Jelentés: Hatalmas adat szivárgás alatt 1000 ezer brit tanácsadó és cég van kitéve


Noam Rotem és Ran Locar vezetésével a vpnMentor kutatócsoportja nemrégiben fedezte fel; több brit tanácsadó cég rendkívül érzékeny fájljait tartalmazó adatbázis megsértése.

A kompromittált fájlok az illetékes HR osztályukkal kapcsolatban részletesen érzékeny információkat fedtek fel, amelyek a cégekhez tartoznak, valamint ezer brit szakemberrel együtt.

Ha bűnügyi hackerek fedezték fel ezt az adatbázist, lehetett volna súlyos következményekkel jár a kitettek biztonsága és magánélete szempontjából.

A felfedezés ütemterve és a tulajdonos reakciója

Időnként az adatsértés mértéke és az adatok tulajdonosa nyilvánvaló, és a probléma gyorsan megoldódott. De ritka ezekben az időkben.

Leggyakrabban napokra kell nyomozni, mielőtt megértjük, mi a kockán vagy ki szivárogtatja az adatokat. A jogsértés és annak lehetséges hatásainak megértése gondos figyelmet és időt igényel.

Keményen dolgozunk a pontos és megbízható jelentések közzététele mellett, biztosítva, hogy mindenki, aki elolvassa, megértse súlyosságát. Néhány érintett vállalkozás figyelmen kívül hagyja a kutatásunkat, tagadja a tényeket, vagy elfojtja annak hatását.

Tehát alaposnak kell lennünk, és meg kell győződnünk arról, hogy minden, amit bemutatunk, helyes és igaz.

Ebben az esetben a fájlokat egy Amazon Web Services (AWS) S3 vödör adatbázisban tárolták. Ez egy népszerű módszer a fájlok tárolására az AWS-en, de a felhasználókat saját biztonsági protokolljainak végrehajtására kell felhívni. Bár az adatbázis tulajdonosa kezdetben nem volt egyértelmű, azt „CHS” felirattal tüntették fel..

Ez visszavezethető a londoni székhelyű CHS Consulting céghez. Mivel azonban a vállalatnak nincs weboldala, nem tudjuk megerősíteni, hogy tulajdonuk az adatbázisban. Eközben, közvetlenül kapcsolatba léptünk az AWS-vel és a CERT-UK-vel, az ország számítógépes vészhelyzet-elhárítási csoportjával - az Egyesült Királyságban az adatbiztonság megfigyeléséért és kezeléséért felelős.

December 19-ig a jogsértést megszüntették, és az adatbázist biztonságba hozták.

  • Felfedezés dátuma: 19/12/19
  • A CERT-UK kapcsolatfelvételének dátuma: 10/12/19
  • Az AWS-vel való kapcsolatfelvétel dátuma: 19/12/19
  • Az AWS válaszának dátuma: 18/12/19
  • A fellépés dátuma: Kb. 19/12/19

Példa az adatbázis bejegyzéseire

A feltárt adatbázis sok brit tanácsadó céghez tartozó fájlokat tartalmazott. Ide tartoztak:

  • Dinamikus partnerek (bezárt 2019-ben)
  • Eximius Consultants Limited
  • Garraway Consultants (bezárt 2014-ben)
  • IQ Consulting
  • Partners Associates Ltd (bezárva 2018-ban)
  • Winchester Ltd (bezárva 2018-ban)

Míg a feltárt adatok nagy része 2014–2015-ös volt, néhány fájl 2011-re nyúlik vissza.

Tekintettel az adatbázisban található fájlok jellegére, a a feltárt információk továbbra is relevánsak, és sokféle módon felhasználhatók. A személyes személyes iratok, melyeket a csapatunk megtekintett, tartalmaztak, de nem korlátozódtak a következőkre:

  • 1000-es útlevél-beolvasás
  • Adózási dokumentumok
  • Álláslehetőségek
  • Cím igazolása
  • Kiterjedt háttér-ellenőrzések
  • Bűnügyi statisztikák
  • Költségek és juttatások formái
  • Papírokkal kapcsolatos üzleti adók és HMRC
  • Beolvasott szerződések aláírással
  • Fizetési információk a különböző szerepek és pozíciók tekintetében
  • E-mailek és privát üzenetek
  • Kölcsönszerződésre vonatkozó szerződés
  • Sokkal több

Ezek a dokumentumok széles skáláját tartalmazzák a személyes azonosításra alkalmas adatok (PII) adatait 1000 brit brit lakos és dolgozó szakember számára.

A kontextus szempontjából egyetlen vállalkozásnak csak két fájlja tartalmazott a PII adatok teljes skáláját:

  • Teljes név
  • Címek
  • Telefonszámok
  • Email címek
  • Születési dátumok
  • Nemek
  • Megnevezések & iparágak
  • Nemzeti biztosítási számok
  • Adószámok
  • Bevándorlási és vízumállapotok
  • nemzetiségek
  • Fizetés részletei
  • Az egyes tanácsadók díjainak részletei
  • A társaság pénzügyi nyilvántartása

Ezek némelyike ​​a következő két kivonatban látható (az azonosító részleteket lefedtük): Jelentés: Hatalmas adat szivárgás alatt 1000 ezer brit tanácsadó és cég van kitéve

Jelentés: Hatalmas adat szivárgás alatt 1000 ezer brit tanácsadó és cég van kitéve

Bűnügyi hackerek fedezték fel ezt az adatbázist, ez a bányászat lenne a tiltott tevékenységek és csalások számára, és potenciálisan pusztító eredményeket hozhat a kitett személyek számára.

A szakértők tanácsai

A „CHS” könnyen elkerülhette ezt a szivárgást, ha valamilyen alapvető biztonsági intézkedést megtettek volna az adatbázis védelme érdekében.

Ide tartoznak többek között:

  1. Szervereik biztonsága.
  2. Megfelelő hozzáférési szabályok végrehajtása.
  3. Soha ne hagyja az Internet számára nyitva egy olyan rendszert, amely nem igényel hitelesítést.

Bármely cég megismételheti ugyanazokat a lépéseket, méretétől függetlenül. Még részletesebb útmutatást kaphat arról, hogyan kell megvédeni vállalkozását, olvassa el weboldalunkat és online adatbázisunkat a hackerektől történő védelmére vonatkozó útmutatót..

Nyílt S3 vödör rögzítése

Fontos megjegyezni, hogy a nyílt, nyilvánosan látható S3 vödrök nem az AWS hibája. Általában ezek a vödör tulajdonosának hibája.

Az Amazon részletes utasításokat nyújt az AWS felhasználók számára az S3 vödrök rögzítéséhez és a magántulajdonban tartásukhoz. A „CHS” esetében a hiba javításának leggyorsabb módja a következő:

  • Tegye magáévá a vödröt, és adjon hozzá hitelesítési protokollokat.
  • Kövesse az AWS hozzáférés és a hitelesítés bevált gyakorlatait.
  • Adjon hozzá további védelmi rétegeket az S3 vödörbe, hogy tovább korlátozza, hogy ki férhet hozzá az összes belépési ponthoz.

A kihelyezett egyéni tanácsadók és cégek számára

Ha Ön egy brit székhelyű tanácsadó vagy tanácsadó cég, és aggódik e jogsértés miatt, vegye fel a kapcsolatot a CERT-UK-val hogy megértse, milyen lépéseket tesz az adatok biztonságának megőrzése érdekében, és ellenőrizze, hogy azok nem szivárogtak-e el.

További információ az adat sebezhetőségéről általában, olvassa el az online adatvédelem teljes útmutatóját. Megmutatja, hogy a számítógépes bűnözők milyen módon célozzák meg az internetes felhasználókat, és megteszi a biztonság megőrzéséhez szükséges lépéseket.

Hogyan és miért fedeztük fel a jogsértést

A vpnMentor kutatócsoport egy hatalmas webes térképezési projekt részeként felfedezte a jogsértést a „CHS” adatbázisban. Kutatóink portok letapogatásával vizsgálják meg az egyes IP blokkokat, és teszteljék a rendszerek nyitott lyukait gyengeségek szempontjából.

Megvizsgálják az egyes lyukakat az adatok szivárgása szempontjából. Ha adatmegsértést találnak, szakértői technikákat használnak az adatbázis azonosságának ellenőrzésére. Ezután figyelmeztetjük a társaságot a jogsértésre. Ha lehetséges, figyelmeztetjük azokat is, akiket a jogsértés sújt.

Csapatunk hozzáférhetett ehhez az AWS S3 vödör adatbázishoz, mert teljesen nem volt biztonságban és titkosítatlan. Ennek a webes térképezési projektnek az a célja, hogy elősegítse az internet biztonságosabbá tételét minden felhasználó számára.

Etikai hackerekként kötelesek vagyunk tájékoztatni egy társaságot, ha hibákat fedeznek fel online biztonságukban. Mivel nem tudtuk közvetlenül a tulajdonoshoz fordulni, mind az NSCS, mind az Amazon felé megkeresettük, hogy tájékoztassuk őket a sebezhetőségről, és hogy segítsenek nekik az adatok biztonságában..

Ez az etika azt is jelenti, hogy felelősséget vállalunk a nyilvánosság előtt. Az érintett embereknek tisztában kell lenniük az adatsértéssel, amely rájuk is kihat.

Soha nem adunk el, tárolunk és nem fedünk fel olyan információt, amelyre biztonsági kutatásaink során találkozunk.

Rólunk és korábbi jelentések

vpnMentor a világ legnagyobb VPN-áttekintő webhelye. Kutatólaboratóriumunk egy pro bono szolgáltatás, amelynek célja, hogy segítse az online közösséget abban, hogy megvédje magát az internetes fenyegetésekkel szemben, miközben a szervezeteket oktatja felhasználói adatok védelméről..

Etikai biztonsági kutatócsoportunk felfedezte és felfedte az utóbbi évek leghatásosabb adatszivárgásait. Ez magában foglal egy hatalmas adatszivárogást, amely világszerte több mint egymillió ember biometrikus adatait és ujjlenyomatait tette ki.

Azt is felfedtük, hogy a VEED brit videószerkesztő platform hogyan veszélyeztette felhasználóik adatvédelmét és biztonságát. Érdemes elolvasni a VPN szivárgás jelentését és az adatvédelmi statisztikák jelentését is.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me