۔ سیفٹی ڈیٹیکٹوز سائبر سیکیورٹی ٹیم نے اسٹور ہب نامی سافٹ ویئر کمپنی کو متاثر کرنے والا ایک بڑا ڈیٹا لیک دریافت کیا ہے۔
StoreHub ملائیشیا میں مقیم ہے اور ایک پوائنٹ آف سیل (POS) سافٹ ویئر سسٹم فراہم کرتا ہے جو زیادہ تر ریستوراں اور ریٹیل اسٹورز میں استعمال ہوتا ہے۔
بے نقاب ڈیٹا اسٹور ہب کے Elasticsearch سرور پر محفوظ کیا گیا تھا جسے بغیر کسی پاس ورڈ کے تحفظ یا خفیہ کاری کے کھلا چھوڑ دیا گیا تھا۔ غیر محفوظ سرور نے ممکنہ طور پر ہزاروں ریستوراں اور ریٹیل اسٹورز کے ساتھ ساتھ ان کے عملے اور تقریباً 1 ملین صارفین کی معلومات سے سمجھوتہ کیا۔
اسٹور ہب کون ہے؟
اسٹور ہب کی بنیاد 2013 میں ملائیشیا میں رکھی گئی تھی اور اس وقت اس کا ہیڈ کوارٹر پیٹلنگ جایا میں ہے۔ ان کی مصنوعات کو ان کی ویب سائٹ کے مطابق 15,000 سے زیادہ کاروبار استعمال کرتے ہیں، بنیادی طور پر جنوب مشرقی ایشیا کے علاقے میں۔
کمپنی POS سافٹ ویئر کو بنیادی طور پر F&B (کھانے اور مشروبات) کے کاروبار، جیسے کہ ریستوراں، بلکہ ریٹیل اسٹورز کو بھی فروخت کرتی ہے۔
POS سافٹ ویئر کا استعمال بنیادی طور پر کسٹمرز کا سامنا کرنے والے کاروباروں (ریستورانوں، کیفے، بارز، دکانوں وغیرہ) میں خریداریوں اور لین دین کو پراسیس کرنے اور ریکارڈ کرنے کے ساتھ ساتھ رسیدیں جاری کرنے اور مخصوص اشیاء کی فروخت کا سراغ لگانے کے لیے کیا جاتا ہے - جیسے کہ ریستوراں میں کھانا، یا ایک دکان میں کپڑے کے انفرادی ٹکڑے۔
StoreHub بزنس مینجمنٹ ٹولز اور تجزیات کا ایک مکمل مجموعہ بھی پیش کرتا ہے۔ ان میں ای کامرس اور آن لائن ڈیلیوری، انوینٹری مینجمنٹ، ملازم مینجمنٹ، لائلٹی پروگرامز، اور کسٹمر اینالیٹکس شامل ہیں۔
نتیجے کے طور پر، StoreHub پورے جنوب مشرقی ایشیاء سے 1 ملین سے زیادہ لوگوں سے ڈیٹا اکٹھا کرنے میں کامیاب رہا – بنیادی طور پر اس کے سافٹ ویئر استعمال کرنے والے کاروبار کے صارفین۔
کیا بے نقاب ہوا؟
ہماری سائبرسیکیوریٹی ٹیم نے دریافت کیا کہ Storehub نے ان کے Elasticsearch سرور میں سے ایک کو غلط کنفیگر کیا تھا، جس کی وجہ سے اس سے 1.7 بلین ریکارڈ اور 1 ٹیرا بائٹ سے زیادہ ڈیٹا لیک ہوا۔ اس نے ملائیشیا اور ممکنہ طور پر جنوب مشرقی ایشیائی ممالک میں تقریباً 1 ملین صارفین کو بے نقاب کیا۔
اسٹور ہب کسٹمر کا سامنا کرنے والے کاروباروں کو POS سافٹ ویئر فروخت کرتا ہے، لہذا بے نقاب ڈیٹا دو قسموں میں آتا ہے:
- StoreHub استعمال کرنے والے کاروبار کے صارفین کا ڈیٹا
- StoreHub استعمال کرنے والے کاروباروں کا ڈیٹا
StoreHub استعمال کرنے والے کاروبار کے صارفین کا ڈیٹا
صارفین سے ظاہر ہونے والی ذاتی طور پر قابل شناخت معلومات (PII) میں شامل ہیں:
- مکمل نام
- فون نمبر
- جسمانی پتے
- ای میل ایڈریس
- استعمال شدہ آلہ کی قسم۔
سرور نے صارفین سے تعلق رکھنے والی ادائیگیوں اور آرڈر کی معلومات سے متعلق ڈیٹا کو بھی ظاہر کیا، PII کو بے نقاب کرتے ہوئے جیسے:
- لین دین کی تاریخیں۔
- آرڈر شدہ اشیاء
- اسٹور کے مقامات
آرڈر کی کچھ تفصیلات نے جزوی طور پر نقاب پوش کریڈٹ کارڈ کی معلومات کو بے نقاب کیا۔
StoreHub کا استعمال کرتے ہوئے کاروبار سے ڈیٹا
اس لیک نے اسٹور ہب اور ان کے عملے کے اراکین کو استعمال کرنے والے کاروبار کو بھی متاثر کیا۔ کاروبار سے لیک ہونے والی معلومات میں شامل ہیں:
- ملازمین سے چیک ان/چیک آؤٹ اوقات
- ملازمین کے نام
- اسٹور کے نام
- جسمانی پتے محفوظ کریں۔
- ای میل پتے اسٹور کریں۔
ہماری سائبرسیکیوریٹی ٹیم نے لیک شدہ رسائی ٹوکنز بھی دیکھے، جنہیں برے اداکار کاروبار کی ویب سائٹس میں لاگ ان کرنے اور ان میں ترمیم کرنے کے لیے استعمال کر سکتے ہیں، جس سے ممکنہ طور پر زیادہ نقصان ہو سکتا ہے۔ جسے ہم اخلاقی وجوہات کی بنا پر جانچ نہیں سکے۔
نیچے دی گئی جدول اس StoreHub ڈیٹا لیک کی خرابی کو ظاہر کرتی ہے۔
لیک ہونے والے ریکارڈز کی تعداد | 1.7 ارب سے زیادہ |
متاثرہ صارفین کی تعداد | تقریبا. 1 ملین |
رساو کا سائز | 1TB سے زیادہ |
سرور کا مقام | سنگاپور |
کمپنی کا مقام | پیٹرولنگ جیا ، ملائیشیا |
ہماری سائبرسیکیوریٹی ٹیم نے 12 جنوری 2022 کو اس لیک کو دریافت کیا۔ ایسا لگتا ہے کہ سرور کا مواد کم از کم نومبر 2021 کے آخر سے سامنے آیا ہے۔
لیک کا پتہ چلنے پر، ہماری سائبرسیکیوریٹی ٹیم نے سرور اور ڈیٹا کو اچھوت چھوڑ کر، پھر ذمہ دار کمپنی سے رابطہ کرکے اخلاقی ہیکنگ کے اصولوں پر عمل کیا۔
جیسے ہی ہمیں لیک کا پتہ چلا ہم نے StoreHub کو ای میل کیا۔ 18 جنوری کو، ہم نے انہیں ایک فالو اپ ای میل بھیجا اور ہم نے StoreHub کے چیف ٹیکنالوجی آفیسر کو ایک ای میل بھیجی۔ ہمیں 27 جنوری تک کوئی جواب نہیں ملا، اس لیے ہم نے ملائیشین سی ای آر ٹی اور ایمیزون ویب سروسز (میزبان کمپنی) سے رابطہ کیا۔ دونوں نے فوراً جواب دیا۔
ہم 28 جنوری کو ملائیشین سی ای آر ٹی کو لیک ہونے کا انکشاف کرنے میں کامیاب ہوئے۔ ہمارا اندازہ ہے کہ 2 جنوری سے 28 فروری کے درمیان سرور کو محفوظ کیا گیا تھا۔
ڈیٹا لیک کا اثر
بے نقاب PII متاثرین کو خراب اداکاروں سے چوری اور دھوکہ دہی کا شکار بناتا ہے جو PII کی تفصیلات پر ہاتھ ڈالتے ہیں۔
ہمارے پاس اس بات کی تصدیق کرنے کا کوئی طریقہ نہیں ہے کہ آیا غیر اخلاقی ہیکرز نے یہ ڈیٹا لیک دریافت کیا ہے، لیکن متاثرہ کاروبار اور صارفین کو درج ذیل ممکنہ خطرات کے لیے چوکنا رہنا چاہیے۔
گھوٹالے اور فراڈ
بے نقاب PII صارفین کو دھوکہ دہی کی کوششوں کا شکار بناتا ہے۔ مثال کے طور پر، برے اداکار متاثرین کو کال کر سکتے ہیں اور لین دین کی قیمت اور تاریخ پر مشتمل خریداری کی معلومات کی تصدیق کر کے ان کا اعتماد حاصل کر سکتے ہیں—یا کریڈٹ کارڈ نمبر کے آخری چار ہندسے بھی۔
اعتماد حاصل کرنے کے بعد، برے اداکار متاثرہ سے مزید معلومات حاصل کر سکتے ہیں جس کے بعد وہ اپنے بینک تک رسائی حاصل کر کے یا کریڈٹ کارڈ کی معلومات کا غلط استعمال کر کے حقیقی نقصان پہنچا سکتے ہیں۔
اکاؤنٹ کی چوری
لیک میں اکاؤنٹ ٹوکنز شامل ہیں، جن کا زیادہ تر امکان اسٹور ہب سرور استعمال کرنے والے کاروبار سے ہے۔ خراب اداکار ان ٹوکنز کا استعمال کاروبار یا صارفین کے طور پر لاگ ان کرنے اور ممکنہ طور پر اکاؤنٹ کی تفصیلات میں ترمیم کرنے کے لیے کر سکتے ہیں۔
یہ کاروبار کو مختلف طریقوں سے نقصان پہنچا سکتا ہے، اس پر منحصر ہے کہ برے اداکار کیا کرنا چاہتے ہیں۔ اخلاقی وجوہات کی بنا پر، ہم بے نقاب ٹوکنز کی صلاحیتوں کی جانچ نہیں کر سکتے۔ تاہم، ایک نظریاتی مثال یہ ہے کہ وہ خراب اداکاروں کو ریستوران کے اکاؤنٹ پر مینو میں ترمیم کرنے یا کاروبار کی فہرست کو مکمل طور پر ختم کرنے کی اجازت دے سکتے ہیں۔ بے نقاب ٹوکن بھی صارفین کو خطرے میں ڈال سکتے ہیں، کیونکہ خراب اداکار ممکنہ طور پر اس سے بھی زیادہ حساس PII جمع کرنے اور متاثرین کے ساتھ مزید سمجھوتہ کرنے کے لیے سائٹ کو تبدیل کر سکتے ہیں۔
صارفین کے لیے جائیداد کی چوری کا خطرہ
لیک سے تفصیلی معلومات صارفین کے لیے بہت سے خطرات پیدا کرتی ہیں۔ لیک میں موجود معلومات خراب اداکاروں کو ان آرڈرز کو ٹریک کرنے اور روکنے کی اجازت دے سکتی ہے جن کے لیے گاہک پہلے ہی ادائیگی کر چکا ہے۔
لیک اس وقت کی بھی نشاندہی کرتا ہے جب کچھ گاہک عام طور پر اپنے گھر چھوڑ دیتے ہیں۔ غلط ہاتھوں میں، یہ معلومات گاہکوں کی جائیداد کو جسمانی وقفے کے خطرے میں ڈال سکتی ہے۔
کاروبار کے لیے جائیداد کی چوری کا خطرہ
لیک میں عملے کے چیک ان اور چیک آؤٹ کے اوقات کی لمبی فہرستیں شامل ہیں، جو خراب اداکاروں کو بتاتی ہے کہ مخصوص اوقات کے دوران عام طور پر کتنے ملازمین اسٹور میں ہوتے ہیں۔ اگر وہ جسمانی طور پر داخل ہونے اور کاروبار سے چوری کرنے کا ارادہ رکھتے ہیں، تو یہ معلومات چوری میں مدد کرے گی۔
ڈیٹا کی نمائش کو روکنا
آپ اپنے ڈیٹا کی حفاظت اور سائبر کرائم کے خطرے کو کم کرنے کے لیے کیا کر سکتے ہیں؟
یہاں کچھ طریقے ہیں جن سے آپ اپنے ڈیٹا کی نمائش کے خطرے کو کم کر سکتے ہیں:
- اپنی ذاتی معلومات صرف ان افراد اور کمپنیوں کو فراہم کریں جن پر آپ اعتماد کرتے ہیں۔
- صرف محفوظ ویب سائٹس دیکھیں۔ محفوظ ویب سائٹس کے ڈومین نام ہوتے ہیں جو 'https' اور/یا بند لاک علامت سے شروع ہوتے ہیں۔
- جب ذاتی معلومات کی سب سے اہم شکلیں فراہم کرنے کے لیے کہا جائے تو زیادہ محتاط رہیں (یعنی سوشل سیکیورٹی نمبرز، گورنمنٹ آئی ڈی نمبرز، اور ذاتی ترجیحات)۔
- تخلیق کریں انتہائی مضبوط پاس ورڈز حروف، بڑے حروف، اعداد اور علامتوں کا مجموعہ استعمال کرتے ہوئے اپنے پاس ورڈز کو باقاعدگی سے اپ ڈیٹ کریں۔
- تمام سروسز میں پاس ورڈز کو ری سائیکل نہ کریں۔ استعمال کریں پاس ورڈ مینیجر اگر ضروری ہوا
- ای میلز، ایس ایم ایس پیغامات، یا انٹرنیٹ پر کسی اور جگہ کے لنکس پر کلک نہ کریں جب تک کہ آپ کو مکمل طور پر یقین نہ ہو کہ ذریعہ/بھیجنے والا حقیقی ہے۔ اگر بالکل بھی یقین نہیں ہے تو، کمپنی کی ویب سائٹ پر جائیں اور وہاں لنک تلاش کریں۔
- اپنی سوشل میڈیا پرائیویسی سیٹنگز میں ترمیم کریں۔ آپ کے اکاؤنٹس کو صرف آپ کے مواد اور ذاتی تفصیلات کو قابل اعتماد صارفین اور دوستوں کو دکھانا چاہیے۔
- ان کاموں کو محدود کریں جو آپ انجام دیتے ہیں اور جو معلومات آپ عوامی Wi-Fi سے منسلک ہونے پر ظاہر کرتے ہیں۔ مثال کے طور پر، کوئی پروڈکٹ نہ خریدیں اور عوامی وائی فائی پر اپنے کریڈٹ کارڈ کی تفصیلات ٹائپ نہ کریں۔
- آن لائن ذرائع استعمال کریں۔ سائبر کرائم کے بارے میں جانیں۔، ڈیٹا کا تحفظ، اور وہ اقدامات جو آپ فشنگ حملوں اور مالویئر سے بچنے کے لیے اٹھا سکتے ہیں۔
ہمارے متعلق
SafetyDetectives.com دنیا کی سب سے بڑی اینٹی وائرس ریویو ویب سائٹ ہے۔
سیفٹی ڈیٹیکٹیوز ریسرچ لیب ایک بونیو سروس ہے جس کا مقصد آن لائن کمیونٹی کو سائبر خطرات کے خلاف اپنے دفاع میں مدد کرنا ہے جبکہ تنظیموں کو اپنے صارفین کے ڈیٹا کی حفاظت کے بارے میں تعلیم دینا ہے۔ ہمارے ویب میپنگ پروجیکٹ کا بنیادی مقصد انٹرنیٹ کو تمام صارفین کے لیے محفوظ جگہ بنانے میں مدد کرنا ہے۔
ہماری پچھلی رپورٹس نے متعدد ہائی پروفائل خطرات اور ڈیٹا لیکس کو سامنے لایا ہے، بشمول تقریباً 200+ ملین صارفین چینی سوشل میڈیا مینجمنٹ کمپنی Socialarks, اس کے ساتھ ساتھ ایک خلاف ورزی پر برازیلی ای کامرس انٹیگریٹر پلیٹ فارم ہیری ایکسپریس جس نے 1.75 بلین سے زیادہ ریکارڈ لیک کر دیے۔
پچھلے 3 سالوں میں SafetyDetectives سائبر سیکیورٹی رپورٹنگ کے مکمل جائزے کے لیے، پیروی کریں سیفٹی ڈیٹیکٹیو سائبر سیکیورٹی ٹیم.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- ہمارے بارے میں
- تک رسائی حاصل
- تک رسائی حاصل
- کے مطابق
- اکاؤنٹ
- حاصل
- کے پار
- پتہ
- پتے
- کو متاثر
- کے خلاف
- تمام
- پہلے ہی
- ایمیزون
- ایمیزون ویب سروسز
- تجزیاتی
- ینٹیوائرس
- کہیں
- ایشیا
- بینک
- سلاکھون
- نیچے
- کے درمیان
- ارب
- اربوں
- خلاف ورزی
- خرابی
- کاروبار
- کاروبار
- فون
- صلاحیتوں
- ہوشیار
- باعث
- کچھ
- چیف
- چیف ٹیکنالوجی افسر
- میں سے انتخاب کریں
- بند
- کپڑے.
- جمع
- مجموعہ
- کمیونٹی
- کمپنیاں
- کمپنی کے
- کمپنی کی
- مکمل طور پر
- منسلک
- پر مشتمل ہے
- مواد
- سکتا ہے
- ممالک
- پیدا
- کریڈٹ
- کریڈٹ کارڈ
- اس وقت
- گاہک
- گاہکوں
- سائبر
- سائبر جرائم
- سائبر سیکیورٹی
- اعداد و شمار
- ڈیٹا لیک
- ڈیٹا کے تحفظ
- ترسیل
- منحصر ہے
- تفصیلی
- تفصیلات
- آلہ
- ہندسے
- دریافت
- دکھائیں
- ڈومین
- نیچے
- کے دوران
- ای کامرس
- ای کامرس
- کی تعلیم
- ای میل
- ملازمین
- خفیہ کاری
- تخمینہ
- وغیرہ
- اخلاقی
- بالکل
- مثال کے طور پر
- ظاہر
- تلاش
- پر عمل کریں
- کے بعد
- کھانا
- فارم
- قائم
- دھوکہ دہی
- سے
- مکمل
- مزید
- حاصل کرنا
- عام طور پر
- حکومت
- ہیکروں
- ہیکنگ
- ہیڈکوارٹر
- مدد
- تاریخ
- ہوسٹنگ
- کس طرح
- کیسے
- تاہم
- HTTPS
- اہم
- شامل
- شامل ہیں
- سمیت
- انفرادی
- افراد
- معلومات
- انٹرنیٹ
- انوینٹری
- IT
- خود
- جنوری
- لیب
- سب سے بڑا
- لیک
- لیک
- چھوڑ دو
- روشنی
- امکان
- لائنوں
- LINK
- لنکس
- لسٹنگ
- فہرستیں
- لانگ
- وفاداری
- اہم
- بنا
- ملائیشیا
- میلویئر
- انتظام
- تعریفیں
- میڈیا
- اراکین
- پیغامات
- دس لاکھ
- زیادہ
- سب سے زیادہ
- ایک سے زیادہ
- نام
- تعداد
- تعداد
- تجویز
- افسر
- آن لائن
- کھول
- حکم
- احکامات
- تنظیمیں
- ادا
- خاص طور پر
- پاس ورڈز
- ادائیگی
- لوگ
- مدت
- ذاتی
- فشنگ
- فشنگ حملوں
- جسمانی
- جسمانی طورپر
- ٹکڑے ٹکڑے
- پلیٹ فارم
- پوائنٹ
- پو
- ممکنہ
- پچھلا
- قیمت
- کی رازداری
- فی
- عمل
- مصنوعات
- پروگرام
- منصوبے
- جائیداد
- حفاظت
- تحفظ
- فراہم
- فراہم کنندہ
- فراہم کرتا ہے
- عوامی
- خرید
- خریداریوں
- مقصد
- وجوہات
- موصول
- ریکارڈ
- ریکارڈ
- خطے
- رپورٹیں
- تحقیق
- جواب
- ذمہ دار
- ریستوران میں
- ریستوران
- خوردہ
- کا جائزہ لینے کے
- رسک
- قوانین
- محفوظ
- فروخت
- فروخت
- محفوظ بنانے
- محفوظ
- سیکورٹی
- سروس
- سروسز
- دکانیں
- بعد
- سائٹ
- SMS
- So
- سماجی
- سوشل میڈیا
- سافٹ ویئر کی
- کچھ
- مخصوص
- ذخیرہ
- پردہ
- کے نظام
- کاموں
- ٹیم
- ٹیکنالوجی
- بتاتا ہے
- ٹیسٹ
- ۔
- چوری
- ہزاروں
- خطرات
- اوقات
- ٹوکن
- اوزار
- ٹریک
- ٹریکنگ
- معاملات
- بھروسہ رکھو
- قابل اعتماد
- اپ ڈیٹ کریں
- us
- استعمال کی شرائط
- صارفین
- مختلف اقسام کے
- متاثرین
- نقصان دہ
- قابل اطلاق
- طریقوں
- ویب
- ویب خدمات
- ویب سائٹ
- ویب سائٹ
- کیا
- جبکہ
- ڈبلیو
- وائی فائی
- وائی فائی
- بغیر
- دنیا کی
- گا
- سال
- اور