Poročilo: Priljubljeni spletni trgovec izpostavlja kupce po vsem svetu
Raziskovalna skupina vpnMentorja, ki sta jo vodila analitika za kibernetsko varnost Noam Rotem in Ran Locar, je odkrila puščanje v podatkovni bazi, ki pripada spletnemu trgovcu LightInTheBox. Obsežna baza podatkov, ki jo je vsebovala več kot 1TB dnevnih dnevnikov in ogrozila varnost strank LightInTheBox po vsem svetu. To ni samo velika kršitev varnostnih protokolov LightInTheBox, ampak tudi ustvarja resnične nevarnosti za prizadete.
Profil podjetja LightInTheBox
LightInTheBox je spletni prodajalec s sedežem v Pekingu na Kitajskem in trgovanje na newyorški borzi kot LITB. LightInTheBox, ustanovljen leta 2007, mednarodno pošilja večino svojih strank v Severno Ameriko in Evropo. Podjetje se osredotoča na tri osnovne maloprodajne kategorije: oblačila, majhne dodatke in pripomočke ter dom in vrt. LightInTheBox je ogromen posel, na svojem vodilnem spletnem mestu ustvari več kot 12 milijonov mesečnih obiskovalcev, skupaj z več manjšimi odvisnimi družbami.
Časovni trak odkritja in reakcije lastnika
Včasih sta obseg kršitve podatkov in lastnik podatkov očitna in težava hitro odpravljena. A v teh časih so redki. Najpogosteje potrebujemo dneve preiskave, preden razumemo, kaj je v igri ali kdo pušča podatke. Za razumevanje kršitve in njen vpliv je potreben čas in skrbna pozornost. Trudimo se objavljati natančna in zaupanja vredna poročila, s katerimi zagotovimo, da vsi, ki jih berejo, razumejo njihovo resnost.
Nekatere prizadete stranke zanikajo dejstva, ne upoštevajo naše raziskave ali zmanjšujejo njen vpliv. Torej, moramo biti temeljiti in poskrbeti, da je vse, kar bomo našli, pravilno in resnično. V tem primeru, ko smo LightInTheBox identificirali kot lastnika baze podatkov, smo jih poklicali, da bi predstavili naše ugotovitve. Medtem ko od podjetja nismo prejeli odgovora, smo kmalu zatem kršili bazo podatkov.
- Datum odkritja: 20/11
- Datum stika s prodajalci: 24/11
- Datum ukrepanja: Pribl. 24.11.19
Primer vnosov v zbirko podatkov
LightInTheBox ne vsebuje posebnih podrobnosti o njihovi varnosti podatkov in praksah shranjevanja ali ukrepe, ki jih sprejmejo za varovanje podatkov strank. V skladu s svojo politiko zasebnosti ščitijo uporabniške podatke z:… administrativnimi postopki za varovanje zaupnosti vaših osebnih podatkov, kot so: * zaščita vseh finančnih transakcij prek tega spletnega mesta s šifriranjem varnih vtičnic (SSL) šifriranje * dodelitev samo zaposlenim ki nudijo določen dostop do vaših osebnih podatkov. * Delajte samo s tretjimi ponudniki storitev, za katere verjamemo, da ustrezno zavarujejo vso računalniško strojno opremo. Medtem ko je naše podjetje zasnovano z varovanjem vaših osebnih podatkov v mislih, prosimo, ne pozabite, da 100-odstotna varnost trenutno ne obstaja nikjer, na spletu ali brez povezave.
Glede na odkritje naše ekipe, ukrepi, ki so jih sprejeli, so bili nezadostni. Zlomljena baza podatkov je vsebovala več kot 1,3 TB podatkov, skupno več kot 1,5 milijarde zapisov. Baza podatkov je bila dnevnik spletnega strežnika – zgodovina zahtevkov strani in uporabniška aktivnost na spletnem mestu od 9. avgusta 2023 do 11. oktobra. Poleg LightInTheBox.com je vseboval tudi podatke z njihovih hčerinskih mest, med drugim tudi MiniInTheBox.com. Kršitev podatkov je prizadela stranke po vsem svetu, z vpisi z mnogih njihovih mednarodnih strani in v številnih jezikih. Skozi spletni strežnik dnevniki, shranjeni v bazi podatkov, ogledali smo si zasebne osebne uporabniške podatke, ki vključujejo:
- IP-naslovi uporabnikov
- Države prebivališča
- E-poštni naslovi
- Ciljne strani in uporabniška aktivnost na spletnem mestu
Naslednji delčki kode prikazujejo, kako so bili izpostavljeni 3 ločeni e-poštni naslovi:
Baza podatkov je vsebovala tudi podatke Googla LightInTheBox & Oglaševalske akcije Bing Ads.
Vpliv na kršitev podatkov
Ta kršitev podatkov predstavlja velik zastoj pri varnosti podatkov LighInTheBox. Medtem ko ta puščanje podatkov ne izpostavlja kritičnih uporabniških podatkov, nekateri osnovni varnostni ukrepi niso bili sprejeti. To je čas leta z veliko spletnega nakupovanja: Črni petek, Cyber ponedeljek, Božič. Celo obsežno puščanje podatkov, ki nimajo osebnih podatkov, ki jih lahko uporabnik nima, bi lahko ogrozilo podjetje in njegove stranke.
LightInTheBox tvega izgubo poslovanja v ključnem času če stranke ne čutijo, da podjetju lahko zaupajo, da bo podatke shranjeval kot zasebne. Glede na ocene uporabnikov LightInTheBox o Trustpilotu so številne stranke že nezadovoljne s svojimi izkušnjami na spletnem mestu. Z razkritjem svojih podatkov LightInTheBox tvega nadaljnjo izgubo posla, kar lahko negativno vpliva na prihodnje prihodke.
Za stranke LightInTheBox
Zaradi izpostavljenih podatkov so prizadeti izpostavljeni številnim oblikam goljufij in spletnim napadom. Z dostopom do uporabniških e-poštnih sporočil lahko spletna kriminala ustvari prepričljive lažne oglaševalske akcije z e-poštnimi sporočili, ki posnemajo LightInTheBox. S temi e-poštnimi sporočili lahko žrtve prerešejo v kar koli od naslednjega:
- S klikom povezave, ki v njihovo napravo vgradi zlonamerno programsko opremo
- Razkrivanje občutljivih finančnih ali osebnih podatkov
- Zagotavljanje poverilnic za prijavo za zasebne spletne račune
Vpliv na žrtev bi bil lahko uničujoč. Obstaja tudi fizična nevarnost. Z naslovom IP uporabnika spletnega mesta, lahko smo identificirali njihovo prebivališče. Če bi imel kriminalni heker dostop do tega, bi lahko skupaj z drugimi izpostavljenimi podatki prevaral žrtev, da bi razkril svoj domači naslov, in jih usmeril v tatvino in rop doma Naslednji primer prikazuje nekatere dodatne informacije, ki jih lahko najdemo z nečim IP-naslovom: Najslabše, ta kršitev podatkov se je zgodila pred božičem, ko se bo veliko ljudi nabralo za darila in jih potencialno kupilo pri LightInTheBox-u.
Nasveti strokovnjakov
LightInTheBox bi se zlahka izognil temu puščanju, če bi sprejel nekaj osnovnih varnostnih ukrepov za zaščito baze podatkov. Sem spadajo, vendar niso omejene na:
- Zavarujte svoje strežnike.
- Izvedite ustrezna pravila za dostop.
- Nikoli ne puščajte sistema, za katerega ni potrebna avtentikacija, odprt za internet.
Vsako podjetje lahko ponovi iste korake, ne glede na njegovo velikost. Za podrobnejši vodnik, kako zaščititi svoje podjetje, si oglejte naš vodnik za zaščito vašega spletnega mesta in spletne baze podatkov pred hekerji.
Za stranke LightInTheBox
Lahko se obrnete neposredno na LightInTheBox in ugotovite, kako rešujejo to težavo in načrtujete, kako bolje zaščititi svoje podatke v prihodnosti.. Če ste odjemalec LightInTheBox-a in vas skrbi, kako lahko ta kršitev vpliva na vas ali na ranljivosti podatkov na splošno, preberite naš celotni vodnik o zasebnosti v spletu. Prikaže vam številne načine, kako kibernetski kriminalci ciljajo na uporabnike interneta, in korake, ki jih lahko izvedete, da ostanejo varni. Uporabite lahko tudi VPN, da skrijete nekatere podatke, izpostavljene v LightInTheBox. VPN bo prikril vaš IP naslov in državo prebivališča in vam zagotovil dodatno raven zaščite, tudi če bodo vaši podatki puščali.
Kako in zakaj smo odkrili kršitev
Raziskovalna skupina vpnMentor je odkrila kršitev podatkovnih baz LightInTheBox kot del velikega projekta spletnega preslikavanja. Naši raziskovalci uporabljajo skeniranje vrat za pregledovanje določenih blokov IP in testiranje odprtih lukenj v sistemih za pomanjkljivosti. Vsako luknjo pregledajo, če se podatki puščajo. Ko ugotovijo kršitev podatkov, s pomočjo strokovnih tehnik preverijo identiteto baze podatkov. Nato podjetje opozorimo na kršitev. Če je mogoče, bomo opozorili tudi tiste, ki jih je kršila kršitev. Naša ekipa je lahko dostopila do te baze podatkov, ker je bila popolnoma nezavarovana in nešifrirana. Podjetje uporablja bazo podatkov Elasticsearch, ki običajno ni zasnovana za uporabo URL-jev. Vendar pa smo do njega lahko dostopali prek brskalnika in manipulirali z merili iskanja URL pri izpostavljanju shem baze podatkov. Namen tega projekta spletnega preslikavanja je pomagati narediti internet varnejši za vse uporabnike.
Kot etični hekerji smo dolžni obvestiti podjetje, ko odkrijemo pomanjkljivosti v njihovi spletni varnosti. To še posebej velja, če kršitve podatkov podjetij vsebujejo take zasebne podatke. Vendar pa ta etika pomeni tudi nosimo odgovornost do javnosti. Stranke LightInTheBox se morajo zavedati kršitve podatkov, ki vplivajo tudi na njih.
O nas in prejšnja poročila
vpnMentor je največje spletno mesto za pregled VPN na svetu. Naš raziskovalni laboratorij je pro bono storitev, ki si prizadeva pomagati spletni skupnosti, da se brani pred kibernetskimi grožnjami, hkrati pa izobražuje organizacije o varovanju podatkov svojih uporabnikov. V preteklosti smo v Biostar-u 2 odkrili kršitev, ki je ogrozila biometrične podatke več kot 1 milijona ljudi. Pred kratkim smo razkrili tudi, da je podjetje v lasti večjih hotelskih verig AccorHotels izpostavilo več kot 1TB podatkov gostov. Morda boste želeli prebrati tudi poročilo o puščanju VPN in poročilo o statistiki zasebnosti.
Brady
17.04.2023 @ 21:17
Šokantno odkritje raziskovalne skupine vpnMentorja! Puščanje v podatkovni bazi spletnega trgovca LightInTheBox je ogrozilo varnost strank po vsem svetu. To je resnično zaskrbljujoča novica, ki kaže na veliko kršitev varnostnih protokolov LightInTheBox. Upam, da bodo sprejeli ustrezne ukrepe za zaščito svojih strank in preprečili podobne incidente v prihodnosti. Hkrati pa bi morali biti tudi stranke pozorne in sprejeti ukrepe za zaščito svojih osebnih podatkov. Varnost na spletu je ključnega pomena in vsi moramo biti pozorni na to, kako ravnamo s svojimi podatki.