Poročilo: Podatki so prišli z dveh indijskih mest finančnih storitev

Pred nedavnim so našli raziskovalno skupino vpnMentor, ki sta jo vodila uveljavljena raziskovalca Noam Rotem in Ran Locar kršitve v bazah Credit Fair in Chqbook, dve indijski storitvi osebnih kreditov in posojil.

Credit Fair ponuja strankam dostop do majhnih osebnih posojil. Na Chqbook-u lahko stranke na podlagi svojih osebnih okoliščin in finančnega stanja primerjajo izdelke za osebne finance, kot so posojila in kreditne kartice. Obe spletni strani od strank zahtevajo, da zagotovijo veliko osebnih in finančnih podrobnosti, ki bi jih lahko uporabili na več nezakonitih načinov, če bi bili v napačnih rokah.

Naša ekipa je odkrila ranljivosti v bazah podatkov spletnih mest ki je omogočil dostop do ogromnih količin osebnih in finančnih podrobnosti njihovih strank.

Podatkovne baze so bile nešifrirane in popolnoma nezavarovane, kar ustvarja veliko tveganje za kupce obeh podjetij.

Odkritje in odziv lastnika

Naša ekipa je puščanje odkrila 24. julija. Na srečo je Chqbook zapustil puščanje v 48 urah. Vendar pa, kot že pišete, puščanje kreditnega sejma ostaja odprto (31. julija).

Povezali smo se tudi z obema podjetjema, da bi jih obvestili o kršitvah podatkov.

Primer vnosov v zbirko podatkov

Tako sejem kreditov kot Chqbook od strank zahtevajo, da ustvarijo račune in delijo pomembne osebne in finančne podatke na njihovih spletnih straneh. 

Vse te informacije je bil gostovali v nezavarovanih bazah podatkov, do katerih je naša ekipa zlahka dostopila. Primeri podrobnosti o stranki, ki smo jih lahko izluščili, so spodaj.

Kreditni sejem (44.000 plošč):

  • Polno ime
  • Telefonska številka
  • Naslov
  • Datumi rojstva
  • Podrobne informacije o posojilih (znesek, stanje, stopnja, datum nastanka, ime vlagatelja)
  • Številka PAN – indijska osebna izkaznica
  • IP naslov 
  • Železniški seje 
  • AADHAAR – indijska številka (https://uidai.gov.in/)
  • Navadna besedilna gesla (ne deluje) 
  • Povezave do poročil o goljufijah

Chqbook (prepuščenih 67 GB):

  • Polno ime
  • Telefonska številka
  • Naslov
  • Email naslov
  • Številka kreditne kartice
  • Datum poteka kartice
  • Vrsta kartice
  • Transakcijski zneski
  • Uporabniško ime
  • Navadna besedilna gesla
  • Železniški seje
  • Možnost pošiljanja SMS
  • Mesečni prihodek
  • Spol
  • Datum rojstva 
  • Ime mesta
  • Profil zaposlitve

Če bi vse te nezavarovane informacije združili, bi imeli zlonamerni agenti in kriminalci vsebinska slika osebnih finančnih evidenc posamezne stranke. Te podatke je mogoče uporabiti na številne škodljive in nezakonite načine. 

Primer evidenc kreditnega sejma

Vpliv na kršitev podatkov

Goljufije z identiteto

Informacije v teh bazah podatkov bi se lahko uporabile sestavite celoten profil stranke Credit Fair ali Chqbook. To bi lahko izkoristili zlonamerni akterji ukrasti identiteto strank. Obe zbirki podatkov sta vsebovali polna imena, e-poštna sporočila, fizične naslove, osebne identifikacijske številke in še veliko več. 

Kriminalisti bi lahko enostavno ustvarite račune na različnih spletnih mestih za številne spletne dejavnosti, pravne in drugače, bi to kupce stanejo precej. Lahko bi tudi prevzemite račune strank tako na Credit Fair kot na Chqbook, vsako podjetje stane veliko preiskav, obnovitve računa in prihodkov. 

Prevzem računa

Prevzem računa je oblika goljufije z identiteto, do katere bi bile kupci in podjetja, kot sta Credit Fair in Chqbook, na podlagi te kršitve podatkov zelo ranljivi.. 

Če je mogoče dostopati do računa žrtve, se lahko spremenijo njihove podrobnosti ali transakcije se lahko opravijo v njihovem imenu. Kupci bodo morali plačati za prevare, kot je na primer goljufivo posojilo.

Kriminalni heker lahko spremeni bančni račun na stranki Credit Fair račun enemu, ki ga ima v lasti. Takrat bi heker lahko vzeti posojilo in ga prenesti na njihov bančni račun. Žrtev, katere račun za kreditni sejem je bil uporabljen, bi morala to posojilo vrniti. 

podobno, račun stranke Chqbook bi lahko uporabili za nakup kreditnih kartic v imenu druge osebe. Nato bodo odgovorni za morebitne goljufive nakupe na tej kartici. 

Lažno predstavljanje

Te podatke bi lahko uporabili ustvarite zapletene nezakonite oglaševalske akcije z lažnim predstavljanjem, katerih namen je ogroziti stranke Chqbook in Credit Fair. Lažno predstavljanje vključuje pošiljanje goljufivih e-poštnih sporočil, ki trdijo, da so iz določenega podjetja ali vladne agencije, s ciljem pridobivanja finančnih informacij od žrtev. 

Medtem ko je odprt, je Podatkovne zbirke Credit Fair in Chqbooks bi lahko zagotovile ogromno dragocenih podatkov zločincem. Lahko bi tudi bili se uporablja za ustvarjanje neverjetno specifičnih in prepričljivih phishing e-poštnih sporočil da izpolnite morebitne praznine. 

Izsiljevanje in izsiljevanje 

Veliko informacij, do katerih je naša ekipa lahko dostopala, je na voljo zasebne in občutljive narave. 

Lahko smo videli stranke kreditni in zaposlitveni status, ne glede na to, ali so bili sprejeti za posojila ali ne, in njihove državne identifikacijske številke. 

Ne le, da bi nekatere te zasebne informacije lahko bile neprijetne, ampak lahko tudi uporablja za ciljanje na stranke osebno na več načinov. Če stranka zavrne posojilo na enem od teh spletnih mest, morski morski psi lahko to ranljivost uporabijo, da jih pritisnejo v nevarna, nezakonita posojila. Njihove zasebne finančne podrobnosti bi lahko bile odkupne in stranke izsiljevali za denar z grožnjami, da bi javno izpostavili svoje finančno stanje. 

Veliko ljudi v obeh bazah je bilo vladnih uslužbencev. Kriminalne tolpe so še posebej neusmiljene pri izsiljevanju ljudi, ki delajo za vlade menijo, da so še posebej koristni za informacije in potencialno izkoriščanje. Vlade pogosto sprejemajo močne ukrepe za zaščito svojih zaposlenih pred plenilskimi tolpami, ki to kršitev še bolj muči. 

Oglaševalci in prevaranti za ustvarjanje lahko uporabite tudi profile strank natančno usmerjene, manipulativne in izkoriščevalske oglaševalske kampanje na družbenih medijih da spodbudi izdelke ali storitve ranljivim strankam. Na primer, vedeti, da je nekdo pod finančnim pritiskom, bi lahko potiskajte posojila z visokimi obrestmi z zavajajočo ali dvomljivo taktiko.

Primer zapisa Chqbook-a

Fizične nevarnosti puščanja

Tukaj so tudi fizične grožnje. 

Obe zbirki podatkov sta vsebovali fizični naslovi, telefonske številke in imena strank. Prav tako omogočajo vpogled v kupca neto vrednost na podlagi zneskov posojila, razpoložljivega kredita in finančnih izdelkov, ki jih kupujejo. 

To ustvarja resnično fizično nevarnost, saj jih lahko uporablja nekdo z dostopom do baz podatkov ciljna gospodinjstva zaradi ropa glede na njihovo premoženjsko stanje. Uporaba telefonskih številk in e-poštnih sporočil, tatovi lahko kontaktirajo stranke neposredno telovaditi, ko jih ni doma in izberejo primeren čas za prodor v njihove hiše. 

Nasveti strokovnjakov

Vprašanja in pomisleki, ki smo jih navedli tukaj, nikakor niso dokončna. Kršitve teh baz podatkov imajo velike posledice za stranke sejma Chqbook in Credit Fair ter podjetja sama. 

Te ranljivosti so samo dva primera številnih nevarnosti za vsakogar, ki uporablja spletne finančne instrumente ali spletna mesta. 

Če vas skrbi, kako lahko te kršitve ali ranljivosti podatkov na splošno vplivajo na vaše spletno mesto ali podjetje, preberite naše popoln vodnik za spletno zasebnost. Pokaže vam številne načine, na katere se lahko usmerite v kibernetske kriminalce in korake, ki jih lahko izvedete, da ostanete varni. 

Kako in zakaj smo odkrili kršitev

To kršitev smo odkrili kot rezultat a projekt spletnega kartiranja. Naši hekerji uporabljajo skeniranje vrat za pregledovanje določenih blokov IP in testiranje odprtih lukenj v sistemih za pomanjkljivosti. Vsako luknjo pregledajo, če se podatki puščajo. 

Naša ekipa je odkrila, da oboje Celotne zbirke podatkov Credit Fair in Chqbooks so bile nezaščitene in nekodificirane. Credit Fair uporablja bazo podatkov Mongo, medtem ko Chqbook uporablja elastično iskanje, od katerih nobena ni bila zaščitena z nobenim geslom ali požarnim zidom.

Vendar pa, do njega smo lahko dostopali preko brskalnika in manipulirali z merili za iskanje URL-jev kadar koli izpostavimo sheme iz enega indeksa. 

Kot etični hekerji smo dolžni stopiti na spletna mesta, ko odkrijemo varnostne pomanjkljivosti. To še posebej velja, če kršitev podatkov podjetja prizadene toliko ljudi – in to v primeru Credit Fair in Chqbook, to vprašanje je vsak dan prizadelo na tisoče ljudi.

Vendar pa ta etika pomeni tudi nosimo odgovornost do javnosti. Kreditni sejem in Chqbook kupci se morajo zavedati tveganj, ki jih prevzamejo pri uporabi spletnih mest, ki si ne prizadevajo za zaščito svojih uporabnikov.

O nas in prejšnja poročila

vpnMentor je največje spletno mesto za pregled VPN. Naš raziskovalni laboratorij je pro bono storitev, ki si prizadeva pomagati spletni skupnosti, da se brani pred kibernetskimi grožnjami, hkrati pa izobražuje organizacije o varovanju podatkov svojih uporabnikov..

Pred kratkim smo odkrili ogromno kršitev podatkov, ki je prizadela 80 milijonov ameriških gospodinjstev. Odkrili smo tudi, da je Gearbest doživel ogromno kršitev podatkov. Morda boste želeli prebrati tudi poročilo o puščanju VPN in poročilo o statistiki zasebnosti.