所领导 阿努拉格森是, 安全侦探 网络安全团队发现了影响美国支付软件提供商 Transact Campus 的数据泄露。
根据该公司的网站,Transact Campus 的技术将多种支付功能集成到一个移动平台中,为高等教育机构的学生购买提供动力。Transact Campus 的服务简化了学生和机构等的支付流程。
包含 Transact Campus 相关数据的 Elasticsearch 服务器不安全,没有任何密码保护,因此暴露了超过 1 万条学生记录。
谁是交易校园?
Transact Campus 向美国高等教育机构出售校园支付技术,该技术将移动支付和用户身份识别(带有“校园 ID”)集成到一个供学生使用的应用程序中。
学生可以使用其独特的个人账户(“校园 ID”)无现金支付学费和各种其他现场特权,包括活动门票和特许摊位、自动售货机和第三方供应商的产品。
校园 ID 还可用于授权学生访问各种其他校园功能,例如打印机访问、门禁、活动访问和课堂出勤监控。
Transact Campus 总部位于亚利桑那州凤凰城。 自公司于 1984 年成立以来,Transact Campus 已为 12 家客户机构的 1,300 万名学生提供服务,促成了价值 45 亿美元的交易。 Transact Campus 目前拥有约 400 名员工,估计年收入为 100 亿美元。
暴露了什么?
开放的 Elasticsearch 服务器暴露了超过 1 万条记录,总计超过 5 GB 的数据。 服务器保持可访问状态,其数据未加密。
Elasticsearch 的日志包含来自使用 Transact Campus 服务的各个大学的数据。 这些数据属于这些暴露机构的学生。
开放服务器上暴露了几种形式的学生 PII,包括:
- 全名
- 电子邮件地址
- 电话号码
- 纯文本登录凭据, 包括用户名和密码
- 交易明细, 包括购买金额和时间
- 信用卡资料(不完整), 包括信用卡号、到期日期和银行详细信息的前 6 位 (BIN*) 和后 4 位
- 购买的膳食计划 和膳食计划余额
*注意:银行识别码 (BIN) 是支付卡号码的前六位数字。 这些数字标识发卡机构。
SafetyDetectives 网络安全团队在检查特定端口的 IP 地址时发现了开放的 Elasticsearch 服务器。 服务器在发现时处于活动状态并正在更新。
您可以在以下屏幕截图中看到暴露学生数据的服务器日志的证据。
数据泄露会影响作为 Transact Campus 账户持有人的学生。 家庭也可能受到影响。 例如,如果父母为学生的学费提供资金或通过 Transact Campus 账户为学生提供经济支持,他们的付款细节可能会被泄露。 任何拥有与其中一所暴露大学的帐户相关联的帐户和/或付款详细信息的人都可能受到影响。
无法确切知道有多少人在这次事件中被曝光。 但是,服务器上暴露的电子邮件地址和电话号码的数量表明,估计有 30,000-40,000 名学生受到影响。
Transact Campus 与美国高等教育机构打交道,因此,暴露的 Elasticsearch 主要影响美国公民。
您可以在下表中查看此数据暴露的完整细分。
暴露的记录数 | 超过1万 |
受影响的用户数 | 30,000-40,000 人(粗略估计) |
曝光量 | 大约 5 GB |
服务器位置 | 美国 |
公司所在地 | 美国亚利桑那州凤凰城 |
我们于 6 年 2021 月 8 日发现了开放服务器,随后于 2021 年 XNUMX 月 XNUMX 日联系了 Transact Campus。
我们于9年14月2021日至9日与Transact Campus进行了初步联系,但没有收到回复。 我们于 2022 年 13 月 2022 日向 US-CERT 发送了电子邮件,并于 14 年 2022 月 16 日向一些关键联系人发送了后续消息 - Transact Campus 于同一天回复。 2022 年 XNUMX 月 XNUMX 日,我们负责任地向 Transact Campus 披露了此次泄露事件,并于 XNUMX 年 XNUMX 月 XNUMX 日确保了数据泄露的安全。
Transact Campus 后来回复了我们的消息,并告诉我们 Elasticsearch 服务器不在他们的控制之下:
“显然这是由第三方为演示而设置的,从未被删除。 我们确实确认数据集填充了假数据集,并且没有使用任何生产数据。”
注意:我们在开放的 Elasticsearch 上检查了一个用户样本,这些数据似乎属于真实的人。
铸造厂声明:
“这一事件没有影响 Transact 的任何系统; 它被隔离到单个 Foundry 网关服务器。 潜在的暴露是由第三方安全公司发现的,该公司主动扫描易受攻击的 Elasticsearch 集群。 Elasticsearch 服务器没有按预期测试数据,而是提取了生产日志,其中包含 700 年 10 月 2021 日至 14 年 2022 月 XNUMX 日期间尝试注册膳食计划帐户访问权限的不到 XNUMX 名学生的明文用户名和密码。只有在该时间范围内记录的注册尝试才能说明受影响的帐户。
交易声明:
“此外,任何访问生产日志的人都无法仅使用用户名和明文密码在 Transact 平台上进行交易。 出于谨慎考虑,Transact 确实强制更改了密码。 在收到 SafetyDetectives 的通知后,Transact 还开展了大量的尽职调查工作。 保护 Transact 客户和学生数据以及收集、处理和维护这些数据的系统至关重要。 因此,系统、应用程序和服务的安全包括抵消可能威胁的控制和保障措施。 Transact 的信息安全和隐私措施旨在防止未经授权的访问、更改、披露或破坏数据和系统。 Transact 致力于为其客户提供最高级别的安全性,并将继续监控当前情况以及对其系统安全的任何其他潜在威胁。”
数据暴露影响
我们不能也不知道恶意行为者是否在数据库不安全的情况下访问了数据库。 如果不良行为者读取或下载了服务器的数据,服务器的内容可能会使暴露的学生面临网络犯罪的风险。
垃圾邮件营销、网络钓鱼攻击、 和 诈骗 可能会向 Transact Campus 用户公开联系方式、全名和其他敏感信息。 攻击者可以利用大量泄露的电子邮件地址开展垃圾邮件营销活动,向数千人发送网络钓鱼邮件、恶意软件和诈骗。
在网络钓鱼攻击中,网络犯罪分子可以伪装成值得信赖的个人(例如大学员工),以说服学生提供其他形式的个人数据,例如信用卡背面的 CVV 号码。 网络钓鱼者还可以说服学生点击恶意链接。 一旦点击,恶意链接可以将恶意软件下载到受害者的设备上,这可以补充其他形式的数据收集和网络犯罪。
如果网络犯罪分子访问服务器,暴露的学生也可能成为诈骗的目标。 在骗局中,网络犯罪分子试图诱骗受害者向他们付款。 与网络钓鱼攻击一样,网络犯罪分子可以使用其他形式的暴露数据来瞄准受害者。 例如,网络犯罪分子可以说服暴露的学生直接向攻击者支付未付的学费。
暴露的帐户凭据 以纯文本形式存储,这给受影响的学生带来了进一步的风险。 如果任何黑客访问了服务器,他们可以轻松读取未加密的用户名和密码。 网络犯罪分子可以利用这些信息访问学生的账户,他们可能会更改详细信息并威胁要收取巨额费用,除非支付费用。
防止数据泄露
我们可以做些什么来保护我们的数据并最大程度地降低网络犯罪的风险?
以下是一些防止数据泄露的提示:
- 除非您 100% 信任该实体,否则请勿将您的个人信息提供给公司、组织或个人。
- 仅访问具有安全域名的网站(开头带有“https”和/或闭锁符号的域)。
- 在提供您最敏感的数据形式时要格外小心,例如您的社会安全号码。
- 创建包含字母、数字和符号混合的坚如磐石的密码。 定期更新您的密码。
- 除非您完全确定它来自合法来源,否则不要点击在线链接。 链接可能位于电子邮件、消息或伪装成合法域的网络钓鱼网站上。
- 在社交媒体上编辑您的隐私设置,以便您的内容和信息仅对朋友和受信任的用户可见。
- 当您使用公共或不安全的 WiFi 网络时,避免显示或输入高度敏感的数据(例如信用卡号或密码)。
- 让自己了解网络犯罪的风险、数据保护的重要性以及降低成为网络钓鱼攻击和恶意软件受害者机会的方法。
关于我们
安全侦探网 是世界上最大的防病毒评论网站。
SafetyDetectives研究实验室是一项免费服务,旨在帮助在线社区防御网络威胁,同时教育组织如何保护其用户数据。 我们的网络映射项目的总体目的是帮助使互联网成为所有用户的更安全场所。
我们之前的报告揭露了多个备受瞩目的漏洞和数据泄露,其中包括 2.6 万用户被 美国社交分析平台 IGBlade,以及违反 巴西市场集成商平台 Hariexpress.com.br 泄漏了超过610 GB的数据。
要对过去3年的SafetyDetectives网络安全报告进行全面审查,请关注 SafetyDetectives网络安全团队.
- "
- 000
- 10
- 2021
- 2022
- a
- 关于
- 丰富
- ACCESS
- 无障碍
- 访问
- 账号管理
- 额外
- 地址
- 影响
- 影响
- 联盟
- 驳
- 所有类型
- 量
- 分析
- 全年
- 杀毒软件
- 任何人
- 应用
- 应用领域
- 亚利桑那
- 围绕
- 勤
- 结余
- 银行
- 开始
- 作为
- 如下。
- 之间
- 亿
- 违反
- 击穿
- 活动
- 校园
- 牌
- 小心
- 无现金
- 可能性
- 更改
- 收费
- 检查
- 程
- 客户
- 关闭
- 收集
- 采集
- 学院
- 提交
- 社体的一部分
- 公司
- 公司的
- 完全
- 进行
- CONTACT
- 内容
- 继续
- 控制
- 控制
- 可以
- 资历
- 信用
- 信用卡
- 信用卡
- 危急
- 电流
- 目前
- 网络
- 网络犯罪
- 网络罪犯
- 网络安全
- data
- 数据泄露
- 数据保护
- 数据集
- 数据库
- 重要日期
- 天
- 交易
- 详情
- 设备
- DID
- 数字
- 勤勉
- 直接
- 发现
- 发现
- 域
- 域名
- 域名
- 向下
- 下载
- 容易
- 教育
- 教育
- 努力
- 邮箱地址
- 员工
- 从事
- 实体
- 评估
- 估计
- 活动
- 究竟
- 例子
- 裸露
- 假
- 家庭
- 费用
- 姓氏:
- 遵循
- 以下
- 形式
- 发现
- 公司成立
- 止
- ,
- 功能
- 基金
- 进一步
- 网关
- 黑客
- 总部设
- 帮助
- 更高
- 高等教育
- 高度
- 持有人
- 创新中心
- How To
- 但是
- HTTPS
- 鉴定
- 鉴定
- 实施
- 重要性
- 不可能
- 包括
- 包含
- 个人
- 信息
- 信息安全
- 机构
- 网络
- IP
- IP地址
- IT
- 本身
- 一月
- 键
- 知道
- 实验室
- 最大
- 泄漏
- 泄漏
- Level
- 光
- 友情链接
- 链接
- 生活
- 机
- 保持
- 使
- 恶意软件
- 制图
- 营销
- 市场
- 假面舞会
- 措施
- 媒体
- 方法
- 百万
- 联络号码
- 移动支付
- 钱
- 显示器
- 监控
- 更多
- 最先进的
- 多
- 名称
- 网络
- 数
- 数字
- 抵消
- 在线
- 打开
- 组织
- 组织
- 其他名称
- 支付
- 特别
- 党
- 密码
- 密码
- 付款
- 支付卡
- 支付
- 员工
- 人
- 个人
- 个人资料
- 钓鱼
- 网络钓鱼攻击
- 网络钓鱼攻击
- 凤凰
- 平台
- 可能
- 潜力
- 功率
- 以前
- 隐私
- 专业版
- 过程
- 过程
- 生产
- 热销产品
- 项目
- 保护
- 保护
- 提供
- 提供者
- 优
- 国家
- 购买
- 目的
- 接收
- 记录
- 减少
- 寄存器
- 注册
- 业务报告
- 研究
- 收入
- 检讨
- 风险
- 风险
- 更安全
- 同
- 诈骗
- 诈骗
- 安全
- 担保
- 保安
- 服务
- 特色服务
- 集
- 几个
- 显著
- 自
- 单
- SIX
- 可观
- So
- 社会
- 社会化媒体
- 软件
- 一些
- 垃圾邮件
- 看台
- 精简
- 学生
- 后来
- SUPPORT
- 产品
- 目标
- 针对
- 团队
- 专业技术
- test
- 因此
- 第三方
- 数千
- 威胁
- 通过
- 门票
- 次
- 时间表
- 秘诀
- 办理
- 交易
- 信任
- 下
- 独特
- 联合的
- 无抵押
- 更新
- us
- 美元100亿
- 使用
- 用户
- 各个
- 厂商
- 可见
- 体积
- 漏洞
- 脆弱
- 钱包
- 卷筒纸
- 您的网站
- 网站
- 是否
- 而
- WHO
- 无线上网
- 中
- 也完全不需要
- 世界
- 价值
- 将
- 年
- 您一站式解决方案