Доклад: Промоционалната кампания за тютюневи изделия излага румънски потребителски данни
Наскоро изследователският екип на vpnMentor откри нарушение на данни в румънска уеб платформа, собственост на международна тютюнева компания British American Tobacco (BAT).
BAT е базирана в Обединеното кралство. Той е един от най-големите световни производители на тютюневи и никотинови продукти.
Воден от изследователите на поверителността на интернет Ноам Ротем и Ран Локар, нашият екип откри нарушението на данните на необезпечен сървър, свързан към уеб платформата YOUniverse.ro. Уеб платформата е част от промоционална кампания BAT Romania, насочена към възрастни пушачи.
Чрез платформата румънските жители могат да спечелят билети за партита и събития с участието на известни местни и международни изпълнители.
Румънският закон забранява повечето видове реклама на тютюн. Законът обаче разрешава някои видове промоционални кампании и спонсорства за събития, които са насочени изключително към съществуващите пушачи над 18-годишна възраст.
Нарушаването на данните включва чувствителна лична информация (PII) на потребителите.
Още по-притеснителното е, че екипът ни откри, че незащитеният сървър има вече е компрометиран от ransomware.
Въпреки многократните опити на нашия екип да разкрие нарушението, базата данни остава отворена и необезпечена повече от два месеца. От 22 септември, многократно се опитвахме да се свържете с компанията (местния клон, както и глобалната компания), хостващата компания на сървъра, Националния орган за защита на потребителите в Румъния (ANPC) и сертифициращия орган (CA). Единственото парти, от което се чухме беше CA. Свързахме се и с няколко румънски журналисти с молба за помощ да се свържем с компанията, но все още не сме получили отговор.
Към 27 ноември базата данни беше окончателно затворена, но никой никога не ни отговори.
Пример за записи в базата данни
Нарушението бе открито на необезпечен сървър Elasticsearch, разположен в Ирландия. Течещата база данни включва близо до 352 GB данни.
Ransomware Attack
Всеки път, когато нашият изследователски екип намери уязвимост в сървър, ние се надяваме, че никой злонамерен актьор първо не е намерил уязвимостта.
За съжаление точно това се случи тук. По времето, когато изследователският ни екип откри нарушението на данните, сървърът вече беше компрометиран от ransomware.
Открихме 53 индекса на сървъра, но почти всички бяха празни. Вероятно тези индекси са създадени от хакерите, отговорни за атаката за износ.
Сървърът също съдържа readme файл със заявка за откуп:
Въз основа на файла за readme изглежда това хакер или група хакери заплашват да изтрият данните от сървъра, ако исканията им не бъдат изпълнени. Хакерите изискват плащане на биткойн в замяна на данните.
Дневни дневници
Дори и след като е бил подправен, сървърът все още съдържа някои значими данни. Можехме да виждаме дневници от последните седем дни, всеки от които се съхранява в отделен индекс.
Дневниците изглежда представляват записи на http комуникации чрез уеб платформата YOUniverse.
Примери за лични данни, които можем да видим, включват:
- пълно име
- електронна поща
- телефонен номер
- дата на раждане
- пол
- източник IP
- предпочитания за цигари и тютюневи изделия
Има и вътрешни стойности, които евентуално биха могли да съдържат по-чувствителна информация. Значението на някои от вътрешните данни беше неясно.
Някои от записите включват съобщения, написани на румънски език. Те изглежда са заявки, изпращани от потребители, които могат да бъдат клиенти или филиали.
Например някои от съобщенията искат помощ и описват проблеми с кодовете за награди и награди.
На английски съобщението гласи:
„Добър вечер, в края на юни използвах опитните точки, за да заявя 2 ваучера за Doncafe по 400 леи всеки. В съобщенията за потвърждение на награди не беше посочена дата, кода кодовете могат да бъдат използвани, но когато се обадих днес, за да направя резервация там, ми казаха, че са сключили сътрудничеството с вас. Моля, предоставете ми решение за използване на 2-те ваучера. Благодаря ти!”
Базата данни също съдържаше някои метаданни, свързани с изходящи имейли което не успя да достигне до получателя. Тези записи съдържаха само метаданни, а не действителното съдържание на съобщенията в имейлите.
Можем да видим следната информация в метаданните на имейла:
- предназначен имейл адрес на потребителя
- тема на имейла
- вътрешен потребителски номер
Можем също да видим имейл адреса на изпращача. Имейл домейнът на изпращача, MereuMaiMult, е свързан с BAT Romania. Mereu mai mult е румънска фраза, която грубо се превежда като “винаги повече”. Тя е част от същата промоционална кампания като YOUniverse.
Повече информация може да бъде изложена
Възможно е много данни да са липсвали от сървъра поради атака на ransomware, така че не можем да сме сигурни каква друга информация може да бъде компрометирана.
За да добием представа какъв вид данни може да са изтекли, разгледахме политиката за поверителност, която обхваща всички уеб платформи за промоционалната кампания BAT Romania. Те включват YOUniverse.ro, мобилното приложение YOUniverse, experiencemore.ro, mereumaimult.ro, preprietenie.ro и theunseen.ro.
Открихме и идентификационни данни за вход в система на Microsoft Dynamic CRM, включително незашифровани пароли. За съжаление, това означава, че е възможно да бъдат изложени още повече данни. По етични причини не използвахме идентификационни данни за вход, така че не знаем каква информация е достъпна чрез системата.
Според декларацията за поверителност, компанията събира и използва следната информация, когато потребителите се регистрират за някоя от нейните платформи:
- първо и последно име
- дата на раждане
- телефонен номер
- имейл адрес
- местоживеене
- предпочитания за марка и продукт, включително любим тютюн
За да се регистрират в платформата, потребителите трябва също да въведат код, който може да се получи само чрез закупуване на пакет цигари.
Този код се използва за спазване на румънското законодателство. Компанията е длъжна да провери дали всички потребители са активни пушачи, преди да могат да участват в промоционалните дейности.
Освен това в декларацията за поверителност се казва, че ако спечелите награда на стойност над определена сума, компанията трябва да поиска вашата CNP за деклариране и плащане на данък върху дохода. Това е свързано, защото CNP се отнася до номер на румънската национална лична карта.
Не намерихме доказателства, че номерата на CNP на потребителите са изложени, но успяхме да прегледаме само дневните дневници. Възможно е националните идентификационни номера на потребителите да са били изложени по-рано при атаката за извличане на софтуер.
Въздействие на нарушаването на данни
Трудно е да се оцени броят на хората, които биха могли да бъдат засегнати от това нарушение на данните.
Поради размера на базата данни и етичните граници, които ни пречат да копаем твърде дълбоко в личните данни, не можем да сме сигурни колко потребители могат да бъдат засегнати.
Сървърът съдържа регистрационни файлове за предишните седем дни. Някои от дневниците съдържат повече от 60 милиона записа, а някои записи съдържат множество набори от потребителски данни. От друга страна, някои записи съдържат нулеви или дублирани данни.
Възможно е голям брой потребители да са нарушили поверителността си при това нарушение на данните.
Измами и атаки с фишинг
Нарушението на данните изложи контактна информация за голям брой потребители. Изтичащите имейли и телефонните номера излагат хората на риск фишинг атаки и измами.
Зловредните страни могат да използват други лични данни от нарушаването на данните, за да създадат персонализирани фишинг атаки които са насочени към отделни потребители.
Фишинг атаките могат да бъдат под формата на имейли, които изглеждат законни. В действителност тези имейли могат да бъдат създадени заразявайте получателите със злонамерен софтуер или подмамвайте хората да разкриват чувствителни подробности.
Потребителите също могат да бъдат изложени на риск да станат жертва на измами с текстови съобщения и телефон. В краен случай хакерите могат дори да подмамят доставчиците на телефонни услуги да им помогнат да отвлекат номерата на мобилните телефони на потребителите.
Успешните фишинг атаки и измами, които дават на хакерите достъп до допълнителна информация или лични акаунти, дори биха могли да доведат до кражба на самоличност.
Конкуренти и рекламодатели
Друг проблем, който трябва да се вземе предвид, са последствията от нарушаването на данните за BAT Румъния и нейните конкуренти. Сега конкурентите могат да имат достъп до детайли за клиентите на BAT Romania, включително PII и предпочитания за тютюн.
Тази информация може да помогне на конкурентите да се насочат ефективно към активните пушачи. Това би могло да осигури голяма полза за конкуренцията на BAT Romania.
Трети рекламодатели също биха могли да се възползват от достъп до изтеклите потребителски данни. Информацията може да се използва за създаване на високоефективни насочени рекламни кампании.
Притеснения за поверителност за пушачите
Нарушаването на данните компрометира поверителността на потребителите по друг потенциално вреден начин.
За да участват в платформата, потребителите са длъжни да докажат, че са настоящи пушачи, като предоставят код, който може да се намери на пакет цигари.
Нарушението на данните разкри имената на настоящите пушачи, които може да не искат техните навици за пушене, изложени на света. Това дори може да има сериозни финансови последици за потребителите. Например, застрахователните компании често имат различни тарифи за пушачите.
Ако някой твърди, че не е пушач, но застрахователната компания намери името на това лице в изтеклата база данни, на потребителя може да бъде таксуван по-висок процент.
Последствия от Ransomware
В действителност въздействието на нарушаването на данните може да бъде много по-голямо, отколкото изглежда. За съжаление, незащитеният сървър вече беше компрометиран от ransomware, когато нашият изследователски екип откри уязвимостта.
Тъй като базата данни вече е подправена, реалният размер и тежест за въздействието на нарушаването на данните не са известни. Дори ако заявката за откуп е платена, няма начин наистина да си върнете изтеклата информация.
Хакерите може да възстановят всички липсващи данни, но хакерите могат лесно да запазят копие на чувствителни данни за потребители и компании.
Друга тревога е, че сървърите на други компании могат да бъдат засегнати. Когато проведохме търсене в Google с ключови думи от съобщението за откуп, открихме множество примери за други сървъри, които преживяха същата атака срещу откуп, със същото съобщение дума за дума.
Това може да означава, че данните вече са изтекли и вече са в ръцете на престъпна организация.
Съвети от експертите
Атаката, използвана за извличане на софтуер, която открихме като част от това нарушение на данни, е перфектен пример за рисковете да не защитите вашите сървъри..
Нарушаването на данните би могло да бъде предотвратено с някои основни мерки за сигурност. Най-малкото, винаги трябва да имате предвид следните практики за сигурност:
- Защитете сървърите си
- Прилагайте подходящи правила за достъп
- Изисквайте удостоверяване за достъп до всички системи
За по-задълбочено ръководство за това как да защитите бизнеса си, разгледайте нашата статия за как да защитите вашия уебсайт и онлайн база данни от хакери.
Как и защо открихме нарушението
Водени от експерти по сигурността Ран и Ноам, изследователският екип vpnMentor откри това нарушение като част от нашето мащабен проект за уеб картиране.
Нашият изследователски екип сканира портове, за да намери известни IP блокове. След това екипът търси уязвимости в системата, които биха посочили отворена база данни.
След като бъде открито нарушение на данните, нашият екип свързва базата данни със собственика. Ние тогава свържете се със собственика, информирайте ги за уязвимостта и им предложете начини, по които собственикът може да направи системата си по-сигурна.
Като етични хакери и изследователи ние никога не продаваме, съхраняваме или излагаме информацията, която срещаме.
Нашата цел е да подобрим цялостната безопасност и сигурност на интернет за всички.
За нас и предишни отчети
vpnMentor е най-големият уебсайт за преглед на VPN в света. Нашата изследователска лаборатория е про bono услуга, която се стреми да помогне на онлайн общността да се защити от кибер заплахи, като същевременно обучава организации за защита на данните на своите потребители.
Наскоро открихме огромно нарушение на данните в Еквадор, което засегна милиони хора. Също така разкрихме масивна мрежа за измами, насочена срещу Groupon и онлайн доставчици на билети.
Roberto
17.04.2023 @ 21:36
ден, искам да се свържа с вас, защото не мога да влезна в профила си и да взема наградата си. Моля, помогнете ми.“
Повече информация може да бъде изложена
Въздействие на нарушаването на данни
Измами и атаки с фишинг
Конкуренти и рекламодатели
Притеснения за поверителност за пушачите
Последствия от Ransomware
Съвети от експертите
Как и защо открихме нарушението
За нас и предишни отчети
Като един от най-големите производители на тютюневи и никотинови продукти в света, British American Tobacco (BAT) има голямо влияние върху пазара на тютюневи изделия. Нарушението на данните в уеб платформата YOUniverse.ro, която е част от промоционална кампания на BAT Romania, може да има сериозни последствия за потребителите на тютюневи продукти в Румъния. Нарушението включва чувствителна лична информация на потребителите, която може да бъде използвана за измами и атаки с фишинг. Освен това, компрометирането на сървъра от ransomware може да доведе до загуба на данни и нарушаване на поверителността на потребителите. Екипът на vpnMentor преп