Raport: Campania de promovare a tutunului expune datele utilizatorilor români


Echipa de cercetare a vpnMentor a descoperit recent o încălcare a datelor într-o platformă web românească deținută de companie internațională de tutun British American Tobacco (BAT).

BAT are sediul în Regatul Unit. Este unul dintre cei mai mari producători de tutun și nicotină din lume.

Condusă de cercetătorii de confidențialitate pe internet Noam Rotem și Ran Locar, echipa noastră a găsit încălcarea datelor pe un server nesecurizat conectat la platforma web YOUniverse.ro. Platforma web face parte dintr-o campanie de promovare BAT România destinată fumătorilor adulți.

Prin intermediul platformei, rezidenții români pot câștiga bilete la petreceri și evenimente cu artiști renumiți interpreți locali și internaționali.

Legea română interzice cele mai multe tipuri de publicitate pentru tutun. Cu toate acestea, legea permite anumite tipuri de campanii promoționale și sponsorizări de evenimente care vizează exclusiv fumătorii existenți cu vârsta de peste 18 ani.

Încălcarea datelor implică informații sensibile de identificare personală (PII) de utilizatori.

Și mai îngrijorător este faptul că echipa noastră a descoperit că serverul nesecurizat are deja a fost compromis de ransomware.

În ciuda multiplelor încercări din partea echipei noastre de a dezvălui încălcarea, baza de date a rămas deschisă și neasigurată timp de peste două luni. Începând cu 22 septembrie, am încercat în mod repetat pentru a contacta compania (sucursala locală, precum și compania globală), compania de găzduire a serverului, Autoritatea Națională pentru Protecția Consumatorilor (ANPC) și autoritatea de certificare (CA). Singura petrecere de la care am auzit înapoi a fost CA. De asemenea, am contactat mai mulți jurnaliști români care au solicitat ajutor pentru a lua legătura cu compania, dar nu am primit încă un răspuns.

Începând cu 27 noiembrie baza de date era în sfârșit închisă, dar nimeni nu ne-a răspuns.

Exemplu de intrări în baza de date

Încălcarea a fost descoperită pe un server Elasticsearch nesigur situat în Irlanda. Baza de date scursă implică aproape 352 GB date.

Ransomware Attack

Ori de câte ori echipa noastră de cercetare găsește o vulnerabilitate într-un server, speranța noastră este ca niciun actor rău să nu găsească prima vulnerabilitate.

Din păcate, exact asta s-a întâmplat aici. În momentul în care echipa noastră de cercetare a descoperit încălcarea datelor, serverul a fost deja compromis de ransomware.

Am găsit 53 de indici pe server, dar aproape toți erau goi. Este probabil ca acești indici să fi fost creați de hackerii responsabili pentru atacul ransomware.

Serverul conținea, de asemenea, un fișier readme cu o cerere de răscumpărare:

Readmisiune BAT România

Pe baza fișierului readme, se pare că un hacker sau un grup de hackeri amenință că vor șterge datele de pe server dacă cerințele lor nu sunt îndeplinite. Hackerii solicită o plată Bitcoin în schimbul datelor.

Jurnalele de zi cu zi

Chiar și după ce a fost modificat, serverul conținea în continuare câteva date semnificative. Am putut vizualiza jurnalele zilnice din ultimele șapte zile, fiecare stocate într-un index separat.

Jurnalele par a fi înregistrări ale comunicațiilor http prin intermediul platformei web YOUniverse.

Exemple de detalii personale pe care le-am putea vedea includ:

  • Numele complet
  • e-mail
  • numar de telefon
  • Data de nastere
  • sex
  • sursa IP
  • preferințele privind țigara și produsul din tutun

Există, de asemenea, valori interne care ar putea conține informații mai sensibile. Semnificația unora dintre datele interne era neclară.

Datele BAT România 1

Unele dintre intrări includeau mesaje scrise în limba română. Se pare că sunt întrebări trimise de utilizatori, care pot fi clienți sau afiliați.

De exemplu, unele dintre mesaje cer asistență și descriu problemele cu codurile de premii și recompense.

Datele BAT România 2

În limba engleză, mesajul scrie:

„Bună seara, la sfârșitul lunii iunie am folosit puncte de experiență pentru a solicita 2 vouchere Doncafe de 400 de lei fiecare. Mesajele de confirmare pentru premii nu au specificat o dată în care pot fi utilizate codurile, dar când am sunat astăzi pentru a face o rezervare acolo, mi-au spus că au încheiat colaborarea cu tine. Vă rugăm să-mi oferiți o soluție pentru a utiliza cele 2 vouchere. Mulțumesc!"

Baza de date conținea și unele metadate legate de e-mailurile de ieșire care nu a reușit să ajungă la destinatar. Aceste intrări conțineau doar metadate, nu și conținutul mesajelor reale ale e-mailurilor.

Am putea vedea următoarele informații din metadatele de e-mail:

  • adresa de e-mail destinatie destinata a utilizatorului
  • Subiectul emailului
  • ID utilizator intern

Datele BAT România 3

De asemenea, am putea vedea adresa de e-mail a expeditorului. Domeniul de e-mail al expeditorului, MereuMaiMult, este asociat cu BAT România. Mereu mai mult este o frază românească care se traduce aproximativ în „mereu mai mult”. Face parte din aceeași campanie promoțională ca YOUniverse.

Mai multe informații pot fi expuse

Este posibil ca o mulțime de date să lipsească de pe server din cauza atacului ransomware, deci nu putem fi siguri ce alte informații pot fi compromise.

Pentru a ne face o idee despre ce tip de date ar putea fi scurse, am analizat politica de confidențialitate care acoperă toate platformele web pentru campania de promovare BAT România. Acestea includ YOUniverse.ro, aplicația mobilă YOUniverse, experiencemore.ro, mereumaimult.ro, preprietenie.ro și theunseen.ro.

De asemenea, am descoperit datele de autentificare de conectare la un sistem Microsoft Dynamic CRM, inclusiv parolele necriptate. Din păcate, acest lucru înseamnă că ar putea fi și mai multe date expuse. Din motive etice, nu am folosit datele de autentificare, deci nu știm ce informații sunt accesibile prin intermediul sistemului.

Conform declarației de confidențialitate, compania colectează și folosește următoarele informații atunci când utilizatorii se înregistrează pentru oricare dintre platformele sale:

  • numele și prenumele
  • Data de nastere
  • numar de telefon
  • adresa de email
  • locul de reședință
  • preferințele mărcii și ale produselor, inclusiv tutunul preferat

Pentru a vă înscrie la platformă, utilizatorii trebuie să introducă, de asemenea, un cod care poate fi obținut numai prin achiziționarea unui pachet de țigări..

Acest cod este utilizat pentru a respecta legislația română. Compania trebuie să verifice dacă toți utilizatorii sunt fumători activi înainte de a putea participa la activitățile promoționale.

În plus, declarația de confidențialitate spune că, dacă câștigați un premiu în valoare de peste o anumită sumă, compania trebuie să solicite CNP-ului dvs. declarația și plata impozitului pe venit. Asta privește pentru că CNP se referă la un număr de carte de identitate națională din România.

Nu am găsit dovezi că numerele CNP ale utilizatorilor au fost expuse, dar am putut doar să vizualizăm jurnalele zilnice. Este posibil ca numerele de identitate ale utilizatorilor să fi fost expuse anterior în atacul ransomware.

Impactul încălcării datelor

Este dificil să estimați numărul de persoane care ar putea fi afectate de această încălcare a datelor.

Datorită dimensiunii bazei de date și a limitelor etice care ne împiedică să săpăm prea adânc în datele personale, nu putem fi siguri câți utilizatori pot fi afectați.

Serverul conține jurnalele pentru șapte zile precedente. Unele dintre jurnalele zilnice conțin peste 60 de milioane de înregistrări, iar unele intrări conțin mai multe seturi de date ale utilizatorilor. Pe de altă parte, unele intrări conțin date nule sau duplicate.

Este posibil ca un număr mare de utilizatori să fi afectat confidențialitatea prin această încălcare a datelor.

Înșelătorii și atacuri de phishing

Încălcarea datelor a expus informațiile de contact pentru un număr mare de utilizatori. E-mailurile și numerele de telefon scurse îi pun pe oameni în pericol atacuri de phishing și escrocherii.

Părțile dăunătoare ar putea folosi alte detalii personale din încălcarea datelor pentru a crea atacuri de phishing adaptate care vizează utilizatorii individuali.

Atacurile de phishing pot lua forma de e-mailuri care par legitime. În realitate, aceste e-mailuri ar putea fi proiectate pentru infectați destinatarii cu malware sau înșelați oamenii pentru a expune detalii sensibile.

Utilizatorii ar putea risca, de asemenea, să devină victime ale mesajelor text și ale escrocheriei telefonice. În cazuri extreme, hackerii ar putea chiar să păcălească furnizorii de servicii de telefonie pentru a-i ajuta să deturneze numerele de telefon mobil ale utilizatorilor.

Ar putea duce chiar la atacuri de phishing de succes și înșelătorii care oferă acces hackerilor la informații suplimentare sau conturi personale furt de identitate.

Concurenții și agenții de publicitate

O altă problemă de luat în considerare este consecințele încălcării datelor pentru BAT România și concurenții săi. Concurenții pot avea acum acces la detaliile clienților BAT România, inclusiv preferințele PII și tutunul.

Aceste informații ar putea ajuta concurenții să țintească în mod eficient fumătorii activi. Acest lucru ar putea aduce un mare beneficiu competiției BAT România.

Agenții de publicitate terți ar putea beneficia, de asemenea, de acces la datele utilizatorilor scurse. Informațiile ar putea fi utilizate pentru a crea campanii publicitare direcționate extrem de eficiente.

Probleme de confidențialitate pentru fumători

Încălcarea datelor compromite confidențialitatea utilizatorilor într-un alt mod potențial dăunător.

Pentru a participa la platformă, utilizatorii trebuie să demonstreze că sunt fumători actuali, furnizând un cod care poate fi găsit pe un pachet de țigări..

Încălcarea datelor a expus numele fumătorilor actuali, care poate nu doresc ca obiceiurile lor de fumat să fie expuse lumii. Acest lucru ar putea avea chiar consecințe financiare grave pentru utilizatori. De exemplu, companiile de asigurări au deseori rate diferite pentru fumători.

Dacă cineva afirmă că nu este fumător, dar compania de asigurări găsește numele persoanei respective în baza de date scursă, utilizatorul ar putea fi taxat cu o rată mai mare.

Consecințele Ransomware-ului

În realitate, impactul încălcării datelor ar putea fi mult mai mare decât pare. Din păcate, serverul nesecurizat a fost deja compromis de ransomware când echipa noastră de cercetare a descoperit vulnerabilitatea.

Deoarece baza de date a fost deja modificată, dimensiunea reală și gravitatea impactului încălcării datelor nu sunt cunoscute. Chiar dacă cererea de răscumpărare este plătită, nu există nici o modalitate de a primi înapoi cu adevărat informațiile scurse.

Hackerii ar putea restaura toate datele lipsă, dar hackerii pot păstra cu ușurință o copie a datelor sensibile ale utilizatorilor și companiei.

O altă îngrijorare este că serverele altor companii pot fi afectate. Când am efectuat o căutare pe Google cu cuvinte cheie din mesajul de răscumpărare, am găsit mai multe exemple de alte servere care au prezentat exact același atac de răscumpărare, cu același mesaj cuvânt cu cuvânt.

Acest lucru ar putea însemna că datele au fost deja scurse și că acum sunt în mâinile unei organizații criminale.

Sfaturi ale experților

Atacul ransomware pe care l-am descoperit ca parte a acestei încălcări de date este un exemplu perfect al riscurilor de a nu vă asigura securizarea serverelor.

Încălcarea datelor ar fi putut fi prevenită cu unele măsuri de securitate de bază. Cel puțin, ar trebui să țineți cont întotdeauna de următoarele practici de securitate:

  • Asigurați-vă serverele
  • Implementați reguli de acces adecvate
  • Necesită autentificare pentru a accesa toate sistemele

Pentru un ghid mai detaliat despre cum să vă protejați afacerea, consultați articolul nostru pe cum să vă asigurați site-ul și baza de date online de la hackeri.

Cum și de ce am descoperit încălcarea

Condusă de experți de securitate Ran și Noam, echipa de cercetare vpnMentor a descoperit această încălcare ca parte a noastră proiect de mapare web pe scară largă.

Echipa noastră de cercetare scanează porturile pentru a găsi blocuri IP cunoscute. Echipa caută apoi vulnerabilități în sistem care ar indica o bază de date deschisă.

Odată constatată o încălcare a datelor, echipa noastră leagă baza de date înapoi proprietarului. Atunci noi contactați proprietarul, informați-i cu privire la vulnerabilitate și sugerați modalități prin care proprietarul își poate asigura sistemul mai sigur.

În calitate de hackeri și cercetători etici, nu vindem, stocăm și nu expunem informațiile pe care le întâlnim.

Scopul nostru este de a îmbunătăți securitatea și securitatea generală a internetului pentru toată lumea.

Despre noi și rapoarte anterioare

vpnMentor este cel mai mare site de revizuire VPN din lume. Laboratorul nostru de cercetare este un serviciu pro bono care se străduiește să ajute comunitatea online să se apere împotriva amenințărilor cibernetice, educând organizațiile în protejarea datelor utilizatorilor lor.

Recent am descoperit o încălcare uriașă a datelor în Ecuador, care a afectat milioane de persoane. De asemenea, am dezvăluit o rețea de fraudă masivă care vizează grupurile de vânzări de grup și online.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me