Pranešimas: „Laisvės mobiliųjų duomenų pažeidimas“ atskleidžia visą Kanados klientų kredito informaciją


„vpnMentor“ tyrimų komanda neseniai tai sužinojo „Freedom Mobile“ patyrė didžiulį duomenų pažeidimą.

Hacktivistų Noamo Rotemo ir Ran Locaro vadovaujami vpnMentor tyrėjai atrado: pažeidimas, atskleidžiantis iki 1,5 milijono aktyvių „Freedom Mobile“ vartotojų asmeninių duomenų. „Freedom Mobile“ (buvusi „Wind Mobile“) yra ketvirta pagal dydį Kanados bevielio ryšio paslaugų teikėja.

Mūsų komanda aptiko 5 milijonus nešifruotų įrašų, tačiau dėl etinių priežasčių neatsisiuntė duomenų bazės, todėl negali pateikti tikslių skaičių. Nuo tada bendrovė teigė, kad buvo paviešinta tik 15 000 įrašų.

Duomenų bazė buvo visiškai neapsaugota ir nešifruota. Duomenys apima kredito kortelių ir CVV numerius.

Pažeidimų atradimo ir reakcijos laiko juosta

  • Balandžio 17 d: „Freedom Mobile“ duomenų bazėje aptinkame nutekėjimą.
  • Balandžio 18 d: Norime informuoti bendrovę apie rimtus duomenų pažeidimus el. Paštu. Atsakymo negauna.
  • Balandžio 23 d: Bandome dar kartą susisiekti su „Freedom Mobile“.
  • Balandžio 24 d: „Freedom Mobile“ pagaliau reaguoja į žinutes.
  • Balandžio 24 d: „Freedom Mobile“ panaikina duomenų pažeidimus.

Įrašų duomenų bazėje pavyzdžiai

Panašus į „Gearbest“ neapsaugotą „Elasticsearch“ duomenų bazę, „Freedom Mobile“ duomenų bazė buvo visiškai nešifruota. Mes turėjome pilna prieiga prie daugiau nei 5 milijonų įrašų, atspindi iki 1,5 milijono vartotojų.

Panašu, kad šie įrašai atspindi bet kokius veiksmus, kurių buvo imtasi per vartotojo abonementą, leidžiant kelis įrašus vienam klientui.

Atskleisti asmens duomenys apima:

  • elektroninio pašto adresas
  • namo ir mobiliojo telefono numeris
  • namų adresai
  • Gimimo data
  • kliento tipas
  • IP adresas, prijungtas prie mokėjimo būdo
  • nešifruota kredito kortelė ir CVV numeriai
  • „Equifax“ ir kitų korporacijų atsakymai į kredito balas su priėmimo / atmetimo priežastimis

Mes taip pat galėjome pasiekti sąskaitų numerius, prenumeratos datas, atsiskaitymo ciklo datas ir klientų aptarnavimo įrašus, įskaitant vietoves.

Kai kuriuose įrašuose taip pat buvo duomenų iš „Equifax“ duomenų bazės. Tai apėmė informaciją apie kredito reitingus, kredito klasę ir kredito kortelių sąskaitas.

Pranešimas: „Laisvės mobiliųjų duomenų pažeidimas“ atskleidžia visą Kanados klientų kredito informaciją

Duomenų pažeidimo poveikis

Ironiška, bet „Freedom Mobile“ didžiuojasi siūlydama aukštą privatumo lygį. Tai netgi jų „Twitter“ biografijoje:

Pranešimas: „Laisvės mobiliųjų duomenų pažeidimas“ atskleidžia visą Kanados klientų kredito informaciją

Tačiau jie aiškiai dalijosi savo klientų duomenimis ir jais nesiskundė.

Sužinoję duomenų pažeidimą, mes greitai perspėjome „Freedom Mobile“ apie šią problemą. Kai jie iškart nereagavo, paprašėme kontaktų kitoje saugos svetainėje padėti mums juos pasiekti tuo atveju, jei mūsų el. laiškai patektų į šlamštą. Kai jie galiausiai atsakė, mes žinome, kad taip nėra.

Dėl etinių priežasčių mes neatsisiuntėme duomenų bazės, todėl tiksliai nežinome, kiek žmonių tai paveikė.

Vis dėlto, galėjome pasiekti bent 5 milijonus neapsaugotų įrašų. „Freedom Mobile“ turi mažiausiai 1,5 milijono abonentų, o jos pagrindinė įmonė priklauso „Shaw Communications“, turinčiai daugiau nei 3,2 milijono klientų visoje Kanadoje.. Tai gali būti didžiausias Kanados bendrovės patirtas pažeidimas.

Retai būna nuotėkio, kuris išsamiai aprašytų abu dalykus kredito kortelės informacija ir CVV numeriai kartu, ypač esant tokiam dideliam pažeidimui.

Kadangi šis duomenų nutekėjimas apima nešifruotą kredito kortelės informaciją, „Freedom Mobile“ gali pažeisti PCI (mokėjimo kortelių pramonės) laikymosi taisykles. Tai gali turėti rimtų padarinių realiam pasauliui tiek įmonei, tiek jos vartotojams.

Hacks pavojai

Duomenų bazėje taip pat pilna kreditinės kortelės duomenų, gimimo datų, vardų, adresų ir telefonų numerių kreditinių kortelių sukčiavimas ir tapatybės vagystė. Tai vartotojams - ir jų bankams, ir draudimo bendrovėms - galėtų kainuoti šimtus tūkstančių dolerių.

Nešifruota personalizuotos informacijos duomenų bazė yra vertingas šaltinis įsilaužėliams. Prieiga prie adresų, el. Pašto adresų, telefonų numerių ir kredito duomenų gali padėti kenksmingiems veikėjams vykdyti sudėtingas sukčiavimo schemas.

Informacija apie kreditą taip pat leidžia labai tikslinės išpirkos programų atakos, nes blogi aktoriai žino, kur gali reikalauti aukštų kainų.

Net pats atsargiausias vartotojas negali apsiginti nuo įmonės, kuri išsaugo savo duomenis nesaugioje duomenų bazėje. Geriausias būdas, kurį radome, yra naudokite laikiną kortelę, sąskaitą ar CVV numerį prijungtas prie jūsų sąskaitos. Norėdami gauti daugiau informacijos, skaitykite mūsų išsamų vadovą.

Apie mus ir ankstesnės ataskaitos:

„vpnMentor“ yra didžiausia pasaulyje VPN peržiūros svetainė. Mūsų tyrimų laboratorija yra pro bono tarnyba, kurios siekia padėti internetinei bendruomenei apsiginti kovojant su kibernetinėmis grėsmėmis ir mokant organizacijas saugoti savo vartotojų duomenis.

Neseniai aptikome didžiulį duomenų pažeidimą, paveikiantį 80 milijonų JAV namų ūkių. Taip pat atskleidėme, kad „Gearbest“ patyrė didžiulį duomenų pažeidimą. Taip pat galbūt norėsite perskaityti mūsų VPN nutekėjimo ataskaitą ir duomenų privatumo statistikos ataskaitą.

Prašau pasidalykite šia ataskaita „Facebook“ arba tweet tai.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me