Izvještaj: Promidžbena kampanja o duhanu izlaže podatke korisnika Rumunjske


Istraživački tim vpnMentor nedavno je otkrio kršenje podataka na rumunjskoj web platformi čiji je vlasnik međunarodna duhanska kompanija British American Tobacco (BAT).

BAT ima sjedište u Ujedinjenom Kraljevstvu. Jedan je od najvećih svjetskih proizvođača duhanskih i nikotinskih proizvoda.

Naš tim je, pod vodstvom istraživača internetske zaštite privatnosti, Noam Rotem i Ran Locar, pronašao kršenje podataka na nezaštićenom poslužitelju povezanom na web platforma YOUniverse.ro. Web platforma dio je promotivne kampanje BAT Romania koja cilja odrasle pušače.

Kroz platformu, stanovnici Rumunjske mogu osvojiti ulaznice za zabave i događanja s poznatim domaćim i međunarodnim izvođačima.

Rumunjski zakon zabranjuje oglašavanje većine vrsta duhana. No, zakon dopušta određene vrste promotivnih kampanja i sponzorstava događaja koje ciljaju isključivo postojeće pušače starije od 18 godina.

Kršenje podataka uključuje osjetljive osobne podatke (PII) korisnika.

Još više zabrinjava činjenica da je naš tim otkrio da nesiguran poslužitelj ima već ugrožena ransomwareom.

Unatoč višestrukim pokušajima našeg tima da otkrije kršenje pravila, baza podataka ostala je otvorena i nezaštićena više od dva mjeseca. Počevši od 22. rujna, više puta smo pokušali kontaktirati tvrtku (lokalnu podružnicu kao i globalnu kompaniju), poslužiteljsku kompaniju poslužitelja, nacionalnu upravu za zaštitu potrošača Rumunjske (ANPC) i certifikacijsko tijelo (CA). Jedina zabava od koje smo se čuli bio je CA. Također smo kontaktirali nekoliko rumunjskih novinara koji su tražili pomoć u vezi s tvrtkom, ali odgovor još uvijek nismo dobili.

Od 27. studenog baza podataka je napokon zatvorena, ali nitko nam nikada nije odgovorio.

Primjer unosa u bazi podataka

Prekršaj je otkriven na nesigurnom poslužitelju Elasticsearch koji se nalazi u Irskoj. Propuštena baza podataka uključuje blizu 352 GB podataka.

Ransomware Attack

Kad god naš istraživački tim utvrdi ranjivost na poslužitelju, naša je nada da nijedan zlonamjerni glumac nije prvi pronašao ranjivost.

Nažalost, upravo se ovdje dogodilo to. Do trenutka kada je naš istraživački tim otkrio kršenje podataka, poslužitelj je već bio ugrožen ransomware-om.

Na poslužitelju smo pronašli 53 indeksa, ali gotovo svi su bili prazni. Vjerojatno su te indekse stvorili hakeri odgovorni za napad ransomwarea.

Poslužitelj je također sadržavao readme datoteku sa zahtjevom za otkupninu:

BAT Rumunjska readme

Na temelju datoteke readme, čini se da haker ili skupina hakera prijete da će izbrisati podatke s poslužitelja ako se ne ispune njihovi zahtjevi. Hakeri zahtijevaju plaćanje Bitcoin-om u zamjenu za podatke.

Dnevni dnevnici

Čak i nakon što se u njemu neovlašteno dira, poslužitelj je i dalje sadržavao neke značajne podatke. Mogli smo vidjeti dnevne zapise iz posljednjih sedam dana, svaki pohranjeni u zasebnom indeksu.

Čini se da zapisnici predstavljaju zapise http komunikacije putem YOUniverse web platforme.

Primjeri osobnih podataka koje bismo mogli vidjeti uključuju:

  • puno ime
  • e
  • broj telefona
  • Datum rođenja
  • rod
  • izvor IP
  • sklonosti cigaretama i duhanskim proizvodima

Postoje i unutarnje vrijednosti koje bi mogle sadržavati osjetljivije informacije. Značenje nekih unutarnjih podataka bilo je nejasno.

Podaci o BAT Rumunjskoj 1

Neki od unosa obuhvaćali su poruke napisane na rumunjskom. Čini se da su upiti poslani od strane korisnika, koji mogu biti kupci ili podružnice.

Na primjer, neke poruke traže pomoć i opisuju probleme s kodovima nagrada i nagrade.

Podaci o BAT Rumunjskoj 2

Na engleskom jeziku poruka glasi:

„Dobra večer, krajem lipnja koristio sam iskustvene bodove kako bih položio dva doncafe vaučera od po 400 leja. U porukama za potvrdu nagrada nije naveden datum kada se kodovi mogu upotrijebiti, ali kad sam danas nazvao da rezerviram tamo, rekli su mi da smo s vama zaključili suradnju. Donesite mi rješenje za korištenje 2 bona. Hvala vam!"

Baza podataka sadržavala je i neke metapodaci koji se odnose na odlaznu e-poštu koja nije uspjela doći do primatelja. Ti unosi sadržavali su samo metapodatke, a ne stvarni sadržaj poruka e-pošte.

U metapodacima e-pošte mogli bismo vidjeti sljedeće podatke:

  • planirana odredišna adresa e-pošte korisnika
  • predmet e-pošte
  • unutarnji ID korisnika

Podaci o BAT Rumunjskoj 3

Također možemo vidjeti e-adresu pošiljatelja. Domena pošiljatelja e-pošte, MereuMaiMult, povezana je s BAT Romania. Mereu mai mult je rumunjski izraz koji otprilike znači "uvijek više." Dio je iste promotivne kampanje kao i YOUniverse.

Više informacija može biti izloženo

Možda je puno podataka nedostajalo s poslužitelja zbog napada ransomwarea, pa ne možemo biti sigurni koji bi drugi podaci mogli biti ugroženi.

Da bismo dobili predstavu o tome kakvi bi podaci mogli procuriti, pogledali smo politiku privatnosti koja pokriva sve web platforme promotivne kampanje BAT Romania. To uključuje YOUniverse.ro, mobilnu aplikaciju YOUniverse, experiencemore.ro, mereumaimult.ro, preprietenie.ro i theunseen.ro.

Otkrili smo i vjerodajnice za prijavu na Microsoft Dynamic CRM sustav, uključujući nešifrirane lozinke. Nažalost, to znači da može biti izloženo još više podataka. Iz etičkih razloga nismo koristili vjerodajnice za prijavu, tako da ne znamo koje su informacije dostupne putem sustava.

Prema izjavi o privatnosti, tvrtka prikuplja i koristi sljedeće podatke kada se korisnici registriraju za bilo koju od njegovih platformi:

  • ime i prezime
  • Datum rođenja
  • broj telefona
  • email adresa
  • mjesto boravka
  • marku i postavke proizvoda, uključujući omiljeni duhan

Da bi se prijavili na platformu, korisnici moraju unijeti i kôd koji mogu dobiti jedino kupnjom paketa cigareta.

Ovaj se kôd koristi za usklađivanje s rumunjskim zakonom. Tvrtka je dužna provjeriti jesu li svi korisnici aktivni pušači prije nego što mogu sudjelovati u promotivnim aktivnostima.

Pored toga, izjava o privatnosti kaže da ako osvojite nagradu u vrijednosti većoj od određenog iznosa, tvrtka mora zatražiti od vašeg CNP-a za deklaraciju i plaćanje poreza na dohodak. To se tiče jer CNP se odnosi na rumunski broj nacionalne iskaznice.

Nismo pronašli dokaze da su izloženi CNP brojevi korisnika, ali samo smo mogli pregledavati dnevne zapise. Moguće je da su nacionalni napadi korisnika već bili izloženi u napadu ransomwarea.

Učinak kršenja podataka

Teško je procijeniti broj osoba na koje bi kršenje ovih podataka moglo utjecati.

Zbog veličine baze podataka i etičkih granica koje nas sprječavaju da previše duboko kopamo u osobne podatke, ne možemo biti sigurni na koliko korisnika može utjecati.

Poslužitelj sadrži zapisnike za prethodnih sedam dana. Neki dnevni dnevnici sadrže više od 60 milijuna unosa, a neki unosi sadrže više skupa korisničkih podataka. S druge strane, neki unosi sadrže nulte ili duplikatne podatke.

Moguće je da je kršenjem ovih podataka došlo do ugrožavanja privatnosti velikog broja korisnika.

Prijevare i napadi krađe identiteta

Kršenje podataka izložilo je kontaktne podatke velikog broja korisnika. Propuštene adrese e-pošte i telefonski brojevi ugrožavaju ljude phishing napada i prevare.

Zlonamjerne stranke mogle bi koristiti druge osobne podatke iz kršenja podataka za stvaranje prilagođeni phishing napadi koji ciljaju pojedine korisnike.

Napadi krađe identiteta mogu biti u obliku e-pošte koja izgleda legitimno. U stvarnosti, te bi adrese e-pošte mogle biti dizajnirane za inficirati primatelje zlonamjernim softverom ili prevariti ljude u izlaganju osjetljivih detalja.

Korisnici također mogu biti izloženi riziku da postanu žrtve tekstualnih poruka i telefonskih prijevara. U ekstremnim slučajevima, hakeri mogu čak prevariti davatelja telefonskih usluga da im pomažu u otmici korisnika mobitela.

Do uspješnih phishing napada i prijevara koji hakeri omogućavaju pristup dodatnim informacijama ili osobnim računima čak bi mogao dovesti i do toga Krađa identiteta.

Natjecatelji i oglašivači

Drugo pitanje koje treba uzeti u obzir su posljedice kršenja podataka za BAT Rumunjska i njezine konkurente. Natjecatelji sada mogu imati pristup podacima o kupcima BAT Romania, uključujući PII i postavke duhana.

Ove informacije bi mogle pomoći natjecateljima da učinkovito ciljaju aktivne pušače. To bi moglo pružiti veliku korist konkurenciji BAT Rumunjske.

Oglašavači trećih strana također bi mogli imati koristi od pristupa procurjelim korisničkim podacima. Te bi se informacije mogle upotrijebiti za izradu visoko učinkovitih ciljanih oglasnih kampanja.

Pitanja o privatnosti za pušače

Kršenje podataka ugrožava privatnost korisnika na drugi potencijalno štetan način.

Da bi mogli sudjelovati na platformi, korisnici su dužni dokazati da su trenutno pušači, tako što daju kôd koji se može naći na pakiranju cigareta.

Kršenje podataka otkrilo je imena sadašnjih pušača, koji možda ne žele da njihove pušačke navike budu izložene svijetu. To čak može imati ozbiljne financijske posljedice za korisnike. Na primjer, osiguravajuća društva često imaju različite stope za pušače.

Ako netko tvrdi da nije pušač, ali osiguravajuće društvo pronađe ime te osobe u bačenoj bazi podataka, korisniku bi se mogla naplatiti viša stopa.

Posljedice Ransomwarea

U stvarnosti, utjecaj kršenja podataka mogao bi biti puno veći nego što se čini. Nažalost, nezaštićeni poslužitelj već je bio ugrožen ransomware-om kada je naš istraživački tim otkrio ranjivost.

Budući da je baza podataka već priručena, nisu poznate stvarna veličina i ozbiljnost utjecaja kršenja podataka. Čak i ako je zahtjev za otkup plaćen, ne postoji način da se istinski vrate povratne informacije.

Hakeri mogu vratiti sve podatke koji nedostaju, ali the hakeri mogu lako zadržati kopiju osjetljivih podataka o korisnicima i tvrtki.

Druga zabrinutost je da bi mogli utjecati poslužitelji drugih tvrtki. Kad smo pokrenuli Google pretraživanje s ključnim riječima iz otkupne poruke, pronašli smo više primjera drugih poslužitelja koji su doživjeli potpuno isti napad otkupnine, s istom porukom riječ po riječ.

To bi moglo značiti da su podaci već procurili i sada su u rukama zločinačke organizacije.

Savjet stručnjaka

Napada softvera koji smo otkrili kao dio ovog kršenja podataka savršen je primjer rizika od ne osiguravanja vaših poslužitelja..

Kršenje podataka moglo se spriječiti nekim osnovnim sigurnosnim mjerama. U najmanju ruku, uvijek biste trebali imati na umu sljedeće sigurnosne postupke:

  • Osigurajte svoje poslužitelje
  • Primijenite odgovarajuća pravila pristupa
  • Za pristup svim sustavima potrebna je provjera autentičnosti

Za detaljniji vodič o tome kako zaštititi svoju tvrtku, pročitajte naš članak o kako osigurati svoju web lokaciju i internetsku bazu podataka od hakera.

Kako i zašto smo otkrili povredu

Pod vodstvom sigurnosnih stručnjaka Ran i Noam, istraživački tim vpnMentor otkrio je ovo kršenje kao dio našeg projekt web mapiranja velikih razmjera.

Naš istraživački tim skenira portove kako bi pronašao poznate IP blokove. Tim tada traži ranjivosti u sustavu koje bi ukazivale na otvorenu bazu podataka.

Jednom kada se ustanovi kršenje podataka, naš tim povezuje bazu podataka s vlasnikom. Mi tada obratite se vlasniku, obavijestite ih o ranjivosti i predložite načine na koji vlasnik može učiniti svoj sustav sigurnijim.

Kao etični hakeri i istraživači nikada ne prodajemo, ne pohranjujemo ili izlažemo informacije na koje nailazimo.

Naš je cilj poboljšati cjelokupnu sigurnost i sigurnost interneta za sve.

O nama i prethodnim izvještajima

vpnMentor je najveća web stranica za pregled VPN-a na svijetu. Naš istraživački laboratorij je pro bono usluga koja nastoji pomoći mrežnoj zajednici da se brani od cyber prijetnji, istovremeno educirajući organizacije o zaštiti podataka svojih korisnika..

Nedavno smo otkrili veliko kršenje podataka u Ekvadoru koje je pogodilo milijune pojedinaca. Otkrili smo i masovnu mrežu prijevara koje su ciljane na Groupon i online prodavce ulaznica.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me