Доклад: Теренният софтуер изтича чувствителни клиентски данни
Изследователският екип на vpnMentor откри теч в базата данни на софтуера Fieldwork.
Ноам Ротем и Ран Локар, ръководителите на нашия изследователски екип за киберсигурност, откриха а изтичаща база данни, принадлежаща към Fieldwork. Теренната работа предлага софтуер за малък бизнес за ефективно управление на операциите им.
Открихме голямо количество открити данни при нарушението. Това включваше имена на клиенти, адреси, телефонни номера, имейл адрес, алармени кодове, подписи, информация за клиента, данни за кредитна карта, снимки, и други подробни коментари. Най-значително, открихме връзки с автоматично вход, които дават достъп до портал за обслужване на полеви услуги на потребителя. Последиците от това нарушение са обширен.
Свързахме се с Fieldwork, когато открихме теча. Те бяха професионални и ефективни след като получи нашия имейл. Теренната работа затвори изтичането 20 минути след разговора с тях.
Примери за записи в базата данни
Теренната работа е платформа за управление на бизнеса, предлагана за борба с вредителите, грижа за тревата, почистване на басейни и други индустрии за домашно обслужване. Собствеността на Anstar, която произвежда продукти за борба с вредителите, софтуерът помага за проследяване на служители, които извършват домашни разговори. Порталът за клиенти включва също шаблони за фактури, интерфейси за планиране и проследяване на продукта.
Информацията, изтекла в базата данни, включваше:
- Връзки за автоматично вход
- Имейл адреси на потребители
- Имейл адреси на своите клиенти
- Пълни имена
- Телефонен номер на клиентите
- адреси
- GPS местоположения
- IP адреси
- Имейли и текстове, изпращани на потребители или клиенти
- Данни за плащане
- Пълни данни за кредитната карта
- Филтрирани пароли
- Подписи
- Снимки на работни сайтове
- Коментари или инструкции
Най-впечатляващата част от информацията, която открихме в базата данни, беше връзка за автоматично влизане, която даваше на всеки пряк достъп до резервната система на компанията. Записите в бекенда включваха подробна и чувствителна информация за клиента, както и обширно количество административна инфраструктура на компанията.
Голяма част от информацията присъства и в базата данни; обаче видяхме само трупи от последните 30 дни. Въз основа на конфигурацията на данните, базата данни изглежда съхранява дневниците за не повече от 30 дни, преди да ги изпрати до друга система за обработка или анализ.
Възможно е въз основа на другата информация, която имахме в базата данни, човек да е получил достъп до бекъна. Въпреки това, това щеше да е по-сложен проект.
Това е дневник за имейл шаблон за влизане в портала Fieldwork. Включена е тази част от данните имейл адреси, които не са обществено достъпни клиентите да виждат. Въпреки че паролата не е посочена тук, тя остави отворена възможността за намиране на подходяща информация в други части на базата данни.
Намерихме голямо количество от подробна комуникация в регистрационните файлове. Този имейл изглежда, че е изпратен от компания за борба с вредителите, която използва софтуера на Fieldwork до клиент на компанията. Най- клиентът разкри последните четири цифри от кредитната си карта на своята сметка.
Това е стандартен процес на проверка, който може да има отрицателно въздействие въз основа на спецификата на други данни в теча. Лош актьор можеше да използва това в своя полза.
Този дневник показва, че има и такива снимки, достъпни в данните. Той също изложи на потребителя IP адрес.
Тази снимка беше свързана отворена кофа на Amazon които открихме в данните.
Този дневник за комуникация не само казва колко е часът, но и включва конкретни инструкции за влизане в сградата. Това включва множество кодове за аларма, кодове за заключване и пароли които бяха разкрити от клиента. Открихме други дневници, включващи коментари за това къде клиентите са скрили ключовете си.
Много от компаниите, които използват Fieldwork, имат публични адреси, но тези данни също дават информация за техните клиенти които компаниите няма да разкрият пред обществеността. Той също така предоставя номера на лиценза на компанията.
Този дневник скрива паролата, но ни дава яснота имейл адреси свързан с акаунт. Въз основа на информация в други записи е възможно лош актьор все още да има достъп до липсващите идентификационни данни.
Дори и без идентификация на клиента, пълен номер на кредитна карта, с а срок на годност и a CVV номер се виждаше.
Въздействие на нарушаването на данни
Имаше обширен обем информация, включена в данните, дори ако са били налични само 30 дни журнали. Въпреки че Fieldwork филтрира пароли на някои места, някои от шаблоните, които разглеждахме, дадоха подробна информация за намирането на идентификационните данни на акаунта. Имахме и безплатен достъп до връзка за автоматично влизане който беше включен в базата данни. Това позволи достъп до портала за клиенти.
Достъпът до портала е a особено опасна информация. Лош актьор може да се възползва от този достъп не само като използва подробните клиентски и административни записи, съхранявани там. Те също можеха заключете компанията от акаунта чрез извършване на промени в задния ред. Дори да има стъпки за удостоверяване, свързани с промяна на данните за вход, възможно е част от тази информация да присъства в отворената база данни.
Освен това, ако връзките за вход бяха лесни за организиране, някой със злонамерено намерение лесно би могъл да ги запише. В този случай няма значение дали базата данни е затворена. Те пак биха имали директен достъп до голям брой акаунти. Запазването на другите идентификационни данни на акаунта в базата данни винаги е било възможност, но би било по-отнемаща време и предизвикателство. Достъпът до задния портал означава, че някой би могъл отворете записи на компанията по всяко време, дори след като Fieldwork отстрани нарушението.
Има значително количество от данни за местоположението влезли в базата данни, което в комбинация с достъп до портала има тежки последици. Това отваря възможността за кражба на човек или атаки. Ние имаме не само бизнес адреси и GPS координати, но и ние подробни описания за влизане в сграда или офис. Тъй като клиентите открито разкриха алармени кодове или как да получат достъп до своите ключове, може да има застрахователни последици също. Застрахователните компании биха могли анулира политика ако небрежността на притежателя на полица е причинила пробив.
Снимките, които се виждаха в кофата за снимки на Amazon, биха могли да послужат като допълнително потвърждение за местоположение. Те също могат да имат разкри, че клиентът има ценен инвентар. С информация за местоположението крадец би могъл пробив в неоткрит и компенсиране с клиентски запас.
Ако някоя от тези атаки е възникнала въз основа на нарушаването на данните, това би дълбоко въздействат върху компаниите, които разчитат на работа на място за изграждане на техния бизнес. Като за начало, нарушение може подкопават техните доверие на клиентите. Това може да доведе до наемане на клиенти на конкурентна компания, която не е използвала пропусклив софтуер, за да се защити по-добре.
С нефилтриран информация за кредитна карта влезли в базата данни и в портала, това е твърде лесно за злонамерен играч пускайте обвинения за измама на тези кредитни карти. Компаниите за кредитни карти изискват чувствителните данни на картата да бъдат силно криптирани, докато CVV номер не трябва да се съхранява след удостоверяване съгласно PCI разпоредбите. Имахме достъп до всички идентификационни данни, необходими за да направим покупка или дори да копираме карта. В данните, които открихме, не беше ясно дали тези номера на карти принадлежат на компаниите, използващи Fieldwork, или на техните клиенти. Достъпът до портал обаче го прави лесно да се определи.
Извън директния достъп до портала, идентификационните данни, които направихме, също биха могли да окажат влияние извън акаунта на Fieldwork. Поверителните данни от един акаунт често могат да се използват за достъп до друг. Когато имаме пълни имена и адреси, можем да изградим картина на потребител. Лош актьор може да вземе тази информация, за да събере повече данни. След това те могат да използват тази информация, за да откраднат самоличността на човек. Някои дори могат да отворят нови акаунти от името на потребителя.
Една опасност от излагане на имейл адреси включва злонамерени играчи използвайки ги за фишинг атаки. Ако клиентският списък на фирмата може да бъде прегледан заедно с имейл адреса на компанията, това е още по-лесно глупави клиенти да отварят имейл, който включва зловреден софтуер. Това може дайте на хакерите директен достъп към система, която няма връзка с тази отворена база данни. Компаниите имат морално задължение да пазят данните на своите клиенти. В този случай никоя компания, използваща Fieldwork, не поддържа това.
Когато хакерите могат да проникнат в система, те имат много възможности за отваряне. Изключването на операциите ще струва на компанията значителни суми пари. Хакер може също така да продава откраднати данни на конкурентна компания. Теренната работа предлага на пазара своите продукти на малки предприятия, които разполагат с по-малко финансови ресурси, ако бъдат спрени от хак.
И накрая, открихме подписи в данните. от копиране на формата на подпис, лош актьор има още един инструмент за извършват кражба на самоличност чрез фалшификация. Повечето цифрови подписи се свързват към IP адрес. Ако обаче имаме всички идентификационни данни на потребителя, включително номер на кредитна карта, IP адрес и подпис, задачата за подправяне е опростена.
Съвети от експертите
Има няколко прости стъпки Теренната работа можеше да предприеме, за да защити своята база данни от самото начало. Ето няколко съвети на експертите за предотвратяване или закрепване на нарушение в база данни.
- Защитете сървърите си.
- Прилагайте правилни правила за достъп.
- Никога не оставяйте отворена за интернет система, която не изисква удостоверяване.
За по-задълбочено ръководство за това как да защитите бизнеса си, вижте как да защитите вашия уебсайт и онлайн база данни от хакери.
Как открихме нарушението
Нашият изследователски екип разкри този изтичане на данни в нашата обширна проект за уеб-картиране. Начело на Ран и Ноам те сканират портове известни IP блокове. Оттам екипът може да търси отвори в системата. След като откриват теч, те използват своите знания за киберсигурност потвърдете самоличността на базата данни.
Всеки път, когато открием нарушение, ние свържете се със собственика на базата данни, за да ги предупреди за изтичащите данни. Ако е възможно, ще информираме и други засегнати от отворите в системата. Нашата цел с този проект е да създадем по-безопасни и по-сигурни интернет за потребители навсякъде.
За нас и предишни отчети
vpnMentor е най-големият уебсайт за преглед на VPN в света. Нашата изследователска лаборатория е про bono услуга, към която се стремим помогнете на онлайн общността да се защити срещу кибер заплахи, докато обучават организации за защита на данните на своите потребители.
Наскоро открихме огромно нарушение на данните, засягащо 78 хиляди пациенти, приемащи Vascepa. Също така разкрихме, че xSocialMedia претърпя широко нарушение на данните. Можете също така да прочетете нашия отчет за течове на VPN и отчет за статистиката на поверителност на данните.
Моля те споделете този доклад във Facebook или туитвай го.
Nikolas
17.04.2023 @ 21:25
Това е много сериозно нарушение на данните, което може да има неблагоприятни последици за клиентите на Fieldwork. Важно е да се вземат мерки за защита на личните данни на клиентите и да се предотвратят подобни инциденти в бъдеще. Благодарение на професионализма на изследователския екип на vpnMentor и бързата реакция на Fieldwork, течът беше затворен бързо и ефективно. Всички компании трябва да вземат мерки за защита на личните данни на своите клиенти и да ги съхраняват в сигурност.