Jelentés: A helyszíni szoftver szivárog érzékeny ügyféladatok

A vpnMentor kutatócsoportja szivárgást talált a Fieldwork szoftver adatbázisában.

Noam Rotem és Ran Locar, a kiberbiztonsági kutatócsoport vezetőink, találtak egy a Fieldworkhez tartozó szivárgó adatbázis. A terepi munka kis üzleti szoftvereket kínál a működésük hatékony irányításához.

Nagyon sok feltárt adatot találtunk a jogsértésben. Ez magában foglalta ügyfélnevek, címek, telefonszámok, e-mail cím, riasztási kódok, aláírások, ügyféladatok, hitelkártya-adatok, fotók, és egyéb részletes megjegyzések. A legfontosabb, hogy megtaláltuk automatikus bejelentkezési linkek, amelyek hozzáférést biztosítanak a felhasználó terepmunka szolgáltató portáljára. A jogsértés következményei: kiterjedt.

Vegye fel a kapcsolatot a Fieldwork-rel, amikor felfedeztük a szivárgást. Ők voltak profi és hatékony miután megkaptuk az e-mailt. A terepmunka 20 perccel azután beszüntette a szivárgást.

Példák az adatbázisba történő bejegyzésekre

A terepi munka egy olyan üzleti menedzsment platform, amelyet a kártevők elleni küzdelem, a gyepápolás, a medencetisztítás és más otthoni szolgáltató iparágak felé forgalmaznak. Az Anstar tulajdonában áll, amely kártevőirtó termékeket állít elő. Ez a szoftver segíti a házhívásokat kezdeményező alkalmazottak nyomon követését. Az ügyfélportál számlasablonokat, ütemezési felületeket és termékkövetést is tartalmaz.

Az adatbázisba kiszivárogtatott információk a következők voltak:

  • Automatikus bejelentkezési linkek
  • A felhasználók e-mail címei
  • Ügyfeleik e-mail címei
  • Teljes név
  • Az ügyfelek telefonszáma
  • Címek
  • GPS helyek
  • IP-címek
  • Felhasználóknak vagy ügyfeleknek küldött e-mailek és szövegek
  • Számlázási adatok
  • Teljes hitelkártya-adat
  • Szűrt jelszavak
  • aláírások
  • Képek a munkahelyekről
  • Megjegyzések vagy utasítások

A leghatásosabb információ, amelyet az adatbázisban fedeztünk fel, egy automatikus bejelentkezési link volt, amely bárki számára közvetlen hozzáférést biztosított a cég háttérrendszeréhez. A háttérdokumentumban szereplő adatok részletes és érzékeny ügyféladatokat tartalmaztak, valamint a társaság adminisztratív infrastruktúrájának nagy részét.

Az információk nagy része szintén jelen volt az adatbázisban; azonban csak az elmúlt 30 nap naplóit láttuk. Az adatkonfiguráció alapján úgy tűnt, hogy az adatbázis legfeljebb 30 napig tárolja a naplókat, mielőtt egy másik rendszerbe küldné őket feldolgozásra vagy elemzésre.

Az adatbázisban lévő egyéb információk alapján lehetséges, hogy hozzáférhetünk a háttérrendszerhez. Ennek ellenére bonyolultabb projekt lett volna.

Ez egy e-mail sablon naplója a Fieldwork portálba való bejelentkezésről. Ez az adat tartalmazza e-mail címek, amelyek nem nyilvánosak hogy az ügyfelek láthassák. Noha a jelszót itt nem adják meg egyértelműen, lehetőséget adott arra, hogy a releváns információkat az adatbázis más részeiben megtalálja..

Nagy mennyiséget találtunk részletes kommunikáció az adatnaplókban. Ez az e-mail úgy néz ki, mintha egy olyan kártevőirtó társaság küldte el, amely a Fieldwork szoftverét használja a vállalat egyik ügyfelének. Az az ügyfél nyilvánosságra hozta számla hitelkártyájának utolsó négy számjegyét.

Ez egy szabványos ellenőrzési folyamat, amely negatív hatással lehet a szivárgásban lévő egyéb adatok sajátosságai alapján. Egy rossz színész ezt kihasználhatta volna.

Ez a napló azt mutatja, hogy vannak az adatokban elérhető fotók. Ez felfedte a felhasználó szemét is IP-cím.

Ezt a fényképet összekapcsoltuk egy nyitott Amazon vödör amit felfedeztünk az adatokban.

Ez a kommunikációs napló nemcsak azt mondja, hogy mennyi időre van a találkozó, hanem tartalmazza konkrét útmutatások az épületbe való bejutáshoz. Ez magában foglalja a többeset is riasztási kódok, reteszelő kódok és jelszavak amelyeket az ügyfél nyilvánosságra hozott. Más naplókat találtunk, amelyek hozzászólásokat tartalmaztak arra vonatkozóan, hogy az ügyfelek hol rejtik el a kulcsaikat.

A terepmunkát használó vállalatok közül soknak nyilvános címe van, de ezek az adatok is adnak információk ügyfeleikről hogy a társaságok nem hoznák nyilvánosságra. Ezenkívül megadja a cég engedélyszámát.

Ez a napló elrejti a jelszót, de egyértelművé teszi email címek társítva egy fiókhoz. Más rekordokban szereplő információk alapján előfordulhat, hogy egy rossz szereplő továbbra is hozzáférhet a hiányzó hitelesítő adatokhoz.

A vevő azonosítása nélkül is teljes hitelkártya szám, egy valamivel lejárati dátum és a CVV szám látható volt.

Az adatok megsértésének hatása

Volt kiterjedt mennyiségű információt tartalmaz az adatokban, még akkor is, ha csak 30 napló állt rendelkezésre. Bár a terepmunka néhány helyen kiszűrte a jelszavakat, néhány megtekintett sablon megadta részletes információ a fiók hitelesítő adatainak megtalálásáról. Ingyenes hozzáféréssel is rendelkeztünk egy automatikus bejelentkezés link amit felvettek az adatbázisba. Ez lehetővé tette a hozzáférést az ügyfélportálhoz.

A portálhoz való hozzáférés a különösen veszélyes információk. A rossz szereplő kihasználhatja ezt a hozzáférést nemcsak az ott tárolt részletes ügyfél- és adminisztratív nyilvántartások felhasználásával. Ők is zárja ki a társaságot a számláról háttérmódosításokkal. Még ha a hitelesítési lépések is szükségesek voltak a bejelentkezési adatok megváltoztatásához, lehetséges, hogy ezen információk egy része megtalálható volt a nyílt adatbázisban.

Ezenkívül, ha a bejelentkezési linkeket könnyű volt megszervezni, rosszindulatú szándékkal rendelkezők könnyen menthetik őket. Ebben az esetben nem számít, ha az adatbázist bezárják. Még mindig megvan közvetlen hozzáférés nagyszámú fiókhoz. A többi fiók hitelesítő adatainak mentése az adatbázisban mindig lehetőség volt, de idő- és kihívást jelentő feladat. A háttérportálhoz való hozzáférés azt jelenti, hogy valaki megteheti bármikor nyisson meg egy cég nyilvántartását, még azután is, hogy a terepmunka kijavította a jogsértést.

Jelentős mennyiségű helyadatok bejelentkezett az adatbázisba, amely a portálhozzáféréssel együtt súlyos következményekkel jár. Ez megnyitja a lehetőségét személyes lopás vagy támadás. Nemcsak üzleti címeinkkel és GPS-koordinátáinkkal rendelkezünk, de vannak az épületbe vagy irodába való belépés részletes leírása. Mivel az ügyfelek nyíltan nyilvánosságra hozták a riasztási kódokat vagy a kulcsok elérésének módját, ott lehet biztosítási következmények is. Biztosító társaságok érvényteleníti a politikát ha a kötvénytulajdonos gondatlansága betörést okozott.

Az Amazon fotóvödörben megtekinthető fényképek szolgálhatnák a hely további megerősítését. Lehet, hogy vannak felfedte, hogy egy ügyfél értékes készlettel rendelkezik. A helymeghatározási információkkal egy tolvaj képes lenne betörjön észrevétlenül, és készpénzbe kerül az ügyfélkészlettel.

Ha ezeknek a támadásoknak az adatsértés alapján történt volna, akkor ez mélyreható befolyásolja a terepmunkára támaszkodó vállalatokat vállalkozásuk felépítésére. A kezdők számára a jogsértés következhet be aláássa őket az ügyfelek bizalma. Ez ahhoz vezethet, hogy az ügyfelek olyan konkurens vállalkozást alkalmaznak, amely nem használt szivárgó szoftvert, hogy jobban megvédje magát.

Szűrhetetlen hitelkártya-információk bejelentkezve az adatbázisba és a portálba, túl rossz a rosszindulatú játékos számára csalárd vádakat indítson el ezen a hitelkártyán. A hitelkártya-társaságok megkövetelik, hogy az érzékeny kártyák adatait erősen titkosítsák, míg a CVI-számot a PCI-előírások szerint hitelesítés után nem szabad tárolni. Hozzáférhetünk minden olyan hitelesítő adathoz, amelyre szükség volt a vásárláshoz, vagy akár a kártya másolásához. Az általunk talált adatokban nem volt világos, hogy ezek a kártyaszámok a Fieldwork-t használó cégekhez vagy ügyfeleikhez tartoztak-e. A portálhozzáférés azonban megkönnyíti a meghatározást.

A közvetlen portálhozzáférésen kívül a hitelesítő adatoknak a Fieldwork-fiókon kívül is hatással lehetnek. Az egyik fiók hitelesítő adatai gyakran használhatók egy másik fiók eléréséhez. Ha teljes neve és címe van, képeket készíthetünk egy felhasználóról. Egy rossz színész ezt az információt felhasználhatja további adatok gyűjtésére. Ezt az információt felhasználhatják egy személy személyazonosságának ellopására. Egyesek akár új fiókokat is nyithatnak a felhasználó nevében.

Az e-mail címek feltárásának egyik veszélye a rosszindulatú játékosokat érinti felhasználásával adathalász támadásokhoz. Ha egy vállalat ügyféllistája a vállalati e-mail címmel együtt megnézhető, akkor még könnyebb becsapja az ügyfeleket egy rosszindulatú programokat tartalmazó e-mail megnyitására. Ez lehet a hackerek közvetlen hozzáférést biztosítanak egy olyan rendszerhez, amelynek nincs kapcsolata ezzel a nyílt adatbázissal. A társaságok erkölcsi kötelesek az ügyfelek adatait biztonságban tartani. Ebben az esetben a Fieldwork-t használó vállalkozások nem támogatták ezt.

Ha a hackerek beszivároghatnak egy rendszerbe, akkor sok lehetősége van számukra. A műveletek leállítása jelentős összegeket fog tenni a társaságnak. A hackerek ellopott adatokat is el tudnak adni egy versenytárs társaságnak. A terepmunka termékeit kisvállalkozásoknak forgalmazza, amelyek kevesebb pénzügyi forrással rendelkeznek, ha csapdába esnek.

Végül az aláírásokat fedeztük fel az adatokban. Által aláírás alakjának másolása, a rossz színésznek még egy eszköze van személyazonosság-lopást hamisítással követ el. A legtöbb digitális aláírás IP-címre mutat. Ha azonban megvan a felhasználó összes hitelesítő adata, ideértve a hitelkártya számát, az IP-címet és az aláírást, a hamisítás feladata leegyszerűsödik.

A szakértők tanácsai

Vannak néhány egyszerű lépés A terepmunkát az adatbázis kezdeti óta megóvhatta. Itt van néhány szakértői tippek a jogsértések megelőzésére vagy javítására egy adatbázisban.

  1. Biztosítsa szervereit.
  2. Végezzen el megfelelő hozzáférési szabályokat.
  3. Soha ne hagyja az Internet számára nyitva egy olyan rendszert, amely nem igényel hitelesítést.

Még részletesebb útmutatást talál a vállalkozásának védelméről, olvassa el webhelyének és online adatbázisának a hackerek elleni védelmét.

Hogyan fedeztük fel a jogsértést

Kutatócsoportunk felfedte az adatszivárgást kiterjedt anyagunkban webes térképezési projekt. Ran és Noam vezetésével keresik a portokat ismert IP blokkok. Innentől a csapat kereshet nyílások a rendszerben. Miután szivárgást találtak, felhasználják jelentős kiberbiztonsági tudásukat erősítse meg az adatbázis azonosságát.

Minden alkalommal, amikor felfedezzük a jogsértést, mi is lépjen kapcsolatba a tulajdonossal az adatbázisban, hogy figyelmeztesse őket a szivárgó adatokra. Ha lehetséges, a rendszer nyílásait érintő többi személyt is értesítjük. A projekt célja a biztonságosabb internet a felhasználók számára mindenütt.

Rólunk és korábbi jelentések

A vpnMentor a világ legnagyobb VPN-áttekintő webhelye. Kutató laborunk egy pro bono szolgáltatás, amely igyekszik segítsen az online közösségnek megvédeni magát a számítógépes fenyegetésekkel szemben, miközben a szervezeteket oktatják felhasználói adatok védelméről.

Nemrég felfedeztünk egy hatalmas adatsértést, amely 78 ezer Vascepát szedő beteget érint. Azt is kiderült, hogy az xSocialMedia széles körben elterjedt az adatok megsértése miatt. Érdemes elolvasni a VPN szivárgás jelentését és az adatvédelmi statisztikák jelentését is.

Kérem ossza meg ezt a jelentést a Facebookon vagy csipog.