Aruanne: lennupiletite platvorm paljastab kliendi andmed


Hiljuti avastasid vpnMentori meeskond Interneti privaatsuseuurijate Noam Rotemi ja Ran Locari juhtimisel tohutu andmerikkumine lennupiletite broneerimise veebisaidil Option Way. 

Prantsusmaal asuv rahvusvahelise kliendibaasiga variant Way Way aitab kasutajatel leida lennupileteid kogu maailma sihtkohtadesse ja sihtkohtadesse. 

Andmete rikkumine paljastanud klientide isiklikud andmed, luues täieliku profiili, samuti üksikasjaliku teabe nende lendude ja reisikorralduse kohta. Kokku pääses meie meeskond üle 100 GB andmeid, ohustades Option Way ja selle kasutajate privaatsust ja turvalisust. 

Avastamise ajajoon ja omaniku reageerimine

  • Avastamise kuupäev: 20/08/19
  • Kuupäev müüjatega ühendust võetud: 25/08/19
  • Vastamise kuupäev ja leke suletud: 29/08/19

Näide andmebaasi kannete kohta

Oma veebisaidil väidab Option Way järgmist:

“  www.Option Way.com veebisaiti on kaitstud SSL-sertifikaadiga. 

Isikuandmete sisestamisel krüptitakse ja salvestatakse need tehingute tegemiseks. Teie isikuandmeid töödeldakse vastavalt CNIL-i (Prantsusmaa andmekaitseamet) esitatud soovitustele. ”

See pole aga tõsi. 

Meie meeskonnal oli juurdepääs üle 100 GB andmetele, tohutul hulgal klientide krüpteerimata isikut tuvastavat teavet (PII).

Näited isikuandmetest, mida vaatasime, sisaldasid: 

  • Klientide nimed
  • Sünnikuupäev
  • Sugu
  • E-posti aadressid
  • Telefoninumbrid  
  • Kodu aadress & postiindeks
  • Lennu väljumise ja tagasituleku kuupäevad 
  • Sihtkohad 
  • Lennuhinnad

Allpool on toodud andmete näide, mis näitab kliendi e-posti aadressi:

Järgmine on näide andmete kohta, mis näitavad kliendi isiklikku teavet:

Valikuviis oli ligipääsetav ka kasutajate e-posti aadressidele vale parooli lähtestamise linkide tagajärjel. See haavatavus paljastas laia andmebaasi võimalike häkkide ja Option Way kasutajatega paljudele võimalikele pettustele.

Lekkinud andmebaas mõjutas Option Way kliente paljudes riikides. Failide kiire läbivaatusega vaatasime kasutaja andmeid riikidest, kuhu kuulusid:

  • Prantsusmaa
  • Belgia
  • Alžeeria
  • Šveits
  • Austria

Me ei kahtle, et pärast täiendavat uurimist oleks see loetelu palju pikem.

Kõigi nende andmete ühendamine loob Option Way’i klientide täieliku kasutajaprofiili, muutes need haavatav mitmesuguste küberkuritegevuse ja pettuste vormide suhtes.

Valikuviis Ettevõtte üksikasjad

Peale nende kasutajate, andmerikkumine ohustas ka Option Way paljastades töötajate ja ettevõtte teabe.

Me suutsime vaadata töötajate PII-sid mis kasutasid platvormi lendude broneerimiseks.

Meie uurimise ajal, leidsime, et ettevõtte krediitkaardiandmed on peidetud ja vaadatavad kõigile, kellel on juurdepääs andmebaasile. Seda kasutati töötajate ja klientide lendude broneerimiseks, luues tohutu risk Option Way jaoks.

Ettevõtte krediitkaardi kaitsmata jätmine, Võimalus Way teeb end laastavate finantspettuste suhtes haavatavaks.

Andmete rikkumise mõju

See avatud andmebaas on identiteedi varaste kullakaevandus ja muud ründajad.

Kui kõik lekkest leitavad andmed kokku panna, võisid igasugused kurjategijad seda teavet kasutada mitmesuguste ebaseaduslike ja ohtlike tegevuste jaoks.

Andmepüük & Pettus

Andmepüügikampaania hõlmab seaduslike ettevõtete e-kirjade loomine või organisatsioonid. Need saadetakse kannatanu e-postkasti aadressile meelitage neid väärtusliku isikliku teabe pakkumisega. See võib hõlmata privaatkonto sisselogimist, krediitkaardi üksikasju või muud kasulikku teavet.

Selle saadud teabe abil, ohvrit saab ära kasutada erinevates kriminaalskeemides, alates krediitkaardipettustest kuni identiteedivarguse lõpetamiseni. Häkkerid saavad müüa PII pimedas veebis kõrgeima pakkumise teinud isikule ja kombineerida seda muude rünnakuvormidega, muutes kurjategijad kasutavad andmeid jälitamatult.

Teine võimalus on andmepüügi e-kiri manustatud pahavara või lunavaraga, kasutatakse ohvri luuramiseks või väljapressimiseks.

Juurdepääs Option Way kasutajate isikuandmetele ja reisiplaanidele võimaldavad häkkeritel luua tõhusaid andmepüügimeile, matkides Option Way, lennufirmasid ja paljusid teisi sõltumatuid ettevõtteid.  

Piletikonto ülevõtmine

Samuti rikuti andmete rikkumisega klientide broneeringutele lisatud ainulaadseid broneeringuinfo numbreid. Häkkerid võiksid koos kliendi nimedega neid kasutada variandi Way Way kaudu tehtud broneeringu ülevõtmiseks. Nad võivad lende tühistada või neid muuta, kusjuures ohvrid saavad teada alles pärast seda, kui lennufirma on neist teatanud.

Röövimine

Selle andmebaasiga, häkkerid ja vargad teavad täpselt, millal Option Way kliendid puhkusel on. Nad teavad oma kodust aadressi. Nad saavad pikka aega puudumise kinnitamiseks e-posti teel või klientidele helistada.

Nad saavad siis kavandage tõhusaid koduseid röövimisi, palju väiksema riskiga kinni jääda. Vargad saavad optsioonile Way broneeritud lendude hinda kasutades hinnake klientide netoväärtust ja valige nende eesmärgid potentsiaalse rüüstamise põhjal.

Valikuvõimaluse riskid

Sellel andmelehel on palju negatiivseid tagajärgi ka optsiooniteele. Jättes andmebaasi krüptimata ja turvamata, on nad ka nemad pettuste ja muude riskide suhtes haavatav. 

Krediitkaardipettused

Andmebaasis, meie meeskond leidis ettevõtte krediitkaardi Option Way, kasutatakse platvormil lendude broneerimiseks. Sageli on veebipõhiste reisibüroode, näiteks Option Way, odavatest piletitest kasumi teenimise ainus viis maksta nende eest oma ettevõtte krediitkaartidega ja võtta kasutajakaartidelt eraldi tasu.

Kui kriminaalne või pahatahtlik häkker selle hangiks, siis nad seda teeksid saada juurdepääs kõigile Way Way pangakontodel olevatele rahalistele vahenditele, teha oste ja koguda ettevõtte nimel tohutu võlg.

See vőib olla rahaliselt ja operatiivselt optiline võimalus. See mitte ainult ei paneks neid võlga, vaid ka juriidilist ohtu.

Peale ettevõtte krediitkaardi, andmete leke paljastab ka Option Way töötaja üksikasjad. See muudab nad haavatavaks samade rünnakuvormide suhtes nagu ettevõtte kliendid.

Kompromiteeriv nende ärimudel

Andmebaasi leke annab hindamatu ülevaate Option Way toimimisest ja tulude teenimisest. Seda teavet hoitakse tavaliselt täiesti konfidentsiaalsena, konkurentide eest varjatud. 

Selles andmebaasis sisalduvas teabes navigeerides, konkureeriv ettevõte võiks võita Option Way, nende ärimudelit kopeerida ja õõnestada. See võib tulemuseks on saamatajäänud tulu sellest oleks raske taastuda. 

Reputatsiooniline kahju

Kuidas mõjutab see leke kliente, et nad usaldavad uuesti oma andmeid? Kui pahatahtlik häkker sai juurdepääsu sellele andmebaasile – mis võtab ainult veebibrauseri -, siis kes teab, mida nad müüdava teabega teevad.

Need saavad olema muretseb paljude Option Way klientide meelte pärast pärast andmete rikkumisest lugemist.

Meie avastuse valguses on valikuvõimalus oma klientide usalduse taastamine ja uute meelitamine.

Ekspertide nõuanded

Option Way omanikud oleksid seda leket suutnud vältida, kui nad oleksid võtnud mõned põhilised turvameetmed. Ehkki meie leitud teave võis selle ikkagi kuritegelike häkkerite kätte saada, soovitame Option Way puhul teha järgmist:

  1. Turvaldage oma serverid paremate kaitsemeetmete abil.
  2. Rakendage oma andmebaasidele nõuetekohased juurdepääsureeglid.
  3. Ärge kunagi jätke Internetti avatuks süsteemi, mis ei vaja autentimist.

Ettevõtte kaitsmiseks põhjalikuma juhendi leiate oma veebisaidi ja veebiandmebaasi häkkerite eest kaitsmise kohta.

Kui olete Option Way klient ja tunnete muret selle pärast, kuidas konkreetselt see rikkumine või üldiselt andmete haavatavused võivad teie saiti või ettevõtet mõjutada, loe meie täielik juhend privaatsuse tagamiseks veebis.

See näitab teile mitmel viisil, kuidas küberkurjategijad Interneti-kasutajaid sihivad, ja sammud, mida saate oma turvalisuse tagamiseks teha.

Kuidas ja miks avastasime rikkumise

vpnMentori uurimisrühm leidis selle andmete rikkumise läbi tohutu jätkuv veebikaardistamise projekt. Noami ja Rani juhtimisel skaneerib meeskond sadamaid, otsides tuttavaid IP-plokke ja kasutab neid blokke ettevõtte veebisüsteemis aukude otsimiseks. Kui need augud on leitud, meeskond otsib turvaauke, mis viiksid nende andmete rikkumiseni.

Meeskond avastas selle tohutu osad Option Way andmebaasist on täiesti kaitsmata ja krüptimata. Ettevõte kasutab Elasticsearch andmebaasi, mis tavaliselt pole mõeldud URL-i kasutamiseks. Siiski suutsime pääsete sellele juurde brauseri kaudu ja manipuleerige URL-i otsingukriteeriumidega, et paljastada tohutul hulgal andmeid.

Nende teadmisi kasutades uuris meie meeskond ka andmebaasi, et kinnitada selle identiteeti.

Eetiliste häkkeritena oleme turvanõuete avastamisel kohustatud pöörduma veebisaitide poole.

Need eetikad tähendavad ka me kanname vastutust avalikkuse ees. Võimaluse korral teavitame ka teisi rikkumisest mõjutatud pooli, näiteks kliente, kliente või veebisaidi kasutajaid.

Võimalusviis, kuidas kliendid ja nende platvormil olevad lennuettevõtjad peavad olema teadlikud riskidest, mida nad võtavad, kui kasutatakse tehnoloogiat, mis teeb kasutajate kaitsmiseks nii vähe jõupingutusi.

Õppuse eesmärk on muuta Internet kõigile turvalisemaks.

Meist ja eelmistest aruannetest

vpnMentor on maailma suurim VPN-i arvustuste veebisait. Meie teaduslabor on pro bono teenus, mille eesmärk on aidata veebiringkondadel kaitsta end küberohtude eest, õpetades samal ajal organisatsioone oma kasutajate andmete kaitsmisel.. 

Hiljuti avastasime tohutu andmerikkumise, mis mõjutas 80 miljonit USA leibkonda. Samuti selgus, et Biostar 2 rikkumine kahjustas enam kui miljoni inimese biomeetrilisi andmeid. Võib-olla soovite lugeda ka meie VPN-i lekkearuannet ja andmete privaatsuse statistika aruannet.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map