พื้นที่ ความปลอดภัย ทีมรักษาความปลอดภัยทางไซเบอร์พบการรั่วไหลของข้อมูลครั้งใหญ่ที่ส่งผลกระทบต่อบริษัทซอฟต์แวร์ชื่อ StoreHub
StoreHub ตั้งอยู่ในมาเลเซียและให้บริการระบบซอฟต์แวร์ ณ จุดขาย (POS) ซึ่งส่วนใหญ่ใช้ในร้านอาหารและร้านค้าปลีก
ข้อมูลที่เปิดเผยถูกเก็บไว้ในเซิร์ฟเวอร์ Elasticsearch ของ StoreHub ที่เปิดทิ้งไว้โดยไม่มีการป้องกันด้วยรหัสผ่านหรือการเข้ารหัส เซิร์ฟเวอร์ที่ไม่มีการป้องกันอาจทำให้ข้อมูลของร้านอาหารและร้านค้าปลีกหลายพันร้าน รวมถึงพนักงานและลูกค้าประมาณ 1 ล้านคน
StoreHub คือใคร?
StoreHub ก่อตั้งขึ้นในปี 2013 ในประเทศมาเลเซีย และปัจจุบันมีสำนักงานใหญ่อยู่ที่เมืองเปตาลิงจายา ผลิตภัณฑ์ของพวกเขาถูกใช้โดยธุรกิจมากกว่า 15,000 แห่งตามเว็บไซต์ของตน โดยเฉพาะอย่างยิ่งในภูมิภาคเอเชียตะวันออกเฉียงใต้
บริษัทขายซอฟต์แวร์ POS ให้กับธุรกิจอาหารและเครื่องดื่ม (อาหารและเครื่องดื่ม) เป็นหลัก เช่น ร้านอาหาร แต่ยังรวมถึงร้านค้าปลีกด้วย
ซอฟต์แวร์ POS ใช้ในการประมวลผลและบันทึกการซื้อและธุรกรรมในธุรกิจที่ต้องพบปะกับลูกค้าเป็นหลัก (ร้านอาหาร ร้านกาแฟ บาร์ ร้านค้า ฯลฯ) ตลอดจนการออกใบเสร็จและติดตามการขายของบางรายการ เช่น อาหารในร้านอาหาร หรือ เสื้อผ้าแต่ละชิ้นในร้านค้า
StoreHub ยังมีชุดเครื่องมือและการวิเคราะห์การจัดการธุรกิจเต็มรูปแบบ ซึ่งรวมถึงอีคอมเมิร์ซและการจัดส่งออนไลน์ การจัดการสินค้าคงคลัง การจัดการพนักงาน โปรแกรมความภักดี และการวิเคราะห์ลูกค้า
ด้วยเหตุนี้ StoreHub จึงสามารถรวบรวมข้อมูลจากผู้คนกว่า 1 ล้านคนจากทั่วเอเชียตะวันออกเฉียงใต้ โดยส่วนใหญ่เป็นลูกค้าของธุรกิจที่ใช้ซอฟต์แวร์ของตน
เปิดเผยอะไร?
ทีมความปลอดภัยทางไซเบอร์ของเราค้นพบว่า Storehub กำหนดค่าหนึ่งในเซิร์ฟเวอร์ Elasticsearch ของตนไม่ถูกต้อง ทำให้มีการรั่วไหลของข้อมูลมากกว่า 1.7 พันล้านระเบียนและข้อมูลมากกว่า 1 เทราไบต์ ข้อมูลนี้เปิดเผยลูกค้าเกือบ 1 ล้านคนในมาเลเซียและอาจเกิดขึ้นทั่วทั้งประเทศในเอเชียตะวันออกเฉียงใต้
StoreHub ขายซอฟต์แวร์ POS ให้กับธุรกิจที่ต้องเผชิญหน้าลูกค้า ดังนั้นข้อมูลที่เปิดเผยจึงแบ่งออกเป็นสองประเภท:
- ข้อมูลจากลูกค้าของธุรกิจที่ใช้ StoreHub
- ข้อมูลจากธุรกิจที่ใช้ StoreHub
ข้อมูลจากลูกค้าของธุรกิจที่ใช้ StoreHub
การเปิดเผยข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) จากลูกค้ารวมถึง:
- ชื่อเต็ม
- หมายเลขโทรศัพท์
- ที่อยู่ทางกายภาพ
- ที่อยู่อีเมล
- ประเภทของอุปกรณ์ที่ใช้
เซิร์ฟเวอร์ยังเปิดเผยข้อมูลที่เกี่ยวข้องกับการชำระเงินและข้อมูลการสั่งซื้อที่เป็นของลูกค้า โดยเปิดเผย PII เช่น:
- วันที่ทำรายการ
- รายการสั่งซื้อ
- ที่ตั้งร้าน
รายละเอียดการสั่งซื้อบางส่วนเปิดเผยข้อมูลบัตรเครดิตบางส่วนที่ปิดบัง
ข้อมูลจากธุรกิจที่ใช้ StoreHub
การรั่วไหลยังส่งผลกระทบต่อธุรกิจที่ใช้ StoreHub และพนักงานด้วย ข้อมูลรั่วไหลจากธุรกิจรวมถึง:
- เวลาเช็คอิน/เช็คเอาต์จากพนักงาน
- ชื่อพนักงาน
- ชื่อร้าน
- จัดเก็บที่อยู่ทางกายภาพ
- เก็บที่อยู่อีเมล
ทีมรักษาความปลอดภัยทางไซเบอร์ของเรายังพบเห็นโทเค็นการเข้าถึงรั่ว ซึ่งผู้ไม่หวังดีสามารถใช้เพื่อเข้าสู่ระบบและแก้ไขเว็บไซต์ของธุรกิจ ซึ่งอาจก่อให้เกิดอันตรายมากขึ้น ซึ่งเราไม่สามารถทดสอบได้ด้วยเหตุผลทางจริยธรรม
ตารางด้านล่างแสดงรายละเอียดของการรั่วไหลของข้อมูล StoreHub
จำนวนบันทึกที่รั่วไหล | กว่า 1.7 พันล้าน |
จำนวนผู้ใช้ที่ได้รับผลกระทบ | ประมาณ 1 ล้าน |
ขนาดของรอยรั่ว | เกิน 1TB |
ตำแหน่งเซิร์ฟเวอร์ | สิงคโปร์ |
สถานที่ตั้ง บริษัท | เปตาลิงจายามาเลเซีย |
ทีมความปลอดภัยทางไซเบอร์ของเราค้นพบการรั่วไหลนี้เมื่อวันที่ 12 มกราคม 2022 ดูเหมือนว่าเนื้อหาของเซิร์ฟเวอร์จะถูกเปิดเผยตั้งแต่ปลายเดือนพฤศจิกายน 2021 เป็นอย่างน้อย
เมื่อพบการรั่วไหล ทีมรักษาความปลอดภัยทางไซเบอร์ของเราได้ปฏิบัติตามกฎการแฮ็กข้อมูลอย่างมีจริยธรรมโดยปล่อยให้เซิร์ฟเวอร์และข้อมูลไม่ถูกแตะต้อง จากนั้นจึงติดต่อบริษัทที่รับผิดชอบ
เราส่งอีเมลถึง StoreHub ทันทีที่พบการรั่วไหล เมื่อวันที่ 18 มกราคม เราได้ส่งอีเมลติดตามผลไปยังพวกเขา และได้ส่งอีเมลไปยังหัวหน้าเจ้าหน้าที่เทคโนโลยีของ StoreHub เราไม่ได้รับการตอบกลับภายในวันที่ 27 มกราคม ดังนั้นเราจึงติดต่อ CERT ของมาเลเซียและ Amazon Web Services (บริษัทโฮสติ้ง) ทั้งสองตอบรับอย่างทันท่วงที
เราสามารถเปิดเผยการรั่วไหลไปยัง CERT ของมาเลเซียเมื่อวันที่ 28 มกราคม CERT ของมาเลเซียขอข้อมูลเพิ่มเติมจากเราในวันที่ 2 กุมภาพันธ์ แต่เซิร์ฟเวอร์ได้รับการรักษาความปลอดภัยในขณะนั้น เราคาดว่าเซิร์ฟเวอร์จะปลอดภัยระหว่างช่วงเวลานั้นตั้งแต่ 28 มกราคม ถึง 2 กุมภาพันธ์
การรั่วไหลของข้อมูล
การเปิดเผยข้อมูล PII ทำให้เหยื่อเสี่ยงต่อการถูกโจรกรรมและการฉ้อโกงจากผู้ไม่หวังดีที่ได้รับรายละเอียด PII
เราไม่สามารถยืนยันได้ว่าแฮ็กเกอร์ที่ผิดจรรยาบรรณได้ค้นพบการรั่วไหลของข้อมูลนี้หรือไม่ แต่ธุรกิจและลูกค้าที่ได้รับผลกระทบควรเตรียมพร้อมสำหรับภัยคุกคามที่อาจเกิดขึ้นดังต่อไปนี้
การหลอกลวงและการฉ้อโกง
PII ที่เปิดเผยทำให้ลูกค้าเสี่ยงต่อการพยายามฉ้อโกง ตัวอย่างเช่น ผู้กระทำผิดสามารถโทรหาเหยื่อและรับความไว้วางใจจากพวกเขาโดยการยืนยันข้อมูลการซื้อที่เกี่ยวข้องกับราคาและวันที่ทำธุรกรรม หรือแม้แต่ตัวเลขสี่หลักสุดท้ายของหมายเลขบัตรเครดิต
หลังจากได้รับความไว้วางใจ ผู้กระทำผิดสามารถได้รับข้อมูลเพิ่มเติมจากเหยื่อ ซึ่งจะทำให้พวกเขาสามารถทำร้ายจริงได้โดยการเข้าถึงธนาคารหรือใช้ข้อมูลบัตรเครดิตในทางที่ผิด
ขโมยบัญชี
การรั่วไหลประกอบด้วยโทเค็นของบัญชี ซึ่งน่าจะเป็นของธุรกิจที่ใช้เซิร์ฟเวอร์ StoreHub ผู้ไม่หวังดีสามารถใช้โทเค็นเหล่านี้เพื่อเข้าสู่ระบบในฐานะธุรกิจหรือลูกค้า และอาจแก้ไขรายละเอียดบัญชี
ซึ่งอาจส่งผลเสียต่อธุรกิจได้หลายวิธี ขึ้นอยู่กับว่าผู้ร้ายเลือกทำอะไร ด้วยเหตุผลทางจริยธรรม เราไม่สามารถทดสอบความสามารถของโทเค็นที่เปิดเผยได้ อย่างไรก็ตาม ตัวอย่างทางทฤษฎีคือพวกเขาสามารถอนุญาตให้ผู้ไม่หวังดีแก้ไขเมนูในบัญชีของร้านอาหารหรือลบรายชื่อของธุรกิจทั้งหมด โทเค็นที่ถูกเปิดเผยอาจทำให้ลูกค้าตกอยู่ในความเสี่ยง เนื่องจากผู้ไม่หวังดีอาจปรับเปลี่ยนไซต์เพื่อรวบรวม PII ที่ละเอียดอ่อนยิ่งขึ้นและประนีประนอมกับเหยื่อเพิ่มเติม
ความเสี่ยงจากการขโมยทรัพย์สินของลูกค้า
ข้อมูลรายละเอียดจากการรั่วไหลสร้างช่องโหว่มากมายให้กับลูกค้า ข้อมูลในการรั่วไหลอาจทำให้ผู้ไม่หวังดีติดตามและสกัดกั้นคำสั่งซื้อที่ลูกค้าได้ชำระเงินไปแล้ว
การรั่วไหลยังบ่งบอกถึงเวลาที่ลูกค้าบางคนมักออกจากบ้าน ในมือที่ไม่ถูกต้อง ข้อมูลนี้อาจทำให้ทรัพย์สินของลูกค้าเสี่ยงต่อการบุกรุกทางกายภาพ
ความเสี่ยงจากการโจรกรรมทรัพย์สินสำหรับธุรกิจ
ข้อมูลรั่วไหลประกอบด้วยรายการเวลาเช็คอินและเช็คเอาต์ของพนักงานที่ยาวนาน ซึ่งบอกผู้ไม่ประสงค์ดีว่ามีพนักงานอยู่ในร้านกี่คนในช่วงเวลาที่กำหนด หากพวกเขาตั้งใจที่จะบุกเข้าไปในธุรกิจและขโมยจากธุรกิจ ข้อมูลนี้จะช่วยในการโจรกรรม
การป้องกันการเปิดเผยข้อมูล
คุณสามารถทำอะไรได้บ้างเพื่อปกป้องข้อมูลของคุณและลดความเสี่ยงของอาชญากรรมในโลกไซเบอร์
วิธีลดความเสี่ยงในการเปิดเผยข้อมูลมีดังนี้
- ให้ข้อมูลส่วนบุคคลของคุณแก่บุคคลและบริษัทที่คุณไว้วางใจเท่านั้น
- เยี่ยมชมเว็บไซต์ที่ปลอดภัยเท่านั้น เว็บไซต์ที่ปลอดภัยมีชื่อโดเมนที่ขึ้นต้นด้วย 'https' และ/หรือสัญลักษณ์ล็อคแบบปิด
- โปรดใช้ความระมัดระวังเป็นพิเศษเมื่อถูกขอให้ระบุข้อมูลส่วนบุคคลในรูปแบบที่สำคัญที่สุด (เช่น หมายเลขประกันสังคม หมายเลขบัตรประจำตัวประชาชน และความชอบส่วนบุคคล)
- สร้างบัญชีตัวแทน รหัสผ่านที่แข็งแกร่งมาก โดยใช้ตัวอักษร ตัวพิมพ์ใหญ่ ตัวเลข และสัญลักษณ์ผสมกัน อัปเดตรหัสผ่านของคุณเป็นประจำ
- ห้ามรีไซเคิลรหัสผ่านในบริการต่างๆ ใช้ จัดการรหัสผ่าน ในกรณีที่จำเป็น
- อย่าคลิกลิงก์ในอีเมล ข้อความ SMS หรือที่อื่นบนอินเทอร์เน็ต เว้นแต่คุณจะแน่ใจโดยสมบูรณ์ว่าแหล่งที่มา/ผู้ส่งเป็นของแท้ หากไม่แน่ใจ ให้ไปที่เว็บไซต์ของบริษัทและค้นหาลิงก์ในนั้น
- แก้ไขการตั้งค่าความเป็นส่วนตัวของโซเชียลมีเดีย บัญชีของคุณควรแสดงเฉพาะเนื้อหาและรายละเอียดส่วนบุคคลต่อผู้ใช้และเพื่อนที่เชื่อถือได้เท่านั้น
- จำกัดงานที่คุณทำและข้อมูลที่คุณแสดงเมื่อเชื่อมต่อกับ Wi-Fi สาธารณะ ตัวอย่างเช่น อย่าซื้อผลิตภัณฑ์และพิมพ์รายละเอียดบัตรเครดิตของคุณใน WiFi สาธารณะ
- ใช้แหล่งข้อมูลออนไลน์เพื่อ เรียนรู้เกี่ยวกับอาชญากรรมไซเบอร์การปกป้องข้อมูล และขั้นตอนที่คุณสามารถทำได้เพื่อหลีกเลี่ยงการโจมตีแบบฟิชชิงและมัลแวร์
เกี่ยวกับเรา
SafetyDetective.com เป็นเว็บไซต์ตรวจสอบแอนตี้ไวรัสที่ใหญ่ที่สุดในโลก
ห้องปฏิบัติการวิจัย SafetyDetectives เป็นบริการที่เป็นประโยชน์ซึ่งมีจุดมุ่งหมายเพื่อช่วยชุมชนออนไลน์ในการป้องกันตัวเองจากภัยคุกคามทางไซเบอร์ในขณะที่ให้ความรู้แก่องค์กรเกี่ยวกับวิธีการปกป้องข้อมูลของผู้ใช้ วัตถุประสงค์ที่ครอบคลุมของโครงการการทำแผนที่เว็บของเราคือการช่วยให้อินเทอร์เน็ตเป็นที่ที่ปลอดภัยยิ่งขึ้นสำหรับผู้ใช้ทุกคน
รายงานก่อนหน้านี้ของเราได้เปิดเผยช่องโหว่และการรั่วไหลของข้อมูลระดับสูงหลายรายการ รวมถึงผู้ใช้กว่า 200 ล้านคนที่เปิดเผยโดย Socialarks บริษัทจัดการโซเชียลมีเดียของจีน, เช่นเดียวกับการละเมิดที่ แพลตฟอร์มผู้รวมอีคอมเมิร์ซของบราซิล Hariexpress ที่รั่วไหลกว่า 1.75 พันล้านบันทึก
สำหรับการตรวจสอบการรายงานความปลอดภัยทางไซเบอร์ของ SafetyDetectives ฉบับสมบูรณ์ในช่วง 3 ปีที่ผ่านมา ติดตามได้ที่ ทีมนักสืบความปลอดภัยทางไซเบอร์.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- เกี่ยวกับเรา
- เข้า
- การเข้าถึง
- ตาม
- ลงชื่อเข้าใช้
- ได้รับ
- ข้าม
- ที่อยู่
- ที่อยู่
- น่าสงสาร
- กับ
- ทั้งหมด
- แล้ว
- อเมซอน
- Amazon Web Services
- การวิเคราะห์
- โปรแกรมป้องกันไวรัส
- ทุกแห่ง
- เอเชีย
- ธนาคาร
- ราว
- ด้านล่าง
- ระหว่าง
- พันล้าน
- พันล้าน
- ช่องโหว่
- รายละเอียด
- ธุรกิจ
- ธุรกิจ
- โทรศัพท์
- ความสามารถในการ
- ระมัดระวัง
- การก่อให้เกิด
- บาง
- หัวหน้า
- ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี
- Choose
- ปิด
- เสื้อผ้า
- รวบรวม
- การผสมผสาน
- ชุมชน
- บริษัท
- บริษัท
- บริษัท
- อย่างสมบูรณ์
- งานที่เชื่อมต่อ
- มี
- เนื้อหา
- ได้
- ประเทศ
- สร้าง
- เครดิต
- บัตรเครดิต
- ขณะนี้
- ลูกค้า
- ลูกค้า
- ไซเบอร์
- อาชญากรรม
- cybersecurity
- ข้อมูล
- ข้อมูลรั่วไหล
- การป้องกันข้อมูล
- การจัดส่ง
- ทั้งนี้ขึ้นอยู่กับ
- รายละเอียด
- รายละเอียด
- เครื่อง
- ตัวเลข
- ค้นพบ
- แสดง
- โดเมน
- ลง
- ในระหว่าง
- E-commerce
- อีคอมเมิร์ซ
- การให้ความรู้
- อีเมล
- พนักงาน
- การเข้ารหัสลับ
- ประมาณการ
- ฯลฯ
- ตามหลักจริยธรรม
- เผง
- ตัวอย่าง
- ที่เปิดเผย
- หา
- ปฏิบัติตาม
- ดังต่อไปนี้
- อาหาร
- รูปแบบ
- ก่อตั้งขึ้นเมื่อ
- การหลอกลวง
- ราคาเริ่มต้นที่
- เต็ม
- ต่อไป
- ดึงดูด
- โดยทั่วไป
- รัฐบาล
- แฮกเกอร์
- แฮ็ค
- สำนักงานใหญ่
- ช่วย
- ประวัติ
- โฮสติ้ง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- อย่างไรก็ตาม
- HTTPS
- สำคัญ
- ประกอบด้วย
- รวมถึง
- รวมทั้ง
- เป็นรายบุคคล
- บุคคล
- ข้อมูล
- อินเทอร์เน็ต
- สินค้าคงคลัง
- IT
- ตัวเอง
- มกราคม
- ห้องปฏิบัติการ
- ใหญ่ที่สุด
- รั่วไหล
- การรั่วไหล
- ทิ้ง
- เบา
- น่าจะ
- เส้น
- LINK
- การเชื่อมโยง
- รายการ
- รายการ
- นาน
- ความจงรักภักดี
- สำคัญ
- ทำ
- มาเลเซีย
- มัลแวร์
- การจัดการ
- การทำแผนที่
- ภาพบรรยากาศ
- สมาชิก
- ข้อความ
- ล้าน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- หลาย
- ชื่อ
- จำนวน
- ตัวเลข
- เสนอ
- เจ้าหน้าที่
- ออนไลน์
- เปิด
- ใบสั่ง
- คำสั่งซื้อ
- องค์กร
- ต้องจ่าย
- ในสิ่งที่สนใจ
- รหัสผ่าน
- การชำระเงิน
- คน
- ระยะเวลา
- ส่วนบุคคล
- ฟิชชิ่ง
- การโจมตีแบบฟิชชิ่ง
- กายภาพ
- ทางร่างกาย
- ชิ้น
- เวที
- จุด
- PoS
- ที่มีศักยภาพ
- ก่อน
- ราคา
- ความเป็นส่วนตัว
- มือโปร
- กระบวนการ
- ผลิตภัณฑ์
- โปรแกรม
- โครงการ
- คุณสมบัติ
- ป้องกัน
- การป้องกัน
- ให้
- ผู้จัดหา
- ให้
- สาธารณะ
- ซื้อ
- การซื้อสินค้า
- วัตถุประสงค์
- เหตุผล
- ที่ได้รับ
- ระเบียน
- บันทึก
- ภูมิภาค
- รายงาน
- การวิจัย
- คำตอบ
- รับผิดชอบ
- ร้านอาหาร
- ร้านอาหาร
- ค้าปลีก
- ทบทวน
- ความเสี่ยง
- กฎระเบียบ
- ปลอดภัยมากขึ้น
- การขาย
- ขาย
- ปลอดภัย
- ปลอดภัย
- ความปลอดภัย
- บริการ
- บริการ
- ร้านขายของ
- ตั้งแต่
- เว็บไซต์
- SMS
- So
- สังคม
- โซเชียลมีเดีย
- ซอฟต์แวร์
- บาง
- โดยเฉพาะ
- จัดเก็บ
- ร้านค้า
- ระบบ
- งาน
- ทีม
- เทคโนโลยี
- บอก
- ทดสอบ
- พื้นที่
- การโจรกรรม
- พัน
- ภัยคุกคาม
- ครั้ง
- ราชสกุล
- เครื่องมือ
- ลู่
- การติดตาม
- การทำธุรกรรม
- วางใจ
- ที่เชื่อถือ
- บันทึก
- us
- ใช้
- ผู้ใช้
- ความหลากหลาย
- ผู้ที่ตกเป็นเหยื่อ
- ช่องโหว่
- อ่อนแอ
- วิธี
- เว็บ
- บริการเว็บ
- Website
- เว็บไซต์
- อะไร
- ในขณะที่
- WHO
- Wi-Fi
- อินเตอร์เน็ตไร้สาย
- ไม่มี
- ของโลก
- จะ
- ปี
- ของคุณ