Jelentés: A dohányipari promóciós kampány feltárja a román felhasználói adatokat
A vpnMentor kutatócsoportja nemrégiben felfedezte az adatok megsértését egy a romániai internetes platformon, amely a nemzetközi dohányipari vállalat a British American Tobacco (BAT).
A BAT az Egyesült Királyságban található. Ez a világ egyik legnagyobb dohány- és nikotintermék-gyártója.
Noam Rotem és Ran Locar internetes adatvédelmi kutatók vezetésével csapatunk az adatsértést egy nem biztonságos kiszolgálón találta meg, amely a YOUniverse.ro webplatform. A webes platform része a felnőtt dohányosokat célzó BAT Románia promóciós kampányának.
A platformon keresztül a román lakosok jegyek nyerhetnek pártokra és rendezvényekre, ahol közismert helyi és nemzetközi előadók vesznek részt.
A román törvény tiltja a legtöbb dohányreklámot. A törvény azonban bizonyos típusú promóciós kampányokat és rendezvényszponzorációkat engedélyez, amelyek kizárólag a meglévő 18 éven felüli dohányzókat célozzák.
Az adatsértés magában foglalja érzékeny személyes adatok (PII) a felhasználók száma.
Még ennél is aggasztóbb az, hogy csapatunk felfedezte, hogy a nem biztonságos szerver rendelkezik már megsértette a ransomware.
Annak ellenére, hogy csapatunk többször is megkísérelte feltárni a jogsértést, az adatbázis több mint két hónapig nyitva maradt és nem volt biztonságban. Szeptember 22-től, többször megpróbáltuk vegye fel a kapcsolatot a vállalattal (a helyi fiókteleppel és a globális vállalattal), a szerver üzemeltető társaságával, a romániai nemzeti fogyasztóvédelmi hatósággal (ANPC) és a tanúsító hatósággal (CA). Az egyetlen párt, ahonnan visszahallottunk, a CA volt. Felhívtuk a kapcsolatot több román újságíróval is, hogy kérjen segítséget a társasággal való kapcsolatfelvételhez, de még nem kapott választ.
November 27-től az adatbázis végül bezárásra került, de soha senki sem válaszolt nekünk.
Példa az adatbázis bejegyzéseire
A sérülést egy nem biztonságos, Írországban található Elasticsearch szerveren fedezték fel. A kiszivárgott adatbázis közeli 352 GB adat.
Ransomware Attack
Amikor kutatócsoportunk sebezhetőséget talál valamelyik szerveren, reméljük, hogy egyetlen rosszindulatú szereplő előbb nem találta meg a biztonsági rést.
Sajnos pontosan ez történt itt. Mire kutatócsoportunk felfedezte az adat megsértését, a szervert már veszélyeztette a ransomware.
53 indexet találtunk a szerveren, de szinte mindegyik üres. Valószínű, hogy ezeket az indexeket a ransomware támadásért felelős hackerek készítették.
A szerver egy readme fájlt is tartalmaz váltságdíj kéréssel:
A readme fájl alapján úgy tűnik hacker vagy hackerek csoportja azzal fenyeget, hogy törli az adatokat a szerverről, ha igényeik nem teljesülnek. A hackerek Bitcoin-fizetést követelnek az adatokért cserébe.
Napi naplók
A szerver még annak megsértése után is tartalmaz néhány értelmes adatot. Megtalálhattuk az elmúlt hét nap napi naplóit, mindegyiket külön indexben tárolva.
Úgy tűnik, hogy a naplók a YOUniverse webes platformon keresztüli http-kommunikáció rekordjai.
Példák a megtekintett személyes adatokra:
- teljes név
- telefonszám
- születési dátum
- nem
- forrás IP
- cigaretta- és dohánytermék-preferenciák
Vannak olyan belső értékek is, amelyek esetleg érzékenyebb információkat tartalmazhatnak. A belső adatok némelyike nem volt világos.
Néhány pályamű román nyelven írt üzeneteket tartalmaztak. Úgy tűnik, hogy a felhasználók által benyújtott lekérdezések, amelyek lehetnek ügyfelek vagy leányvállalatok.
Például néhány üzenet segítséget kér, és leírja a díjakkal és a jutalomkódokkal kapcsolatos problémákat.
Angolul az üzenet szövege:
Jó estét, június végén tapasztalati pontok alapján 2 Doncafe-utalványt igényeltem, egyenként 400 lej. A nyeremények visszaigazolási üzenetében nem szerepelt a kódok felhasználásának dátuma, de amikor ma felhívtam, hogy ott foglaljak, azt mondták, hogy befejezték az együttműködést veled. Kérjük, adja meg a 2 utalvány felhasználására szolgáló megoldást. Köszönöm!”
Az adatbázis is tartalmazott néhányat a kimenő e-mailekhez kapcsolódó metaadatok ez nem érte el a címzettet. Ezek a bejegyzések csak metaadatokat tartalmaztak, nem az e-mailek tényleges üzenettartalmát.
Az e-mail metaadataiban a következő információkat tekinthetjük meg:
- a felhasználó rendeltetési helyének e-mail címe
- email tárgy
- belső felhasználói azonosító
A feladó e-mail címét is megtekinthetjük. A feladó e-mail domainje, a MereuMaiMult társítva van a BAT Romania-val. A Mereu mai mult egy román kifejezés, amely nagyjából lefordítja: „mindig több”. Ugyanazon promóciós kampány része, mint a YOUniverse..
További információk rendelkezésre állhatnak
Lehetséges, hogy sok adat hiányzik a szerverről a ransomware támadás miatt, tehát nem lehetünk biztosak benne, hogy milyen egyéb információk veszélyeztethetők.
Hogy képet kapjunk arról, hogy milyen adatok szivárogtak, áttekintettük az adatvédelmi irányelvet, amely lefedi a BAT Románia promóciós kampányának összes webplatformját. Ide tartoznak a YOUniverse.ro, a YOUniverse mobil alkalmazás, a experiencemore.ro, mereumaimult.ro, preprietenie.ro és theunseen.ro.
Felfedeztük a Microsoft Dynamic CRM rendszer bejelentkezési hitelesítő adatait, beleértve a titkosítatlan jelszavakat is. Sajnos ez azt jelenti, hogy lehet, hogy még több adat lesz kitéve. Etikai okokból nem használtuk a bejelentkezési hitelesítő adatokat, tehát nem tudjuk, hogy milyen információk érhetők el a rendszeren keresztül.
Az adatvédelmi nyilatkozat szerint a vállalat összegyűjti és felhasználja a következő információkat, amikor a felhasználók regisztrálnak valamelyik platformjára:
- kereszt-és vezetéknév
- születési dátum
- telefonszám
- email cím
- lakóhely
- márka- és termékpreferenciák, beleértve a kedvenc dohányt is
Annak érdekében, hogy feliratkozzanak a platformon, a felhasználóknak be kell írniuk egy kódot is, amelyet csak cigarettacsomag megvásárlásával lehet megszerezni.
Ezt a kódot a román törvények betartására használják. A promóciós tevékenységekben való részvétel előtt a társaságnak ellenőriznie kell, hogy minden felhasználó aktív dohányzó-e.
Ezenkívül az adatvédelmi nyilatkozat azt mondja, hogy ha egy bizonyos összeget meghaladó nyereményt nyer, a társaságnak be kell kérnie a CNP-t a jövedelemadó bevallására és megfizetésére. Ez azért aggódik, mert A CNP egy román nemzeti személyi igazolványszámra utal.
Nem találtunk bizonyítékot arra, hogy a felhasználók CNP-számainak vannak kitéve, de csak a napi naplókat tudtuk megtekinteni. Lehetséges, hogy a felhasználók nemzeti azonosítószámait korábban feltárták a ransomware támadás során.
Az adatok megsértésének hatása
Nehéz megbecsülni, hogy hány embert érinthet ez az adatsértés.
Az adatbázis méretének és az etikai határoknak köszönhetően, amelyek megakadályozzák, hogy túl mélyen mélyebbre mélyítsünk a személyes adatokba, nem lehetünk biztosak abban, hogy hány felhasználót érinthetünk.
A szerver az előző hét nap naplóit tartalmazza. A napi naplók egy része több mint 60 millió bejegyzést tartalmaz, és néhány bejegyzés több felhasználói adathalmazt tartalmaz. Másrészről, néhány bejegyzés semleges, sem ismétlődő adatokat tartalmaz.
Lehetséges, hogy sok felhasználó veszélyeztette adatvédelmét az adat megsértése miatt.
Csalások és adathalász támadások
Az adatsértés nagyszámú felhasználó számára nyitotta meg a kapcsolattartási információkat. A kiszivárgott e-mailek és telefonszámok veszélyt jelentenek az emberekre adathalász támadások és csalások.
A rosszindulatú felek felhasználhatják az adatok megsértéséből származó egyéb személyes adatok létrehozását testreszabott adathalász támadások amelyek az egyedi felhasználókat célozzák meg.
Az adathalász támadások e-mailek formájában fordulhatnak elő, amelyek legitimnek tűnnek. A valóságban ezeket az e-maileket úgy lehetne megtervezni, hogy: fertőzze meg a címzetteket rosszindulatú programokkal, vagy becsapja az embereket az érzékeny részletek feltárására.
A felhasználóknak fennáll a veszélye, hogy szöveges üzenetek és telefonos csalások áldozatává váljanak. Szélsőséges esetekben a hackerek becsaphatják a telefonszolgáltatókat is, hogy segítsenek nekik eltéríteni a felhasználók mobiltelefonszámait.
Sikeres adathalász támadások és csalások, amelyek hackerek számára hozzáférést biztosítanak kiegészítő információkhoz vagy személyes fiókokhoz, akár vezethetnek is személyazonosság-lopás.
Versenytársak és hirdetők
Egy másik megfontolásra kerülő kérdés az adatsértés következményei a BAT Romania és versenytársai számára. A versenytársak most hozzáférhetnek a BAT Romania ügyfél adataihoz, ideértve a PII és a dohány preferenciákat is.
Ez az információ segíthet a versenytársaknak az aktív dohányzók hatékony megcélzásában. Ez nagy előnyt jelenthet a BAT Románia versenyében.
Harmadik féltől származó hirdetők számára is előnyös lehet, ha hozzáférnek a kiszivárgott felhasználói adatokhoz. Az információ felhasználható rendkívül hatékony célzott hirdetési kampányok létrehozására.
A dohányzókkal kapcsolatos adatvédelmi aggályok
Az adatok megsértése más potenciálisan káros módon veszélyezteti a felhasználók adatvédelmét.
A platformon való részvételhez a felhasználóknak bizonyítaniuk kell, hogy jelenlegi dohányzók, megadva egy kódot, amely megtalálható a cigaretta csomagolásán.
Az adatok megsértése nyilvánosságra hozta a jelenlegi dohányosok nevét, akik esetleg nem akarják, hogy a dohányzási szokásaik ki vannak téve a világnak. Ennek súlyos pénzügyi következményei is lehetnek a felhasználók számára. Például a biztosítótársaságok gyakran eltérő tarifákat alkalmaznak a dohányosokra.
Ha valaki azt állítja, hogy nem dohányzó, de a biztosítótársaság megállapítja annak nevét a kiszivárogtatott adatbázisban, a felhasználót magasabb díj számíthatják fel..
A Ransomware következményei
A valóságban az adatsértés hatása sokkal nagyobb lehet, mint amilyennek látszik. Sajnos a nem biztonságos kiszolgálót a ransomware már veszélyeztette, amikor kutatócsoportunk felfedezte a biztonsági rést.
Mivel az adatbázist már megsértették, az adatok megsértésének valódi mérete és súlyossága ismeretlen. Még akkor is, ha a váltságdíjat kérik, nincs lehetőség a kiszivárgott információk valódi visszaszerzésére.
A hackerek visszaállíthatnak minden hiányzó adatot, de a a hackerek könnyen megőrizhetik az érzékeny felhasználói és vállalati adatokat.
Egy másik aggodalom az, hogy más vállalatok szervereit érintheti. Amikor a Google keresést futtattuk a váltságdíjas üzenet kulcsszavaival, számos példát találtunk más szerverekről, amelyek pontosan ugyanazt a váltságdíjat támadták, ugyanazzal az üzenettel.
Ez azt jelentené, hogy az adatok már kiszivárogtak, és most egy bűnszervezet kezében vannak.
A szakértők tanácsai
A ransomware támadás, amelyet ennek az adatsértésnek a részeként fedeztünk fel, tökéletes példája annak a kockázatnak, amely a szerver nem biztonságos működését jelenti.
Néhány alapvető biztonsági intézkedéssel meg lehetett volna akadályozni az adatsértést. Legalábbis, mindig szem előtt kell tartania a következő biztonsági gyakorlatokat:
- Biztosítsa szervereit
- Végrehajtja a megfelelő hozzáférési szabályokat
- Minden rendszerhez való hozzáféréshez hitelesítést kell megkövetelni
Még részletesebb útmutatást kaphat arról, hogyan kell megvédeni vállalkozását, olvassa el a cikkünket hogyan lehet weboldalát és online adatbázisát a hackerektől megvédeni.
Hogyan és miért fedeztük fel a jogsértést
Ran és Noam biztonsági szakértők vezetésével a vpnMentor kutatócsoport felfedezte ezt a jogsértést a mi részünkben nagyszabású webes térképezési projekt.
Kutatócsoportunk átvizsgálja a portokat, hogy ismert IP blokkokat találjon. Ezután a csoport olyan biztonsági réseket keres a rendszerben, amelyek nyílt adatbázist jeleznének.
Az adatok megsértése után csapatunk összekapcsolja az adatbázist a tulajdonoskal. Mi akkor lépjen kapcsolatba a tulajdonossal, tájékoztassa őket a sebezhetőségről, és javasoljon módszereket arra, hogy a tulajdonos hogyan tudja biztonságosabbá tenni a rendszerüket.
Etikai hackerekként és kutatókként soha nem adjuk el, tároljuk és nem fedjük fel a felmerült információkat.
Célunk az, hogy mindenki számára javítsuk az internet általános biztonságát.
Rólunk és korábbi jelentések
A vpnMentor a világ legnagyobb VPN-áttekintő webhelye. Kutatólaboratóriumunk egy pro bono szolgáltatás, amelynek célja az online közösség védelme az internetes fenyegetésekkel szemben, miközben a szervezeteket a felhasználói adatok védelméről oktatja..
Nemrég felfedeztünk egy hatalmas adatsértést Ecuadorban, amely több millió embert érint. Felfedtünk egy hatalmas csalási hálózatot is, amely a Groupont és az online jegyszolgáltatókat célozza meg.
Scott
17.04.2023 @ 21:36
munkát végeztek a vpnMentor kutatócsoportjával, hogy felfedezték az adatok megsértését a BAT Románia webplatformján. Az érzékeny személyes adatok védelme rendkívül fontos, és az ilyen jogsértéseknek súlyos következményei lehetnek. Reméljük, hogy a vállalat és a hatóságok megteszik a szükséges lépéseket az ügy tisztázása és a felhasználók védelme érdekében.