安全侦探 网络安全团队发现了一个影响名为 StoreHub 的软件公司的重大数据泄露。
StoreHub 位于马来西亚,提供销售点 (POS) 软件系统,主要用于餐厅和零售店。
暴露的数据存储在 StoreHub 的 Elasticsearch 服务器上,该服务器在没有任何密码保护或加密的情况下保持打开状态。 未受保护的服务器可能会泄露数千家餐馆和零售店及其员工和大约 1 万客户的信息。
谁是 StoreHub?
StoreHub 于 2013 年在马来西亚成立,目前总部位于八打灵再也。 根据他们的网站,他们的产品被超过 15,000 家企业使用,主要是在东南亚地区。
该公司主要向餐厅等餐饮(食品和饮料)企业销售 POS 软件,但也向零售店销售。
POS 软件主要用于处理和记录面向客户的企业(餐厅、咖啡馆、酒吧、商店等)的购买和交易,以及开具收据和跟踪特定物品的销售情况——例如在餐厅用餐,或商店里的单件衣服。
StoreHub 还提供一整套业务管理工具和分析。 其中包括电子商务和在线交付、库存管理、员工管理、忠诚度计划和客户分析。
因此,StoreHub 能够收集来自东南亚超过 1 万人的数据——主要是使用其软件的企业客户。
暴露了什么?
我们的网络安全团队发现 Storehub 错误配置了他们的 Elasticsearch 服务器之一,导致它泄露了超过 1.7 亿条记录和超过 1 TB 的数据。 这暴露了马来西亚和东南亚国家近 1 万客户。
StoreHub 向面向客户的企业销售 POS 软件,因此暴露的数据分为两类:
- 来自使用 StoreHub 的企业客户的数据
- 来自使用 StoreHub 的企业的数据
来自使用 StoreHub 的企业客户的数据
来自客户的公开个人身份信息 (PII) 包括:
- 全名
- 电话号码
- 物理地址
- 电子邮件地址
- 使用的设备类型
服务器还暴露了与属于客户的支付和订单信息相关的数据,暴露了 PII,例如:
- 交易日期
- 订购的物品
- 店铺位置
一些订单细节暴露了部分隐藏的信用卡信息。
来自使用 StoreHub 的企业的数据
泄漏还影响了使用 StoreHub 的企业及其员工。 企业泄露的信息包括:
- 员工入住/退房时间
- 员工姓名
- 店铺名称
- 存储物理地址
- 存储电子邮件地址
我们的网络安全团队还发现了泄露的访问令牌,不良行为者可以使用这些令牌登录和修改企业的网站,从而可能造成更大的危害。 出于道德原因,我们无法对其进行测试。
下表显示了此 StoreHub 数据泄漏的细分。
泄露的记录数 | 超过1.7亿 |
受影响的用户数 | 大约1亿 |
泄漏量 | 超过 1TB |
服务器位置 | 新加坡 |
公司所在地 | 马来西亚八打灵再也 |
我们的网络安全团队于 12 年 2022 月 2021 日发现了此漏洞。服务器内容似乎至少从 XNUMX 年 XNUMX 月下旬开始暴露。
发现泄漏后,我们的网络安全团队遵循道德黑客规则,保持服务器和数据不受影响,然后联系负责公司。
发现泄漏后,我们立即向 StoreHub 发送了电子邮件。 18 月 27 日,我们向他们发送了一封后续电子邮件,我们向 StoreHub 的首席技术官发送了一封电子邮件。 到 XNUMX 月 XNUMX 日,我们没有收到任何回复,因此我们联系了马来西亚 CERT 和 Amazon Web Services(托管公司)。 两人反应迅速。
我们能够在 28 月 2 日向马来西亚 CERT 披露泄漏情况。马来西亚 CERT 在 28 月 2 日向我们询问了更多信息,但当时服务器已得到保护。 我们估计服务器在 XNUMX 月 XNUMX 日至 XNUMX 月 XNUMX 日期间是安全的。
数据泄露影响
暴露的 PII 使受害者容易受到接触 PII 详细信息的不良行为者的盗窃和欺诈。
我们无法确认不道德的黑客是否发现了此数据泄漏,但受影响的企业和客户应警惕以下潜在威胁。
诈骗和欺诈
暴露的 PII 使客户容易受到欺诈企图的攻击。 例如,不良行为者可以通过确认涉及交易价格和日期的购买信息(甚至是信用卡号的最后四位数字)致电受害者并获得他们的信任。
在获得信任后,不良行为者可以从受害者那里获得更多信息,从而使他们可以通过访问他们的银行或滥用信用卡信息来造成实际伤害。
账户盗窃
泄漏包含帐户令牌,这些令牌很可能属于使用 StoreHub 服务器的企业。 不良行为者可以利用这些令牌以企业或客户身份登录,并可能修改帐户详细信息。
这可能会以多种方式损害业务,具体取决于不良行为者选择做什么。 出于道德原因,我们无法测试暴露代币的功能。 然而,一个理论上的例子是,他们可以允许不良行为者修改餐厅帐户上的菜单或完全删除该企业的列表。 暴露的代币也可能使客户面临风险,因为不良行为者可能会修改网站以收集更敏感的 PII 并进一步危害受害者。
客户财产被盗风险
泄漏的详细信息给客户带来了许多漏洞。 泄漏中的信息可能使不良行为者能够跟踪和拦截客户已经支付的订单。
泄漏还表明一些客户通常离开家的时间。 如果落入坏人之手,这些信息可能会使客户的财产面临物理闯入的风险。
企业财产盗窃风险
泄漏包含一长串员工入住和退房时间,这可以准确地告诉坏人在特定时间商店里一般有多少员工。 如果他们打算实际闯入并从企业中偷窃,则此信息将有助于盗窃。
防止数据泄露
您可以做些什么来保护您的数据并最大程度地降低网络犯罪风险?
以下是一些可以最大程度降低数据泄露风险的方法:
- 仅将您的个人信息提供给您信任的个人和公司。
- 只访问安全网站。 安全网站的域名以“https”和/或闭锁符号开头。
- 当被要求提供最重要的个人信息形式(即社会安全号码、政府身份证号码和个人偏好)时,请格外小心。
- 创建 超强密码 使用字母、大写字母、数字和符号的组合。 定期更新您的密码。
- 不要跨服务回收密码。 用一个 密码管理器 如果有必要
- 除非您完全确定来源/发件人是真实的,否则不要单击电子邮件、SMS 消息或互联网上任何其他地方的链接。 如果完全不确定,请访问该公司的网站并在那里找到链接。
- 编辑您的社交媒体隐私设置。 您的帐户应该只向受信任的用户和朋友显示您的内容和个人详细信息。
- 限制您在连接到公共 Wi-Fi 时执行的任务和显示的信息。 例如,不要购买产品并在公共 WiFi 上输入您的信用卡详细信息。
- 使用在线资源 了解网络犯罪、数据保护以及您可以采取的避免网络钓鱼攻击和恶意软件的步骤。
关于我们
安全侦探网 是世界上最大的防病毒评论网站。
SafetyDetectives研究实验室是一项免费服务,旨在帮助在线社区防御网络威胁,同时教育组织如何保护其用户数据。 我们的网络映射项目的总体目的是帮助使互联网成为所有用户的更安全场所。
我们以前的报告揭露了多个引人注目的漏洞和数据泄漏,其中包括大约200+百万的用户 中国社交媒体管理公司Socialarks,以及在 巴西电子商务集成商平台 Hariexpress 泄露了超过 1.75 亿条记录。
要对过去3年的SafetyDetectives网络安全报告进行全面审查,请关注 SafetyDetectives网络安全团队.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- 关于
- ACCESS
- 访问
- 根据
- 账号管理
- 获得
- 横过
- 地址
- 地址
- 影响
- 驳
- 所有类型
- 已经
- Amazon
- 亚马逊网络服务
- 分析
- 杀毒软件
- 分析数据
- 亚洲
- 银行
- 酒吧
- 如下。
- 之间
- 亿
- 十亿美元
- 违反
- 击穿
- 商业
- 企业
- 呼叫
- 能力
- 小心
- 造成
- 一定
- 首席
- 首席技术官
- 关闭
- 服装
- 收集
- 组合
- 社体的一部分
- 公司
- 公司
- 公司的
- 完全
- 已联繫
- 包含
- 内容
- 可以
- 国家
- 创建
- 信用
- 信用卡
- 目前
- 顾客
- 合作伙伴
- 网络
- 网络犯罪
- 网络安全
- data
- 日期泄漏
- 数据保护
- 交货
- 根据
- 详细
- 详情
- 设备
- 数字
- 发现
- 屏 显:
- 域
- 向下
- ,我们将参加
- 电子商务行业
- 电子商务
- 教育
- 邮箱地址
- 员工
- 加密
- 评估
- 等
- 伦理
- 究竟
- 例子
- 裸露
- 寻找
- 遵循
- 以下
- 食品
- 形式
- 公司成立
- 骗局
- 止
- ,
- 进一步
- 获得
- 通常
- 政府
- 黑客
- 黑客
- 总部
- 帮助
- 历史
- 托管
- 创新中心
- How To
- 但是
- HTTPS
- 重要
- 包括
- 包括
- 包含
- 个人
- 个人
- 信息
- 网络
- 库存
- IT
- 本身
- 一月
- 实验室
- 最大
- 泄漏
- 泄漏
- 离开
- 光
- 容易
- 线
- 友情链接
- 链接
- 清单
- 书单
- 长
- 忠诚
- 主要
- 使
- 马来西亚
- 恶意软件
- 颠覆性技术
- 制图
- 媒体
- 成员
- 条未读消息
- 百万
- 更多
- 最先进的
- 多
- 名称
- 数
- 数字
- 优惠精选
- 官
- 在线
- 打开
- 秩序
- 订单
- 组织
- 支付
- 特别
- 密码
- 支付
- 员工
- 期间
- 个人
- 钓鱼
- 网络钓鱼攻击
- 的
- 物理
- 件
- 平台
- 点
- 销售点
- 潜力
- 以前
- 车资
- 隐私
- 专业版
- 过程
- 产品
- 训练课程
- 项目
- 财产
- 保护
- 保护
- 提供
- 提供者
- 提供
- 国家
- 采购
- 购买
- 目的
- 原因
- 收到
- 记录
- 记录
- 地区
- 业务报告
- 研究
- 响应
- 提供品牌战略规划
- RESTAURANT
- 优选餐厅
- 零售
- 检讨
- 风险
- 定位、竞价/采购和分析/优化数字媒体采购,但算法只不过是解决问题的操作和规则。
- 更安全
- 盐
- 销售
- 安全
- 担保
- 保安
- 服务
- 特色服务
- 商店
- 自
- 网站
- 短信
- So
- 社会
- 社会化媒体
- 软件
- 一些
- 具体的
- 商店
- 商店
- 系统
- 任务
- 团队
- 专业技术
- 告诉
- test
- 盗窃
- 数千
- 威胁
- 时
- 令牌
- 工具
- 跟踪时
- 跟踪
- 交易
- 信任
- 信任
- 更新
- us
- 使用
- 用户
- 各种
- 受害者
- 漏洞
- 脆弱
- 方法
- 卷筒纸
- Web服务
- 您的网站
- 网站
- 什么是
- 而
- WHO
- 无线网络连接
- 无线上网
- 也完全不需要
- 世界
- 将
- 年
- 您一站式解决方案