Do Anurag Sen, Các An toàn Nhóm an ninh mạng đã xác định một sự cố lộ dữ liệu ảnh hưởng đến nhà cung cấp phần mềm thanh toán Transact Campus của Hoa Kỳ.
Theo trang web của công ty, công nghệ của Transact Campus tích hợp một số chức năng thanh toán vào một nền tảng di động duy nhất để hỗ trợ sinh viên mua hàng tại các cơ sở giáo dục đại học.
Một máy chủ Elasticsearch chứa dữ liệu liên quan đến Transact Campus không được bảo mật, không có bất kỳ mật khẩu bảo vệ nào và do đó đã làm lộ ra hơn 1 triệu hồ sơ sinh viên.
Cơ sở Giao dịch là Ai?
Transact Campus bán công nghệ thanh toán trong khuôn viên trường cho các tổ chức giáo dục đại học của Hoa Kỳ tích hợp thanh toán di động và nhận dạng người dùng (với “Campus ID”) vào một ứng dụng duy nhất cho sinh viên.
Sinh viên có thể thanh toán học phí không dùng tiền mặt và nhiều đặc quyền khác tại chỗ bằng tài khoản cá nhân duy nhất của họ (“Mã số trường”), bao gồm vé sự kiện và các sản phẩm từ quầy ưu đãi, máy bán hàng tự động và các nhà cung cấp bên thứ ba.
ID khuôn viên cũng có thể được sử dụng để cho phép sinh viên truy cập vào các chức năng khác nhau của khuôn viên trường, chẳng hạn như truy cập máy in, truy cập vào cửa, truy cập sự kiện và giám sát việc tham gia lớp học.
Transact Campus có trụ sở chính tại Phoenix, Arizona. Kể từ khi công ty được thành lập vào năm 1984, Cơ sở Giao dịch đã phục vụ 12 triệu sinh viên tại 1,300 tổ chức khách hàng, tạo điều kiện thuận lợi cho các giao dịch trị giá 45 tỷ đô la. Cơ sở Giao dịch hiện có khoảng 400 nhân viên và tạo ra doanh thu hàng năm ước tính là 100 triệu đô la Mỹ.
Những gì đã được phơi bày?
Máy chủ Elasticsearch đang mở đã hiển thị hơn 1 triệu bản ghi, tổng cộng hơn 5 GB dữ liệu. Máy chủ vẫn có thể truy cập được và dữ liệu của nó không được mã hóa.
Nhật ký của Elasticsearch chứa dữ liệu từ các trường cao đẳng khác nhau sử dụng các dịch vụ của Transact Campus. Dữ liệu này thuộc về sinh viên tại các cơ sở tiếp xúc này.
Một số dạng PII của sinh viên đã được hiển thị trên máy chủ mở, bao gồm:
- Tên đầy đủ
- Địa chỉ email
- Số điện thoại
- Thông tin đăng nhập ở dạng văn bản thuần túy, bao gồm tên người dùng và mật khẩu
- Chi tiết giao dịch, bao gồm số lượng và thời gian mua hàng
- Chi tiết thẻ tín dụng (không đầy đủ), bao gồm 6 chữ số đầu tiên (BIN *) và 4 chữ số cuối của số thẻ tín dụng, ngày hết hạn và chi tiết ngân hàng
- Gói bữa ăn đã mua và số dư kế hoạch bữa ăn
* Lưu ý: Mã số nhận dạng ngân hàng (BIN) là sáu chữ số đầu tiên của số thẻ thanh toán. Những con số này xác định công ty phát hành thẻ.
Nhóm bảo mật không gian mạng SafetyDetectives đã tìm thấy máy chủ Elasticsearch đang mở trong khi kiểm tra địa chỉ IP tại một cổng cụ thể. Máy chủ đang hoạt động và đang được cập nhật tại thời điểm phát hiện.
Bạn có thể xem bằng chứng về nhật ký máy chủ đã tiết lộ dữ liệu sinh viên trong ảnh chụp màn hình sau đây.
Việc tiếp xúc dữ liệu ảnh hưởng đến những sinh viên là chủ tài khoản của Transact Campus. Gia đình cũng có thể bị ảnh hưởng. Ví dụ: chi tiết thanh toán của phụ huynh có thể được tiết lộ nếu họ tài trợ học phí cho học sinh hoặc hỗ trợ tài chính cho học sinh thông qua tài khoản Transact Campus. Bất kỳ người nào có tài khoản và / hoặc chi tiết thanh toán được liên kết với tài khoản tại một trong các trường cao đẳng bị lộ đều có thể bị ảnh hưởng.
Không thể biết chính xác có bao nhiêu người bị lộ trong vụ việc này. Tuy nhiên, số lượng địa chỉ email và số điện thoại bị lộ trên máy chủ cho thấy ước tính có khoảng 30,000-40,000 sinh viên bị ảnh hưởng.
Transact Campus giao dịch với các tổ chức giáo dục đại học của Hoa Kỳ và do đó, Elasticsearch tiếp xúc chủ yếu tác động đến công dân Hoa Kỳ.
Bạn có thể xem bảng phân tích đầy đủ về mức độ hiển thị dữ liệu này trong bảng bên dưới.
Số lượng hồ sơ được tiết lộ | Trên 1 triệu |
Số lượng người dùng bị ảnh hưởng | 30,000-40,000 người (ước tính sơ bộ) |
Kích thước tiếp xúc | Khoảng 5 GB |
Vị trí máy chủ | Mỹ |
Vị trí công ty | Phoenix, Arizona, ở Hoa Kỳ |
Chúng tôi đã phát hiện ra máy chủ mở vào ngày 6 tháng 2021 năm 8 và sau đó đã liên hệ với Cơ sở giao dịch vào ngày 2021 tháng XNUMX năm XNUMX.
Chúng tôi đã liên hệ lần đầu với Transact Campus vào ngày 9 và 14 tháng 2021 năm 9 nhưng không nhận được phản hồi. Chúng tôi đã gửi email cho US-CERT vào ngày 2022 tháng 13 năm 2022 và gửi các tin nhắn tiếp theo đến một số địa chỉ liên hệ chính vào ngày 14 tháng 2022 năm 16 — Transact Campus đã trả lời vào cùng ngày. Vào ngày 2022 tháng XNUMX năm XNUMX, chúng tôi đã tiết lộ một cách có trách nhiệm về vụ rò rỉ cho Transact Campus và vào ngày XNUMX tháng XNUMX năm XNUMX, vụ vi phạm dữ liệu đã được bảo mật.
Transact Campus sau đó đã trả lời tin nhắn của chúng tôi và cho chúng tôi biết rằng máy chủ Elasticsearch không thuộc quyền kiểm soát của họ:
“Rõ ràng điều này đã được thiết lập bởi một bên thứ ba cho một bản demo và không bao giờ bị gỡ xuống. Chúng tôi đã xác nhận rằng tập dữ liệu đã được lấp đầy bởi một tập dữ liệu giả mạo và không sử dụng bất kỳ dữ liệu sản xuất nào ”.
Lưu ý: Chúng tôi đã kiểm tra một mẫu người dùng trên Elasticsearch đang mở và dữ liệu này dường như thuộc về người thật.
Tuyên bố từ Foundry:
“Sự cố này không ảnh hưởng đến bất kỳ hệ thống nào tại Transact; nó được cách ly với một máy chủ cổng Foundry duy nhất. Rủi ro tiềm ẩn được phát hiện bởi một công ty bảo mật bên thứ ba đang tích cực quét các cụm Elaticsearch dễ bị tấn công. Thay vì kiểm tra dữ liệu như dự định, máy chủ Elaticsearch đã lấy nhật ký sản xuất chứa tên người dùng và mật khẩu văn bản rõ ràng của ít hơn 700 sinh viên đã cố gắng đăng ký quyền truy cập tài khoản gói bữa ăn từ ngày 10 tháng 2021 năm 14 đến ngày 2022 tháng XNUMX năm XNUMX. Chỉ những lần đăng ký được ghi lại trong vòng khung thời gian đó chiếm các tài khoản bị ảnh hưởng.”
Tuyên bố từ Giao dịch:
“Ngoài ra, bất kỳ ai truy cập nhật ký sản xuất sẽ không thể tham gia vào các giao dịch trên nền tảng Transact chỉ bằng tên người dùng và mật khẩu văn bản rõ ràng. Giao dịch đã buộc phải thay đổi mật khẩu vì quá thận trọng. Transact cũng đã nỗ lực hết sức sau khi nhận được thông báo từ SafetyDetectives. Bảo vệ dữ liệu khách hàng và sinh viên của Transact cũng như các hệ thống thu thập, xử lý và duy trì dữ liệu này có tầm quan trọng đặc biệt. Do đó, tính bảo mật của hệ thống, ứng dụng và dịch vụ bao gồm các biện pháp kiểm soát và bảo vệ để bù đắp các mối đe dọa có thể xảy ra. Các biện pháp bảo mật và quyền riêng tư thông tin của Transact được triển khai để bảo vệ chống truy cập trái phép, thay đổi, tiết lộ hoặc phá hủy dữ liệu và hệ thống. Transact cam kết cung cấp mức độ bảo mật cao nhất cho khách hàng của mình và sẽ tiếp tục theo dõi tình hình hiện tại cũng như bất kỳ mối đe dọa tiềm ẩn nào khác đối với bảo mật hệ thống của mình.”
Ảnh hưởng phơi nhiễm dữ liệu
Chúng tôi không thể và không biết liệu các tác nhân độc hại có truy cập vào cơ sở dữ liệu trong khi nó không được bảo mật hay không. Nội dung của máy chủ có thể khiến các sinh viên tiếp xúc có nguy cơ bị tội phạm mạng nếu những kẻ xấu đã đọc hoặc tải xuống dữ liệu của máy chủ.
Tiếp thị spam, tấn công lừa đảo, và lừa đảo có thể có các chi tiết liên hệ, tên đầy đủ và các chi tiết nhạy cảm khác được tiết lộ cho người dùng Transact Campus. Những kẻ tấn công có thể thực hiện các chiến dịch tiếp thị thư rác với rất nhiều địa chỉ email bị rò rỉ, gửi thư lừa đảo, phần mềm độc hại và lừa đảo đến hàng nghìn người.
Trong một cuộc tấn công lừa đảo, tội phạm mạng có thể giả dạng một cá nhân đáng tin cậy (chẳng hạn như nhân viên đại học) để thuyết phục sinh viên cung cấp các dạng dữ liệu cá nhân bổ sung, chẳng hạn như số CVV ở mặt sau thẻ tín dụng. Những kẻ lừa đảo cũng có thể thuyết phục một sinh viên nhấp vào một liên kết độc hại. Sau khi được nhấp vào, các liên kết độc hại có thể tải phần mềm độc hại xuống thiết bị của nạn nhân, điều này có thể bổ sung cho các hình thức thu thập dữ liệu và tội phạm mạng khác.
Các sinh viên bị phơi nhiễm cũng có thể bị nhắm mục tiêu lừa đảo nếu tội phạm mạng truy cập vào máy chủ. Trong một trò lừa đảo, tội phạm mạng cố gắng lừa nạn nhân trả tiền cho họ. Giống như các cuộc tấn công lừa đảo, tội phạm mạng có thể sử dụng các dạng dữ liệu tiếp xúc khác để nhắm mục tiêu nạn nhân. Ví dụ, một tội phạm mạng có thể thuyết phục một sinh viên bị phơi nhiễm trả học phí chưa thanh toán trực tiếp cho kẻ tấn công.
Thông tin đăng nhập tài khoản bị lộ được lưu trữ dưới dạng văn bản thuần túy và điều này gây thêm rủi ro cho các học sinh bị ảnh hưởng. Nếu bất kỳ hacker nào truy cập vào máy chủ, họ có thể dễ dàng đọc được tên người dùng và mật khẩu không được mã hóa. Tội phạm mạng có thể truy cập vào tài khoản của sinh viên với thông tin này và chúng có thể có khả năng thay đổi thông tin chi tiết và đe dọa tính các khoản phí lớn trừ khi một khoản phí được trả.
Ngăn lộ dữ liệu
Chúng ta có thể làm gì để bảo vệ dữ liệu của mình và giảm thiểu nguy cơ tội phạm mạng?
Dưới đây là một số mẹo để ngăn dữ liệu bị lộ:
- Không cung cấp thông tin cá nhân của bạn cho một công ty, tổ chức hoặc cá nhân trừ khi bạn tin tưởng tổ chức đó 100%.
- Chỉ truy cập các trang web có tên miền an toàn (tên miền có biểu tượng “https” và / hoặc khóa đóng ở đầu).
- Hãy hết sức cẩn thận khi cung cấp các dạng dữ liệu nhạy cảm nhất, chẳng hạn như số an sinh xã hội của bạn.
- Tạo mật khẩu chắc chắn có chứa hỗn hợp các chữ cái, số và ký hiệu. Cập nhật mật khẩu của bạn thường xuyên.
- Đừng nhấp vào một liên kết trực tuyến trừ khi bạn hoàn toàn chắc chắn rằng nó đến từ một nguồn hợp pháp. Các liên kết có thể nằm trong email, tin nhắn hoặc trên các trang web lừa đảo giả mạo tên miền hợp pháp.
- Chỉnh sửa cài đặt quyền riêng tư của bạn trên mạng xã hội để nội dung và thông tin của bạn chỉ hiển thị với bạn bè và người dùng đáng tin cậy.
- Tránh hiển thị hoặc nhập dữ liệu nhạy cảm cao (chẳng hạn như số thẻ tín dụng hoặc mật khẩu) khi bạn đang sử dụng mạng WiFi công cộng hoặc không an toàn.
- Tự giáo dục bản thân về rủi ro của tội phạm mạng, tầm quan trọng của việc bảo vệ dữ liệu và các phương pháp giúp bạn giảm khả năng trở thành nạn nhân của các cuộc tấn công lừa đảo và phần mềm độc hại.
Về chúng tôi
SafetyDetectives.com là trang web đánh giá chống vi-rút lớn nhất thế giới.
Phòng nghiên cứu SafetyDetectives là một dịch vụ chuyên nghiệp nhằm mục đích giúp cộng đồng trực tuyến tự bảo vệ mình trước các mối đe dọa mạng đồng thời giáo dục các tổ chức về cách bảo vệ dữ liệu người dùng của họ. Mục đích tổng quát của dự án lập bản đồ web của chúng tôi là giúp làm cho Internet trở thành một nơi an toàn hơn cho tất cả người dùng.
Các báo cáo trước đây của chúng tôi đã đưa ra ánh sáng nhiều lỗ hổng bảo mật cao và rò rỉ dữ liệu, bao gồm 2.6 triệu người dùng bị lộ bởi một Nền tảng phân tích xã hội của Mỹ IGBlade, cũng như vi phạm tại Nền tảng tích hợp thị trường Brazil Hariexpress.com.br đã làm rò rỉ hơn 610 GB dữ liệu.
Để có đánh giá đầy đủ về báo cáo an ninh mạng của SafetyDetectives trong 3 năm qua, hãy làm theo Nhóm an ninh mạng SafetyDetectives.
- "
- 000
- 10
- 2021
- 2022
- a
- Giới thiệu
- sự phong phú
- truy cập
- có thể truy cập
- truy cập
- Tài khoản
- thêm vào
- địa chỉ
- ảnh hưởng đến
- ảnh hưởng đến
- Liên kết
- chống lại
- Tất cả
- số lượng
- phân tích
- hàng năm
- antivirus
- bất kỳ ai
- ứng dụng
- các ứng dụng
- arizona
- xung quanh
- tham dự
- số dư
- Ngân hàng
- Bắt đầu
- được
- phía dưới
- giữa
- Tỷ
- vi phạm
- Breakdown
- Chiến dịch
- Khuôn viên trường
- Thẻ
- cẩn thận
- Cashless
- tỷ lệ cược
- thay đổi
- tải
- kiểm tra
- tốt nghiệp lớp XNUMX
- khách hàng
- đóng cửa
- thu thập
- bộ sưu tập
- Trường đại học
- cam kết
- cộng đồng
- công ty
- Của công ty
- hoàn toàn
- Tiến hành
- liên lạc
- nội dung
- tiếp tục
- điều khiển
- điều khiển
- có thể
- Credentials
- tín dụng
- thẻ tín dụng
- Thẻ tín dụng
- quan trọng
- Current
- Hiện nay
- không gian mạng
- tội phạm mạng
- tội phạm mạng
- An ninh mạng
- dữ liệu
- vi phạm dữ liệu
- bảo vệ dữ liệu
- tập dữ liệu
- Cơ sở dữ liệu
- Ngày
- ngày
- Ưu đãi
- chi tiết
- thiết bị
- ĐÃ LÀM
- chữ số
- siêng năng
- trực tiếp
- phát hiện
- phát hiện
- miền
- Tên miền
- lĩnh vực
- xuống
- tải về
- dễ dàng
- giáo dục
- Đào tạo
- nỗ lực
- sử dụng
- thuê
- thực thể
- ước tính
- ước tính
- Sự kiện
- chính xác
- ví dụ
- tiếp xúc
- giả mạo
- gia đình
- Lệ Phí
- Tên
- theo
- tiếp theo
- các hình thức
- tìm thấy
- Thành lập
- từ
- Full
- chức năng
- quỹ
- xa hơn
- cửa ngõ
- của hacker
- có trụ sở chính
- giúp đỡ
- cao hơn
- Giáo dục đại học
- cao
- người
- Độ đáng tin của
- Hướng dẫn
- Tuy nhiên
- HTTPS
- Xác định
- xác định
- thực hiện
- tầm quan trọng
- không thể
- bao gồm
- Bao gồm
- hệ thống riêng biệt,
- thông tin
- bảo mật thông tin
- tổ chức
- Internet
- IP
- Địa chỉ IP
- IT
- chính nó
- Tháng một
- Key
- Biết
- phòng thí nghiệm
- lớn nhất
- bị rò rỉ
- Rò rỉ
- Cấp
- ánh sáng
- LINK
- liên kết
- sống
- Máy móc
- duy trì
- làm cho
- phần mềm độc hại
- lập bản đồ
- Marketing
- thị trường
- giả trang
- các biện pháp
- Phương tiện truyền thông
- phương pháp
- triệu
- di động
- thanh toán di động
- tiền
- Màn Hình
- giám sát
- chi tiết
- hầu hết
- nhiều
- tên
- mạng
- con số
- số
- bù đắp
- Trực tuyến
- mở
- cơ quan
- tổ chức
- Nền tảng khác
- thanh toán
- riêng
- bên
- Mật khẩu
- Mật khẩu
- Trả
- thanh toán
- Thẻ thanh toán
- thanh toán
- người
- người
- riêng
- dữ liệu cá nhân
- Lừa đảo
- Tấn công lừa đảo
- tấn công lừa đảo
- phượng hoàng
- nền tảng
- có thể
- tiềm năng
- quyền lực
- trước
- riêng tư
- pro
- quá trình
- Quy trình
- Sản lượng
- Sản phẩm
- dự án
- bảo vệ
- bảo vệ
- cho
- nhà cung cấp dịch vụ
- cung cấp
- công khai
- mua hàng
- mục đích
- nhận
- hồ sơ
- giảm
- ghi danh
- Đăng Ký
- Báo cáo
- nghiên cứu
- doanh thu
- xem xét
- Nguy cơ
- rủi ro
- an toàn hơn
- tương tự
- Lừa đảo
- lừa đảo
- an toàn
- Bảo mật
- an ninh
- dịch vụ
- DỊCH VỤ
- định
- một số
- có ý nghĩa
- kể từ khi
- duy nhất
- Six
- khá lớn
- So
- Mạng xã hội
- truyền thông xã hội
- Phần mềm
- một số
- thư rác
- đứng
- hợp lý hóa
- Sinh viên
- Sau đó
- hỗ trợ
- hệ thống
- Mục tiêu
- nhắm mục tiêu
- nhóm
- Công nghệ
- thử nghiệm
- Sản phẩm
- vì thế
- của bên thứ ba
- hàng ngàn
- các mối đe dọa
- Thông qua
- vé
- thời gian
- khung thời gian
- lời khuyên
- giao dịch
- Giao dịch
- NIỀM TIN
- Dưới
- độc đáo
- Kỳ
- không bảo đảm
- Cập nhật
- us
- Mỹ $ 100 triệu
- sử dụng
- Người sử dụng
- khác nhau
- nhà cung cấp
- có thể nhìn thấy
- khối lượng
- Lỗ hổng
- Dễ bị tổn thương
- ví
- web
- Website
- trang web
- liệu
- trong khi
- CHÚNG TÔI LÀ
- wifi
- ở trong
- không có
- thế giới
- giá trị
- sẽ
- năm
- trên màn hình