifierbar information (PII) från kunder inkluderar:
- Fullständiga namn
- Telefonnummer
- Fysiska adresser
- Mejladresser
- Typ av enhet som används
Servern exponerade också data relaterade till betalningar och orderinformation som tillhör kunderna, och exponerade PII som:
- Transaktionsdatum
- Beställda varor
- Butiksplatser
Vissa av beställningsuppgifterna avslöjade delvis maskerad kreditkortsinformation.
Data från företag som använder StoreHub
Läckan påverkade också de företag som använder StoreHub och deras personal. Läckt information från företagen inkluderar:
- In-/utcheckningstider från anställda
- Anställdas namn
- Butiksnamn
- Lagra fysiska adresser
- Lagra e-postadresser
Vårt cybersäkerhetsteam såg också läckta åtkomsttokens, som dåliga aktörer kan använda för att logga in på och modifiera företagens webbplatser, vilket potentiellt kan orsaka mer skada. Vilket vi inte kunde testa av etiska skäl.
Tabellen nedan visar en uppdelning av denna StoreHub-dataläcka.
Antal poster läckt | Över 1.7 miljarder |
Antal berörda användare | Ungefär. 1 miljoner |
Storlek på läckage | Över 1TB |
Serverplats | Singapore |
Företagets plats | Petaling Jaya, Malaysia |
Vårt cybersäkerhetsteam upptäckte den här läckan den 12 januari 2022. Serverinnehållet verkar ha varit exponerat sedan åtminstone slutet av november 2021.
När vi hittade läckan följde vårt cybersäkerhetsteam reglerna för etisk hackning genom att lämna servern och data orörda och sedan kontakta det ansvariga företaget.
Vi mailade StoreHub så fort vi upptäckte läckan. Den 18 januari skickade vi ett uppföljningsmail till dem och vi skickade ett mail till StoreHubs tekniska chef. Vi fick inget svar senast den 27 januari, så vi kontaktade malaysiska CERT och Amazon Web Services (värdföretaget). Båda svarade snabbt.
Vi kunde avslöja läckan till den malaysiska CERT den 28 januari. Den malaysiska CERT bad oss om mer information den 2 februari, men servern var säkrad då. Vi uppskattar att servern var säkrad mellan den perioden från 28 januari till 2 februari.
Effekt på dataläckage
Exponerad PII gör offren sårbara för stöld och bedrägeri från dåliga skådespelare som lägger vantarna på PII-detaljerna.
Vi har inget sätt att bekräfta om oetiska hackare har upptäckt denna dataläcka, men berörda företag och kunder bör vara uppmärksamma på följande potentiella hot.
Bedrägerier och bedrägerier
Den exponerade PII gör kunderna sårbara för bedrägeriförsök. Till exempel kan dåliga aktörer ringa offer och vinna deras förtroende genom att bekräfta köpinformation som involverar priset och datumet för en transaktion – eller till och med de fyra sista siffrorna i ett kreditkortsnummer.
Efter att ha fått förtroende kunde de dåliga aktörerna skaffa sig ytterligare information från offret som sedan kunde göra det möjligt för dem att orsaka verklig skada genom att komma åt sin bank eller missbruka kreditkortsinformation.
Kontostöld
Läckan innehåller kontotokens, som med största sannolikhet tillhör de företag som använder StoreHub-servern. Dåliga aktörer kan använda dessa tokens för att logga in som företag eller kunder och eventuellt ändra kontouppgifter.
Detta kan skada verksamheten på en mängd olika sätt, beroende på vad de dåliga aktörerna väljer att göra. Av etiska skäl kan vi inte testa kapaciteten hos de exponerade tokens. Ett teoretiskt exempel är dock att de kan tillåta dåliga skådespelare att modifiera menyn på en restaurangs konto eller ta bort företagets listning helt. Exponerade tokens kan också utsätta kunder för risk, eftersom dåliga aktörer potentiellt kan modifiera webbplatsen för att samla in ännu känsligare PII och ytterligare äventyra offren.
Risk för egendomsstöld för kunder
Den detaljerade informationen från läckan skapar många sårbarheter för kunderna. Information i läckan kan göra det möjligt för dåliga aktörer att spåra och avlyssna beställningar som kunden redan har betalat för.
Läckan indikerar också de tider som vissa kunder i allmänhet lämnar sina hem. I fel händer kan denna information sätta kundernas egendom i riskzonen för ett fysiskt inbrott.
Risk för egendomsstöld för företag
Läckan innehåller långa listor över personalens in- och utcheckningstider, som berättar för dåliga aktörer exakt hur många anställda som generellt är i butiken under specifika tider. Om de hade för avsikt att fysiskt bryta sig in och stjäla från verksamheten skulle denna information hjälpa till vid stölden.
Förhindra exponering av data
Vad kan du göra för att skydda din data och minimera din risk för cyberbrottslighet?
Här är några sätt du kan minimera risken för dataexponering:
- Lämna endast din personliga information till personer och företag som du litar på.
- Besök endast säkra webbplatser. Säkra webbplatser har domännamn som börjar med "https" och/eller en stängd låssymbol.
- Var extra försiktig när du ombeds att tillhandahålla de viktigaste formerna av personlig information (dvs. personnummer, statliga ID-nummer och personliga preferenser).
- Skapa superstarka lösenord med en kombination av bokstäver, versaler, siffror och symboler. Uppdatera dina lösenord regelbundet.
- Återvinn inte lösenord mellan tjänster. Använda en Password Manager om nödvändigt
- Klicka inte på länkar i e-postmeddelanden, SMS eller någon annanstans på internet om du inte är helt säker på att källan/avsändaren är äkta. Om du är osäker alls, gå in på företagets hemsida och hitta länken där.
- Redigera dina sekretessinställningar för sociala medier. Dina konton ska endast visa ditt innehåll och personliga uppgifter för betrodda användare och vänner.
- Begränsa de uppgifter du utför och informationen du visar när du är ansluten till offentligt Wi-Fi. Köp till exempel inte en produkt och skriv in dina kreditkortsuppgifter på allmänt wifi.
- Använd onlinekällor för att lära sig om cyberbrottslighet, dataskydd och de steg du kan vidta för att undvika nätfiskeattacker och skadlig programvara.
Om Oss
SafetyDetectives.com är världens största webbplats för antivirusgranskning.
SafetyDetectives forskningslaboratorium är en pro bono-tjänst som syftar till att hjälpa online-communityn att försvara sig mot cyberhot samtidigt som man utbildar organisationer om hur man skyddar sina användares data. Det övergripande syftet med vårt webbmappningsprojekt är att göra internet till en säkrare plats för alla användare.
Våra tidigare rapporter har fört flera högprofilerade sårbarheter och dataläckage fram, inklusive cirka 200+ miljoner användare utsatta för Kinesiskt socialt mediahanteringsföretag Socialarks, samt ett brott kl Den brasilianska e-handelsintegratörsplattformen Hariexpress som läckte över 1.75 miljarder poster.
För en fullständig genomgång av SafetyDetectives cybersäkerhetsrapportering under de senaste tre åren, följ SafetyDetectives Cybersecurity Team.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- Om oss
- tillgång
- åtkomst
- Enligt
- Konto
- förvärva
- tvärs
- adress
- adresser
- påverkar
- mot
- Alla
- redan
- amason
- Amazon Web Services
- analytics
- antivirus
- var som helst
- asien
- Bank
- barer
- nedan
- mellan
- Miljarder
- miljarder
- brott
- Fördelning
- företag
- företag
- Ring
- kapacitet
- noggrann
- orsakar
- vissa
- chef
- Chief Technology Officer
- Välja
- stängt
- Kläder
- samla
- kombination
- samfundet
- Företag
- företag
- Företagets
- fullständigt
- anslutna
- innehåller
- innehåll
- kunde
- länder
- skapar
- kredit
- kreditkort
- För närvarande
- kund
- Kunder
- cyber
- cyberbrottslighet
- Cybersäkerhet
- datum
- dataläckage
- dataskydd
- leverans
- beroende
- detaljerad
- detaljer
- anordning
- siffror
- upptäckt
- Visa
- domän
- ner
- under
- e-handel
- e-handel
- utbilda
- anställda
- kryptering
- uppskatta
- etc
- etisk
- exakt
- exempel
- utsatta
- finna
- följer
- efter
- livsmedelsproduktion
- former
- Grundad
- bedrägeri
- från
- full
- ytterligare
- få
- allmänhet
- Regeringen
- hackare
- hacking
- Huvudkontoret
- hjälpa
- historia
- värd
- Hur ser din drömresa ut
- How To
- Men
- HTTPS
- med Esport
- innefattar
- innefattar
- Inklusive
- individuellt
- individer
- informationen
- Internet
- lager
- IT
- sig
- Januari
- lab
- största
- läckage
- Läckor
- Lämna
- ljus
- sannolikt
- rader
- LINK
- länkar
- lista
- listor
- Lång
- Lojalitet
- större
- göra
- Malaysia
- malware
- ledning
- kartläggning
- Media
- Medlemmar
- meddelanden
- miljon
- mer
- mest
- multipel
- namn
- antal
- nummer
- Erbjudanden
- Officer
- nätet
- öppet
- beställa
- ordrar
- organisationer
- betalas
- särskilt
- lösenord
- betalningar
- Personer
- perioden
- personlig
- Nätfiske
- phishingattacker
- fysisk
- Fysiskt
- bitar
- plattform
- Punkt
- PoS
- potentiell
- föregående
- pris
- privatpolicy
- Pro
- process
- Produkt
- Program
- projektet
- egenskapen
- skydda
- skydd
- ge
- leverantör
- ger
- allmän
- inköp
- inköp
- Syftet
- skäl
- mottagna
- post
- register
- region
- Rapport
- forskning
- respons
- ansvarig
- restaurang
- restauranger
- detaljhandeln
- översyn
- Risk
- regler
- säkrare
- Till Salu
- försäljning
- säkra
- Säkrad
- säkerhet
- service
- Tjänster
- affärer
- eftersom
- webbplats
- SMS
- So
- Social hållbarhet
- sociala medier
- Mjukvara
- några
- specifik
- lagra
- lagrar
- system
- uppgifter
- grupp
- Teknologi
- berättar
- testa
- Smakämnen
- stöld
- tusentals
- hot
- gånger
- tokens
- verktyg
- spår
- Spårning
- Transaktioner
- Litar
- betrodd
- Uppdatering
- us
- användning
- användare
- mängd
- offer
- sårbarheter
- Sårbara
- sätt
- webb
- webbservice
- Webbplats
- webbsidor
- Vad
- medan
- VEM
- Wi-fi
- wiFi
- utan
- Världens
- skulle
- år
- Din