Команда Детективи безпеки Команда з кібербезпеки виявила значний витік даних, який вплинув на програмну компанію StoreHub.
StoreHub базується в Малайзії і надає програмну систему для точки продажу (POS), яка в основному використовується в ресторанах і роздрібних магазинах.
Відкриті дані зберігалися на сервері Elasticsearch StoreHub, який залишався відкритим без будь-якого захисту паролем або шифрування. Незахищений сервер потенційно скомпрометував інформацію про тисячі ресторанів і роздрібних магазинів, а також їх персонал і приблизно 1 мільйон клієнтів.
Хто такий StoreHub?
StoreHub було засновано в 2013 році в Малайзії і наразі має штаб-квартиру в Петалінг-Джая. За даними веб-сайту, їхнім продуктом користуються понад 15,000 XNUMX компаній, переважно в регіоні Південно-Східної Азії.
Компанія продає програмне забезпечення для POS в основному підприємствам, що пропонують харчування (продукти харчування та напої), таким як ресторани, а також роздрібним магазинам.
POS програмне забезпечення в основному використовується для обробки та запису покупок і транзакцій у клієнтських підприємствах (ресторанах, кафе, барах, магазинах тощо), а також для видачі квитанцій та відстеження продажів окремих товарів, наприклад, харчування в ресторані або окремі предмети одягу в магазині.
StoreHub також пропонує повний набір інструментів управління бізнесом та аналітики. До них належать електронна комерція та онлайн-доставка, управління запасами, управління персоналом, програми лояльності та аналітика клієнтів.
У результаті StoreHub зміг зібрати дані від понад 1 мільйона людей з усієї Південно-Східної Азії – насамперед клієнтів компаній, які використовують його програмне забезпечення.
Що було розкрито?
Наша команда з кібербезпеки виявила, що Storehub неправильно налаштував один зі своїх серверів Elasticsearch, що призвело до витоку понад 1.7 мільярдів записів і понад 1 терабайта даних. Це виявило майже 1 мільйон клієнтів у Малайзії та потенційно в країнах Південно-Східної Азії.
StoreHub продає POS програмне забезпечення підприємствам, які орієнтовані на клієнтів, тому відкриті дані поділяються на дві категорії:
- Дані від клієнтів компаній, які використовують StoreHub
- Дані від компаній, які використовують StoreHub
Дані від клієнтів компаній, які використовують StoreHub
Розкрита персональна інформація (PII) від клієнтів включає:
- Повні імена
- Номери телефонів
- Фізичні адреси
- Адреси електронної пошти
- Тип використовуваного пристрою
Сервер також відкриває дані, пов’язані з платежами та інформацією про замовлення, що належать клієнтам, відкриваючи ідентифікаційні дані, такі як:
- Дати транзакцій
- Замовлені товари
- Розташування магазинів
Деякі деталі замовлення показують частково замасковану інформацію про кредитну картку.
Дані від компаній, які використовують StoreHub
Витік також торкнувся компаній, які використовують StoreHub, та їхніх співробітників. Витока інформації від компаній включає:
- Час заїзду/виїзду співробітників
- Імена співробітників
- Назви магазинів
- Зберігайте фізичні адреси
- Зберігайте електронні адреси
Наша команда з кібербезпеки також помітила витік токенів доступу, які зловмисні особи могли використовувати для входу на веб-сайти компаній та їх модифікації, що потенційно може завдати більше шкоди. Що ми не змогли перевірити з етичних міркувань.
У таблиці нижче показано розбивку цього витоку даних StoreHub.
Кількість витоків записів | Понад 1.7 млрд |
Кількість постраждалих користувачів | Прибл. 1 мільйон |
Розмір витоку | Понад 1 ТБ |
Розташування сервера | Сінгапур |
Місцезнаходження компанії | Петалінг Джая, Малайзія |
Наша команда з кібербезпеки виявила цей витік 12 січня 2022 року. Здається, що вміст сервера було розкрито принаймні з кінця листопада 2021 року.
Виявивши витік, наша команда з кібербезпеки дотримувалася правил етичного злому, залишивши сервер і дані недоторканими, а потім зв’язавшись із відповідальною компанією.
Ми надіслали електронний лист StoreHub, як тільки виявили витік. 18 січня ми надіслали їм додаткову електронну пошту та надіслали електронного листа головному технологічному директору StoreHub. Ми не отримали відповіді до 27 січня, тому зв’язалися з малайзійським CERT та Amazon Web Services (хостинговою компанією). Обидва відреагували оперативно.
28 січня ми змогли повідомити про витік малайзійському CERT. 2 лютого малайзійський CERT попросив нас надати додаткову інформацію, але на той час сервер був захищений. За нашими оцінками, сервер був захищений у період з 28 січня по 2 лютого.
Вплив витоку даних
Розкрита ідентифікаційна інформація робить жертв уразливими до крадіжок і шахрайства з боку поганих акторів, які отримують інформацію про ідентифікаційну інформацію.
У нас немає можливості підтвердити, чи неетичні хакери виявили цей витік даних, але постраждалі підприємства та клієнти повинні бути напоготові щодо наступних потенційних загроз.
Шахрайство та шахрайство
Розкрита ідентифікаційна інформація робить клієнтів вразливими до спроб шахрайства. Наприклад, погані актори можуть зателефонувати жертвам і завоювати їхню довіру, підтвердивши інформацію про покупку, яка містить ціну та дату транзакції — або навіть останні чотири цифри номера кредитної картки.
Здобувши довіру, погані актори могли отримати від жертви додаткову інформацію, яка потім могла б дозволити їм завдати реальної шкоди, отримавши доступ до свого банку або зловживаючи інформацією кредитної картки.
Крадіжка облікового запису
Витік містить токени облікових записів, які, швидше за все, належать компаніям, які використовують сервер StoreHub. Погані суб’єкти можуть використовувати ці токени для входу як компанії чи клієнти та потенційно змінювати дані облікового запису.
Це може завдати шкоди бізнесу різними способами, залежно від того, що вирішать робити погані суб’єкти. З етичних міркувань ми не можемо перевірити можливості відкритих маркерів. Однак теоретичний приклад полягає в тому, що вони можуть дозволити поганим акторам змінювати меню в обліковому записі ресторану або повністю видаляти список компанії. Відкриті токени також можуть поставити клієнтів під загрозу, оскільки погані суб’єкти потенційно можуть змінити сайт, щоб зібрати ще більш конфіденційні ідентифікаційні дані та ще більше скомпрометувати жертв.
Ризик крадіжки майна для клієнтів
Детальна інформація з витоку створює багато вразливостей для клієнтів. Інформація у витоку може дозволити поганим особам відстежувати й перехоплювати замовлення, за які клієнт уже заплатив.
Витік також вказує на час, коли деякі клієнти зазвичай залишають свої домівки. У неправильних руках ця інформація може поставити майно клієнтів під загрозу фізичного злому.
Ризик крадіжки майна для бізнесу
Витік містить довгі списки часу заїзду та виписки персоналу, який точно повідомляє поганим акторам, скільки співробітників зазвичай перебуває в магазині в певний час. Якби вони мали намір фізично проникнути в бізнес і вкрасти, ця інформація допомогла б у крадіжці.
Запобігання доступу даних
Що ви можете зробити, щоб захистити свої дані та мінімізувати ризик кіберзлочинності?
Нижче наведено кілька способів мінімізації ризику розкриття даних:
- Надавайте свою особисту інформацію лише особам і компаніям, яким ви довіряєте.
- Відвідуйте лише захищені веб-сайти. Захищені веб-сайти мають доменні імена, які починаються з "https" та/або символу закритого замка.
- Будьте особливо обережні, коли просять надати найважливіші форми особистої інформації (наприклад, номери соціального страхування, державні ідентифікаційні номери та особисті переваги).
- Створювати супернадійні паролі використання комбінації літер, великих, цифр і символів. Регулярно оновлюйте паролі.
- Не переробляйте паролі в службах. Використовуйте a Password Manager якщо необхідно
- Не натискайте посилання в електронних листах, SMS-повідомленнях або в будь-якому іншому місці в Інтернеті, якщо ви повністю не впевнені, що джерело/відправник є справжнім. Якщо ви взагалі не впевнені, перейдіть на веб-сайт компанії та знайдіть там посилання.
- Змініть налаштування конфіденційності в соціальних мережах. Ваші облікові записи повинні відображати ваш вміст та особисті дані лише надійним користувачам і друзям.
- Обмежте завдання, які ви виконуєте, та інформацію, яку ви відображаєте під час підключення до загальнодоступної мережі Wi-Fi. Наприклад, не купуйте продукт і не вводьте дані своєї кредитної картки в загальнодоступному Wi-Fi.
- Використовуйте інтернет-джерела для дізнатися про кіберзлочинність, захист даних та дії, які можна вжити, щоб уникнути фішингових атак і зловмисного програмного забезпечення.
Про нас
SafetyDetectives.com це найбільший у світі веб-сайт огляду антивірусів.
Дослідницька лабораторія SafetyDetectives — це безкоштовна послуга, яка покликана допомогти онлайн-спільноті захиститися від кіберзагроз, а також навчати організації, як захистити дані своїх користувачів. Основна мета нашого проекту веб-картографування — допомогти зробити Інтернет безпечнішим місцем для всіх користувачів.
Наші попередні звіти виявили численні гучні вразливості та витоки даних, у тому числі близько 200+ мільйонів користувачів, виявлених Китайська компанія з управління соціальними мережами Socialarks, а також порушення в Бразильська платформа для інтеграції електронної комерції Hariexpress який витік понад 1.75 мільярда записів.
Щоб отримати повний огляд звітів про кібербезпеку SafetyDetectives за останні 3 роки, див. Команда кібербезпеки SafetyDetectives.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- МЕНЮ
- доступ
- доступ до
- За
- рахунки
- набувати
- через
- адреса
- адреси
- зачіпає
- проти
- ВСІ
- вже
- Amazon
- Amazon Web Services
- аналітика
- антивірус
- де-небудь
- Азія
- Банк
- бари
- нижче
- між
- Мільярд
- мільярди
- порушення
- Пробій
- бізнес
- підприємства
- call
- можливості
- обережний
- викликаючи
- певний
- головний
- Головний технічний директор
- Вибирати
- закрито
- одяг
- збирати
- поєднання
- співтовариство
- Компанії
- компанія
- Компанії
- повністю
- підключений
- містить
- зміст
- може
- країни
- створює
- кредит
- кредитна картка
- В даний час
- клієнт
- Клієнти
- кібер-
- кіберзлочинності
- Кібербезпека
- дані
- витік даних
- захист даних
- доставка
- Залежно
- докладно
- деталі
- пристрій
- цифр
- відкритий
- дисплей
- домен
- вниз
- під час
- e-commerce
- електронної комерції
- освіту
- співробітників
- шифрування
- оцінити
- і т.д.
- етичний
- точно
- приклад
- піддаватися
- виявлення
- стежити
- після
- харчування
- форми
- Заснований
- шахрайство
- від
- Повний
- далі
- набирає
- в цілому
- Уряд
- хакери
- злом
- Штаб-квартира
- допомога
- історія
- хостинг
- Як
- How To
- Однак
- HTTPS
- важливо
- включати
- includes
- У тому числі
- індивідуальний
- осіб
- інформація
- інтернет
- інвентаризація
- IT
- сам
- січня
- lab
- найбільших
- витік
- Витоку
- Залишати
- світло
- Ймовірно
- ліній
- LINK
- зв'язку
- список
- списки
- Довго
- Лояльність
- основний
- зробити
- Малайзія
- шкідливих програм
- управління
- відображення
- Медіа
- члени
- повідомлення
- мільйона
- більше
- найбільш
- множинний
- Імена
- номер
- номера
- Пропозиції
- Офіцер
- онлайн
- відкрити
- порядок
- замовлень
- організації
- оплачувану
- приватність
- Паролі
- платежі
- Люди
- period
- персонал
- phishing
- фішинг-атаки
- фізичний
- Фізично
- частин
- платформа
- точка
- PoS
- потенціал
- попередній
- price
- недоторканність приватного життя
- Pro
- процес
- Product
- програми
- проект
- власність
- захист
- захист
- забезпечувати
- Постачальник
- забезпечує
- громадськість
- покупка
- Купівля
- мета
- Причини
- отримано
- запис
- облік
- регіон
- Звіти
- дослідження
- відповідь
- відповідальний
- ресторан
- ресторан
- роздрібна торгівля
- огляд
- Risk
- Правила
- безпечніше
- sale
- продажів
- безпечний
- Забезпечений
- безпеку
- обслуговування
- Послуги
- магазинів
- з
- сайт
- SMS
- So
- соціальна
- соціальні медіа
- Софтвер
- деякі
- конкретний
- зберігати
- магазинів
- система
- завдання
- команда
- Технологія
- розповідає
- тест
- Команда
- крадіжка
- тисячі
- загрози
- times
- Жетони
- інструменти
- трек
- Відстеження
- Transactions
- Довіряйте
- Довірений
- Оновити
- us
- використання
- користувачі
- різноманітність
- жертви
- Уразливості
- Вразливий
- способи
- Web
- веб-сервіси
- веб-сайт
- веб-сайти
- Що
- в той час як
- ВООЗ
- Wi-Fi
- Wi-Fi
- без
- світі
- б
- років
- вашу