Raport: Aplicația serviciului poștal francez expune proprietarilor de întreprinderi mici în scurgerea de date
Condusă de Noam Rotem și Ran Locar, echipa de cercetare a vpnMentor a descoperit o încălcare pe o bază de date aparținând lui Genius, o aplicație Android construită de serviciul poștal francez La Poste. Genius este un registru de numerar bazat pe aplicații care integrează multe procese diferite pentru a ajuta micii proprietari de magazine. Baza de date în cauză este în cea mai mare parte legată de plățile efectuate prin intermediul aplicației. Cu peste 23 de milioane de înregistrări, aceasta reprezintă o încălcare uriașă a securității datelor și face vulnerabili utilizatorii Genius din Franța. Dacă hackerii nocivi au descoperit această bază de date, consecințele ar putea fi devastatoare pentru cei expuși.
La Poste Profilul companiei
La Poste este principalul serviciu poștal din Franța, deținut majoritar de guvernul francez și care operează și în teritorii de peste mări în mod tradițional legate cu țara. Este al doilea cel mai mare angajator din Franța și la fel ca multe servicii poștale din întreaga lume, s-a extins dincolo de livrarea prin poștă. Operațiunile lor includ asigurare, servicii bancare, găzduire prin poștă web și multe alte servicii pentru cetățenii privați. De asemenea, compania oferă servicii pentru întreprinderile mici și mijlocii (IMM-uri) din Franța. Acestea includ Genius, aplicația pentru casa de marcat. În afară de procesarea plăților de la clienți, Genius asistă IMM-urile cu gestionarea stocurilor, raportarea datelor și analiza, contabilitatea și multe alte procese cheie. Genius este facturat către IMM-uri ca „O soluție modulară care se adaptează tuturor nevoilor tale… Și bugetului tău!”
Cronologia descoperirii și reacția proprietarului
Uneori, amploarea unei încălcări a datelor și proprietarul datelor sunt evidente, iar problema a fost rezolvată rapid. Dar rare sunt aceste vremuri. Cel mai adesea, avem nevoie de zile de anchetă înainte de a înțelege ce este în joc sau cine leagă datele. Înțelegerea unei încălcări și a ceea ce este în joc necesită atenție și timp. Muncim din greu pentru a publica rapoarte corecte și de încredere, asigurându-ne că toți cei care le citesc își înțeleg seriozitatea. Unele părți afectate neagă faptele, ignorând cercetările noastre sau reducând impactul acesteia. Deci, trebuie să fim atenți și să ne asigurăm că tot ce găsim este corect și adevărat. În acest caz, după ce am identificat La Poste în calitate de proprietar al bazei de date, le-am adresat rezultatele noastre. În timp ce așteptam un răspuns de la La Poste, pe 18 noiembrie am adresat și companiei lor de găzduire și The Commission nationalale de informainformatique et des libertés (CNIL), organismul de reglementare independent din Franța pentru confidențialitatea datelor. Baza de date a fost închisă la aproape trei săptămâni după primul nostru contact cu CNIL francez.
- Data descoperită: 11/11
- Data contactării vânzătorilor: 13/11
- Data contactului cu CNIL: 18/11
- Data acțiunii: Aprox. 8/12
Exemplu de intrări în baza de date
Conform Termenilor de furnizare a serviciului pentru Genius, La Poste se angajează să: „Implementați [măsurile] necesare pentru protejarea datelor cu caracter personal împotriva distrugerilor accidentale sau ilegale, pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat; încălcarea datelor cu caracter personal. “ (Tradus din franceză) Cu toate acestea, pe baza cercetărilor noastre, baza de date expusă nu a fost protejată suficient. Scurgeau informații sensibile care ar fi o mină de aur pentru infractori și hackeri rău intenționat. Echipa noastră a găsit peste 15 GB informații sensibile, cu 23 de milioane de înregistrări provenind de la IMM-uri din Franța, Belgia, Elveția, Italia, Spania și poate mai mult. Intrările în baza de date au fost legate de plățile efectuate de clienți prin intermediul Genius, precum și de alte funcții efectuat pe aplicație. Fiecare intrare conținea diferite forme de date, în funcție de acțiunea întreprinsă de utilizator. Acestea includ Informații de identificare personală (PII), atât ale utilizatorilor Genius, cât și ale clienților acestora, împreună cu informații sensibile despre finanțele și operațiunile întreprinderilor. Exemple de date despre utilizator care pot fi vizualizate în baza de date includ:
- Numele complete, adresele de e-mail, numerele de telefon și datele de naștere ale persoanelor care folosesc aplicația
- Orașul reședinței de afaceri și codurile poștale ale utilizatorilor
- Informații despre produsele vândute (etichetă, preț, cod de bare, etc.) și tranzacții efectuate prin Genius
- Informații despre vânzători (nume, e-mail, număr de telefon)
- Facturile trimise clienților și furnizorilor
- Inventarul stocurilor de afaceri
- Atât testul, cât și valorile autentice ale produselor de pe Genius
- Adresele de e-mail ale clienților care au primit o factură prin Genius
- Valorile totale ale tranzacțiilor întreprinderii efectuate prin Genius
- Numărul de siret al întreprinderii (pentru înregistrarea companiei franceze)
- Mult mai mult
Mai jos este un exemplu de utilizator Genius care își face reconcilierea la sfârșitul zilei în aplicație (valorile valutare sunt listate ca totaluri în centi. De exemplu, „10150” = 101,50 €). Aceasta este doar un exemplu al modului în care au fost scurse datele sensibile și înregistrările financiare ale unei întreprinderi: În exemplul următor, datele aparținând unei afaceri și unuia dintre angajații acesteia sunt expuse în timp ce efectuați o altă acțiune în aplicația Genius: În acest exemplu final, PII al unui client este expus:Genius este utilizat de către IMM-uri din toată Franța, precum și din alte țări europene inclusiv Franța, Belgia, Elveția, Italia și Spania. Ca atare, baza de date conținea înregistrări din baza de utilizatori Genius în multe industrii diferite în fiecare dintre aceste țări și multe altele. Câteva exemple de afaceri expuse includ:
- Nilaï – Un magazin de bijuterii din Paris
- By164 – Un magazin de bijuterii din Paris
- Lovat&Green – Un retailer de modă unisex cu sediul în Bilbao, Spania
- Manta – Un magazin de cadouri francez, cu transport în numeroase țări europene
- Louisette – Un magazin de cadouri din Franța
- Restaurarea MHD – Un restaurant mic, independent
* Notă: Lousiette și MHD au fost utilizatori ai Genius citați pe site-ul său web, oferind mărturii pozitive pentru acest serviciu. În afară de expunerea utilizatorilor clienți ai aplicației lor, baza de date de asemenea, din neatenție, i-au făcut vulnerabili angajații din La Poste. În timpul cercetării lor, echipa noastră a vizualizat și datele PII ale angajaților La Poste, cum ar fi numele lor, adresele de e-mail și numerele de telefon, alături de „valorile de testare” ale produselor din aplicație. Acest lucru a fost cel mai probabil din cauza angajaților afectați care testează aplicația în casă.
Impactul încălcării datelor
Această scurgere de date reprezintă o încălcare gravă a protocoalelor de securitate a datelor pentru La Poste și dezvoltatorii aplicației Genius. În timp ce La Poste poate fi apreciată pentru transparența lor în ceea ce privește protecția datelor utilizatorilor lor, descoperirea echipei noastre indică acest lucru nu au luat măsuri suficiente pentru a proteja datele respective. Dacă infractorii sau hackerii rău intenționali ar fi accesat aceste date, ar exista implicații grave pentru confidențialitatea și securitatea tuturor celor afectați.
Pentru La Poste și Genius
O scurgere de această natură va ridicați întrebări cu privire la practicile generale ale securității datelor La Poste – nu doar în aplicația Genius, dar de-a lungul operațiunilor lor mai largi și rețelei de afaceri filiale. În timp ce lucrăm pentru a rezolva această scurgere, viitorii clienți către Genius ar putea fi reticenți în adoptarea aplicației în operațiunile lor de afaceri. La Poste se poate lupta să păstreze încrederea IMM-urilor după descoperirea noastră, împreună cu reputația lor în comunitățile de afaceri din Franța. Ca cel mai mare serviciu poștal al Franței, cu clienți din toată Europa, La Poste se află în jurisdicția Uniunii Europene și a GDPR. La Poste recunoaște chiar GDPR, deși nu pe nume, în Termenii lor de serviciu. Prin protejarea datelor personale ale utilizatorilor Genius și ale clienților acestora, La Poste poate fi responsabilă pentru acțiuni legale sau amenzi de către organismele de reglementare corespunzătoare.
Pentru utilizatorii Genius
Datele sensibile expuse în această bază de date realizează Utilizatorii Genius și întreprinderile lor vulnerabile la o varietate de atacuri și scheme de fraudă. De exemplu, prin folosind datele PII, de afaceri și financiare, expuse, infractorii ar putea crea campanii eficiente de phishing. O campanie de phishing implică crearea de e-mailuri frauduloase imitând afaceri legitime și organisme guvernamentale, folosit pentru a păcăli ținte pentru a efectua oricare dintre următoarele:
- Dezvăluiți informații suplimentare cum ar fi parolele și numele de utilizator către conturi online private și găzduire prin e-mail
- Dă acces la conturile financiare, cum ar fi cărțile de credit sau serviciile bancare online
- Faceți clic pe un link care va încorpora software-ul rău intenționat, cum ar fi malware, ransomware, spyware și viruși
Dacă un hacker care vizualizează datele expuse a putut să calculeze valorile medii ale tranzacțiilor pe Genius, ar putea concepe metode pentru a fura bani în sume mici, incrementale de la un utilizator – sau sume forfetare întregi. Recuperarea acestor fonduri furate ar putea fi un proces lung, dificil și nereușit – dincolo de abilitățile multor proprietari de IMM-uri. Scurgerea a creat, de asemenea, un potențial mai traumatic pericol fizic pentru proprietarii magazinului. Reconcilieri la sfârșitul zilei efectuate de utilizatori prin Genius au dezvăluit sumele de numerar fizic aferente locurilor lor apropiate. Acest lucru oferă tâlharilor potențiali o perspectivă asupra momentului cel mai bun pentru a se arunca sau a intra într-un magazin expus și fura numerar direct din incinta. La fel ca în totalul monedelor enumerate, în următorul fragment de cod, valoarea „10150” este egală cu 101.50 în moneda utilizatorului.
În plus, întrucât datele scurse au expus și clienții acestor afaceri, proprietarii lor s-ar putea confrunta cu o pierdere de clienți care nu mai au încredere în întreprinderile care folosesc Genius pentru a păstra datele lor în siguranță. În cele din urmă, utilizatorii Genius ar putea fi vulnerabili la acțiuni necinstite ale concurenților. Odată cu accesul la analiza datelor de vânzări și prețuri, un concurent ar putea submina utilizatorul cu oferte concurente. Acest lucru poate alunga și mai mult clienții de un utilizator Genus expus.
Sfaturi ale experților
La Poste și dezvoltatorii Genius ar fi putut evita cu ușurință această scurgere dacă ar fi luat unele măsuri de securitate de bază pentru protejarea bazei de date. Acestea includ, dar nu se limitează la:
- Asigurați-vă serverele.
- Implementați reguli de acces adecvate.
- Nu lăsați niciodată un sistem care nu necesită autentificare deschisă pe internet.
Orice companie poate reproduce aceiași pași, indiferent de mărimea acesteia. Pentru un ghid mai detaliat despre cum să vă protejați afacerea, consultați ghidul nostru pentru securizarea site-ului dvs. web și a bazei de date online de hackeri.
Pentru utilizatorii Genius
Conform condițiilor lor de furnizare a serviciilor, La Poste este obligată să notifice utilizatorii „orice încălcare a datelor cu caracter personal” în termen de 48 de ore: „În acest context, [noi] vom comunica Clientului toate informațiile [pe care le avem] cu privire la condițiile care înconjoară această încălcare a datelor cu caracter personal.” Sperăm că își vor îndeplini această obligație și vor informa orice parte afectată de scurgere. Dacă sunteți un client al La Poste Genius și sunteți îngrijorat de modul în care această încălcare v-ar putea afecta, La Poste oferă, de asemenea, indicații pentru a vă preocupa problemele cu părțile externe: „Ca parte a politicii La Poste de protecție a datelor cu caracter personal, puteți contacta agentul de protecție a datelor, CP C703, 9 Rue Colonel Pierre Avia, 75015 PARIS. În caz de dificultate în gestionarea datelor dvs. personale, puteți depune o plângere la CNIL. “
Pentru proprietarii de IMM-uri
Dacă dețineți o SMB și sunteți îngrijorat de modul în care vulnerabilitățile și furtul de date ar putea afecta afacerea și clienții dvs., citiți ghidul nostru complet de confidențialitate online pentru IMM-uri.. Vă arată numeroasele modalități în care cybercriminalii vizează întreprinderile mici și pașii pe care îi puteți lua pentru a fi în siguranță.
Cum și de ce am descoperit încălcarea
Echipa de cercetare vpnMentor a descoperit breșa în bazele de date ale La Poste ca fiind parte a unui proiect uriaș de cartografiere web. Cercetătorii noștri folosesc scanarea porturilor pentru a examina anumite blocuri IP și pentru a testa găurile deschise ale sistemelor pentru deficiențe. Aceștia examinează fiecare gaură pentru a se scurge datele. Când găsesc o încălcare a datelor, utilizează tehnici de expertiză pentru a verifica identitatea bazei de date, precum și proprietarul acesteia. Avertizăm apoi compania cu privire la încălcare. Dacă este posibil, vom avertiza și alte părți afectate de încălcare. Echipa noastră a putut accesa această bază de date, deoarece a fost complet nesecurizată și necriptată. La Poste folosește o bază de date Elasticsearch, care în mod normal nu este proiectată pentru utilizarea adreselor URL. Cu toate acestea, am putut să-l accesăm prin browser și să manipulăm criteriile de căutare URL în expunerea schemelor. Scopul acestui proiect de mapare web este de a ajuta internetul să fie mai sigur pentru toți utilizatorii. În calitate de hackeri etici, suntem obligați să informăm o companie atunci când descoperim defecte în securitatea lor online. Acest lucru este valabil mai ales atunci când încălcarea datelor companiilor conține astfel de informații private. De asemenea, această etică înseamnă că purtăm o responsabilitate în fața publicului. Utilizatorii Genius trebuie să fie conștienți de cum le afectează și o scurgere de date.
Despre noi și rapoarte anterioare
vpnMentor este cel mai mare site de revizuire VPN din lume. Laboratorul nostru de cercetare este un serviciu pro bono care se străduiește să ajute comunitatea online să se apere de amenințările cibernetice în timp ce educă organizațiile pentru protejarea datelor utilizatorilor lor. În trecut, am descoperit o încălcare uriașă care expunea datele clienților unui grup hotelier francez deținut de AccorHotels. De asemenea, am dezvăluit o scurgere de date de către platforma franceză de rezervare a zborurilor Option Way, care compromite confidențialitatea clienților lor. De asemenea, poate doriți să citiți raportul nostru privind scăpările VPN și raportul cu statistici privind confidențialitatea datelor.
Ryan
17.04.2023 @ 21:28
e 23 de milioane de înregistrări în baza de date a aplicației Genius, care a fost expusă de către serviciul poștal francez La Poste. Această încălcare a securității datelor face utilizatorii Genius vulnerabili la atacurile hackerilor și poate avea consecințe devastatoare pentru aceștia. Este important ca proprietarii de IMM-uri și utilizatorii Genius să ia măsuri de precauție pentru a-și proteja datele personale și financiare. Echipa de cercetare vpnMentor a făcut o treabă excelentă în descoperirea acestei încălcări și în informarea proprietarului bazei de date și a organismului de reglementare independent din Franța pentru confidențialitatea datelor. Este important ca astfel de încălcări să fie raportate și remediate cât mai curând posibil pentru a proteja utilizatorii și datele lor.