Aruanne: välitarkvara lekitab tundlikke kliendi andmeid


vpnMentori uurimisrühm leidis lekke välitööstuse tarkvara andmebaasist.

Meie küberjulgeoleku uurimisrühma juhid Noam Rotem ja Ran Locar leidsid a Välitööstusele kuuluv lekitav andmebaas. Välitöö pakub väikeettevõtete tarkvara oma tegevuse tõhusaks juhtimiseks.

Leidsime rikkumisest suure hulga paljastatud andmeid. See sisaldas ka klientide nimed, aadressid, telefoninumbrid, e-posti aadress, häirekoodid, allkirjad, teave kliendi kohta, krediitkaardiandmed, fotod, ja muud üksikasjalikud märkused. Kõige olulisem on see, et leidsime automaatsed sisselogimislingid, mis annavad juurdepääsu kasutaja välitööde portaali. Selle rikkumise tagajärjed on järgmised: ulatuslik.

Kui lekke avastasime, võtsime ühendust välitöödega. Nad olid professionaalne ja tõhus pärast meie e-kirja saamist. Välitööd sulgesid lekke 20 minutit pärast nendega rääkimist.

Andmebaasi kannete näited

Välitööd on ettevõtte juhtimisplatvorm, mida turustatakse kahjuritõrje, muruhoolduse, basseinide puhastamise ja muu koduteeninduse valdkonnas. Kahjuritõrjetooteid tootva ettevõtte Anstar omandis olev tarkvara aitab jälgida majakõnesid tegevaid töötajaid. Kliendiportaal sisaldab ka arve malle, ajastusliideseid ja toote jälgimist.

Andmebaasi lekkinud teave sisaldas järgmist:

  • Automaatse sisselogimise lingid
  • Kasutajate e-posti aadressid
  • Nende klientide e-posti aadressid
  • Täisnimed
  • Klientide telefoninumbrid
  • Aadressid
  • GPS-i asukohad
  • IP-aadressid
  • Kasutajatele või klientidele saadetud e-kirjad ja tekstid
  • Arvelduse üksikasjad
  • Krediitkaardi täielikud andmed
  • Filtreeritud paroolid
  • Allkirjad
  • Pildid töökohtadest
  • Kommentaarid või juhised

Kõige mõjukam teave, mille andmebaasist avastasime, oli automaatse sisselogimise link, mis andis kõigile otsese juurdepääsu ettevõtte taustsüsteemile. Taustal olevad kirjed sisaldasid üksikasjalikku ja tundlikku teavet kliendi kohta, samuti ulatuslikku hulka ettevõtte halduse infrastruktuuri.

Suur osa informatsioonist oli ka andmebaasis; aga me nägime ainult viimase 30 päeva palke. Andmete konfiguratsiooni põhjal tundus, et andmebaas salvestab logisid kuni 30 päeva enne nende saatmist teise süsteemi töötlemiseks või analüüsimiseks.

Muu andmebaasis sisalduva teabe põhjal on võimalik, et oleks saanud juurdepääsu taustprogrammile. Isegi siis oleks see olnud keerukam projekt.

See on välitöö portaali sisselogimist käsitleva e-posti malli logi. See teave sisaldas e-posti aadressid, mis pole avalikult kättesaadavad klientidele näha. Ehkki parooli ei anta siin otse, jättis see võimaluse leida asjakohast teavet muust andmebaasi osast.

Leidsime suures koguses üksikasjalik suhtlus andmelogis. See e-kiri näeb välja selline, et selle saatis ettevõtte Fieldwork tarkvara kasutav kahjuritõrjeettevõtte ettevõtte kliendile. klient avalikustas oma konto krediitkaardi neli viimast numbrit.

See on standardne kinnitamisprotsess, millel võib olla lekke muude andmete spetsiifilisusel negatiivne mõju. Halb näitleja oleks võinud seda oma eeliseks ära kasutada.

See logi näitab, et neid on ka andmetes juurdepääsetavad fotod. See paljastas ka kasutaja IP-aadress.

See foto lingiti avatud Amazoni kopp mille avastasime andmetes.

See suhtluslogi mitte ainult ei ütle, mis kell on kohtumine, vaid sisaldab ka konkreetsed juhised hoonesse sisenemiseks. See hõlmab mitut häirekoodid, lukukasti koodid ja paroolid mille klient avalikustas. Leidsime muid logisid, mis sisaldasid kommentaare selle kohta, kus kliendid oma võtmeid peitsid.

Paljudel välitöödel töötavatel ettevõtetel on avalikud aadressid, kuid ka need andmed annavad teave nende klientide kohta mida ettevõtted ei avaldaks. See sisaldab ka ettevõtte litsentsi numbrit.

See logi küll parooli peidab, kuid annab meile selle selgeks e-posti aadressid seotud kontoga. Teistes kirjetes sisalduva teabe põhjal on võimalik, et halb näitleja pääseb kadunud mandaatidele juurde.

Isegi ilma kliendi tuvastamiseta krediitkaardi täielik number, koos aegumiskuupäev ja a CVV number oli nähtav.

Andmete rikkumise mõju

Seal oli kaasatud on palju teavet andmetes, isegi kui logisid olid saadaval ainult 30 päeva. Ehkki välitööd filtreerisid mõnes kohas paroole, andsid mõned meie poolt vaadatud mallid üksikasjalik teave konto mandaadi leidmise kohta. Meil oli ka vaba juurdepääs automaatse sisselogimise link mis kaasati andmebaasi. See võimaldas juurdepääsu kliendiportaalile.

Juurdepääs portaalile on a eriti ohtlik teave. Halb näitleja saab seda juurdepääsu ära kasutada mitte ainult seal talletatud üksikasjalike kliendi- ja administratiivdokumentide abil. Nad võiksid ka lukustada ettevõte kontolt tagapõhja muudatusi tehes. Isegi kui sisselogimisteabe muutmisega oleks seotud autentimistoiminguid, on võimalik, et osa sellest teabest oli avatud andmebaasis.

Lisaks, kui sisselogimislinke oli lihtne korraldada, võis pahatahtlike kavatsustega inimene neid hõlpsalt päästa. Sel juhul poleks vahet, kas andmebaas suletakse. Neil oleks ikka otsene juurdepääs suurele hulgale kontodele. Teiste konto mandaatide salvestamine andmebaasis oli alati võimalus, kuid see oleks aeganõudvam ja keerulisem ülesanne. Juurdepääs taustaportaalile tähendab, et keegi võiks avage ettevõtte dokumendid igal ajal, isegi pärast seda, kui välitöö fikseeris rikkumise.

Neid on märkimisväärses koguses asukoha andmed sisse logitud andmebaasi, millel koos portaali juurdepääsuga on tõsised tagajärjed. See avab võimaluse isiklikud vargused või rünnakud. Meil pole mitte ainult ettevõtte aadresse ja GPS-koordinaate, vaid ka meil hoonesse või kontorisse sisenemise üksikasjalikud kirjeldused. Kuna kliendid avalikustasid häirekoodid või kuidas nende võtmetele juurde pääseda, võib see olemas olla kindlustus tagajärjed samuti. Kindlustusfirmad võiksid tühistada poliitika kui kindlustusvõtja hooletus põhjustas sissetungimise.

Amazoni fotode ämbris vaadatavad fotod oleksid võinud olla asukoha täiendavaks kinnituseks. Neil võib ka olla avalikustas, et kliendil oli väärtuslik inventar. Asukohainfoga saaks varas murda märkamatult sisse ja teha kliendi varudega raha.

Kui mõni neist rünnakutest oleks toimunud andmete rikkumise tõttu, oleks see põhjalik mõjutada välitöödele lootnud ettevõtteid oma ettevõtete ehitamiseks. Alustuseks rikkumine võiks õõnestada nende klientide usaldus. See võib viia selleni, et kliendid võtavad tööle konkureeriva ettevõtte, kes ei kasutanud enda paremaks kaitsmiseks lekkekat tarkvara.

Filtreerimata krediitkaardi andmed andmebaasi ja portaali sisse logitud, on pahatahtlikul mängijal seda liiga lihtne teha sisse nõudma pettusi nendel krediitkaartidel. Krediitkaardiettevõtted nõuavad, et tundlikud kaardiandmed oleksid tugevalt krüptitud, samas kui PCI-määruste kohaselt ei tohiks pärast autentimist CVV-numbrit säilitada. Meil oli juurdepääs kõigile mandaatidele, mis olid vajalikud ostu tegemiseks või isegi kaardi kopeerimiseks. Meie leitud andmetes oli ebaselge, kas need kaardinumbrid kuulusid välitöid kasutavatele ettevõtetele või nende klientidele. Kuid portaali juurdepääsu abil on selle määramine lihtne.

Väljaspool otsest juurdepääsu portaalile võivad mandaadid, mis meil olid, avaldada mõju ka väljal Fieldwork konto. Ühe konto mandaate saab sageli kasutada teisele kontole pääsemiseks. Kui meil on täisnimed ja aadressid, saame kasutajast pildi luua. Halb näitleja võib seda teavet kasutada, et koguda rohkem andmeid. Seejärel võiksid nad seda teavet kasutada inimese identiteedi varastamiseks. Mõni võib isegi kasutaja nimel uusi kontosid avada.

Üks oht e-posti aadresside paljastamiseks hõlmab pahatahtlikke mängijaid kasutades neid andmepüügirünnakute jaoks. Kui ettevõtte klientide nimekirja saab vaadata koos ettevõtte e-posti aadressiga, on seda veelgi lihtsam teha narrivad kliente pahavara sisaldava e-kirja avamisele. Seda saab anda häkkeritele otsene juurdepääs süsteemi, millel polnud selle avatud andmebaasiga ühendusi. Ettevõttel on moraalne kohustus hoida oma klientide andmeid turvalisena. Sel juhul ei toetanud ükski välitööd kasutav ettevõte seda.

Kui häkkerid suudavad süsteemi imbuda, on neil palju võimalusi. Toimingute lõpetamine läheb ettevõttele maksma märkimisväärseid summasid. Häkker võis varastatud andmeid ka konkureerivale ettevõttele müüa. Välitööd turustavad oma tooteid väikeettevõtetele, kellel on vähem rahalisi ressursse, kui nad suudetakse häkkida.

Lõpuks avastasime andmetest allkirjad. Kõrval allkirja kuju kopeerimine, halval näitlejal on veel üks tööriist sooritada identiteedivargus võltsimise teel. Enamik digitaalallkirju seob IP-aadressi. Kui aga meil on kõik kasutaja mandaadid, sealhulgas krediitkaardi number, IP-aadress ja allkiri, võltsimise ülesannet on lihtsustatud.

Ekspertide nõuanded

Seal on paar lihtsat sammu Välistööd oleks võinud võtta oma andmebaasi kaitsmiseks algusest peale. Siin on mõned asjatundlikud näpunäited rikkumise vältimiseks või parandamiseks andmebaasis.

  1. Turvaldage oma serverid.
  2. Rakendage nõuetekohased juurdepääsueeskirjad.
  3. Ärge kunagi jätke Internetti avatuks süsteemi, mis ei vaja autentimist.

Ettevõtte kaitsmiseks põhjalikuma juhendi leiate oma veebisaidi ja veebiandmebaasi häkkerite eest kaitsmise kohta.

Kuidas avastasime rikkumise

Meie uurimisrühm avastas selle lekke meie ulatuslikus veebikaardistamisprojekt. Ran ja Noami juhtimisel otsivad nad sadamaid teadaolevad IP-plokid. Sealt saab meeskond otsida avad süsteemis. Pärast lekke leidmist kasutavad nad oma märkimisväärseid küberjulgeolekualaseid teadmisi kinnitage andmebaasi identiteet.

Iga kord, kui avastame rikkumise, siis ka meie võtke ühendust omanikuga andmebaasi, et hoiatada neid lekkinud andmete eest. Võimalusel teavitame ka teisi süsteemi avaustest mõjutatud inimesi. Meie eesmärk selle projektiga on luua turvalisem ja kindlam Internet kasutajatele kõikjal.

Meist ja eelmistest aruannetest

vpnMentor on maailma suurim VPN-i arvustuste veebisait. Meie teaduslabor on pro bono teenus, mille poole püüdletakse aidata veebikogukonnal ennast kaitsta küberohtude vastu, õpetades samal ajal organisatsioone oma kasutajate andmete kaitsmisel.

Hiljuti avastasime tohutu andmerikkumise, mis mõjutas 78 tuhat Vascepa’t kasutanud patsienti. Samuti selgus, et xSocialMedia kannatas laialt levinud andmete rikkumise all. Võib-olla soovite lugeda ka meie VPN-i lekkearuannet ja andmete privaatsuse statistika aruannet.

Palun jaga seda aruannet Facebookis või piiksuma.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map