รายงาน: ข้อมูลรั่วไหลจาก 2 ไซต์บริการทางการเงินของอินเดีย


นำโดยนักวิจัยชื่อ Noam Rotem และ Ran Locar นักวิจัยของ vpnMentor ที่เพิ่งค้นพบ ช่องโหว่ในฐานข้อมูลของ Credit Fair และ Chqbook, บริการสินเชื่อส่วนบุคคลของอินเดียและบริการสินเชื่อที่เกี่ยวข้อง.

Credit Fair ให้ลูกค้าเข้าถึงสินเชื่อส่วนบุคคลขนาดเล็ก บน Chqbook ลูกค้าสามารถเปรียบเทียบผลิตภัณฑ์ทางการเงินส่วนบุคคลเช่นสินเชื่อและบัตรเครดิตตามสถานการณ์ส่วนบุคคลและสถานะทางการเงิน. ทั้งสองเว็บไซต์กำหนดให้ลูกค้าต้องให้รายละเอียดส่วนบุคคลและข้อมูลทางการเงินที่สำคัญว่าหากอยู่ในมือที่ไม่ถูกต้องสามารถนำไปใช้ได้หลายวิธี.

ทีมของเราค้นพบ ช่องโหว่ในฐานข้อมูลของเว็บไซต์ ที่ให้การเข้าถึงข้อมูลส่วนตัวและการเงินของลูกค้าจำนวนมาก.

ฐานข้อมูลถูกเข้ารหัสและไม่ปลอดภัยอย่างสมบูรณ์, สร้างความเสี่ยงอย่างมากสำหรับลูกค้าของทั้งสอง บริษัท.

การค้นพบและปฏิกิริยาของเจ้าของ

ทีมของเราค้นพบรอยรั่วในวันที่ 24 กรกฎาคม โชคดีที่ Chqbook ปิดการรั่วไหลภายใน 48 ชั่วโมง อย่างไรก็ตามจากการเขียนงาน Credit Fair รั่วไหลยังคงเปิดอยู่ (31 กรกฎาคม).

เราได้ติดต่อทั้งสอง บริษัท เพื่อแจ้งให้ทราบถึงการละเมิดข้อมูล.

ตัวอย่างของรายการในฐานข้อมูล

ทั้งงาน Credit Fair และ Chqbook กำหนดให้ลูกค้าต้องสร้างบัญชีและแบ่งปันข้อมูลส่วนบุคคลและข้อมูลทางการเงินที่สำคัญ บนเว็บไซต์ของพวกเขา. 

ข้อมูลทั้งหมดนี้ เป็น โฮสต์บนฐานข้อมูลที่ไม่ปลอดภัยซึ่งทีมของเราสามารถเข้าถึงได้ง่าย. ตัวอย่างของรายละเอียดลูกค้าที่เราสามารถแยกได้อยู่ด้านล่าง.

Credit Fair (44,000 บันทึก):

  • ชื่อเต็ม
  • หมายเลขโทรศัพท์
  • ที่อยู่
  • วันเดือนปีเกิด
  • ข้อมูลโดยละเอียดเกี่ยวกับสินเชื่อ (จำนวน, สถานะ, อัตรา, วันที่สร้าง, ชื่อผู้สมัคร)
  • หมายเลข PAN - บัตรประจำตัวประชาชนอินเดีย
  • ที่อยู่ IP 
  • โทเค็นเซสชัน 
  • AADHAAR - หมายเลข ID อินเดีย (https://uidai.gov.in/)
  • รหัสผ่านข้อความล้วน (ไม่ทำงาน) 
  • ลิงก์ไปยังรายงานการทุจริต

Chqbook (การรั่วไหลของข้อมูล 67 GB):

  • ชื่อเต็ม
  • หมายเลขโทรศัพท์
  • ที่อยู่
  • ที่อยู่อีเมล
  • หมายเลขบัตรเครดิต
  • วันหมดอายุบัตร
  • ประเภทบัตร
  • จำนวนการทำธุรกรรม
  • ID ผู้ใช้
  • รหัสผ่านข้อความธรรมดา
  • โทเค็นเซสชัน
  • ความสามารถในการส่ง SMS
  • รายได้ต่อเดือน
  • เพศ
  • วันเกิด 
  • ชื่อเมือง
  • รายละเอียดการจ้างงาน

หากมีการรวมข้อมูลที่ไม่มีความปลอดภัยทั้งหมดนี้ตัวแทนที่เป็นอันตรายและอาชญากรจะมี ภาพรวมของบันทึกทางการเงินส่วนบุคคลของลูกค้ารายบุคคล. ข้อมูลนี้สามารถใช้ในรูปแบบที่เป็นอันตรายและผิดกฎหมายจำนวนมาก. 

รายงาน: ข้อมูลรั่วไหลจาก 2 ไซต์บริการทางการเงินของอินเดีย

ตัวอย่างบันทึกเครดิต

การละเมิดข้อมูล

การฉ้อโกงเอกลักษณ์

สามารถใช้ข้อมูลภายในฐานข้อมูลเหล่านี้ได้ สร้างโปรไฟล์ทั้งหมดของ Credit Fair หรือลูกค้า Chqbook. นักแสดงที่เป็นอันตรายสามารถใช้สิ่งนี้ได้ เพื่อขโมยข้อมูลประจำตัวของลูกค้า. ฐานข้อมูลทั้งสองนี้มีชื่อเต็มอีเมลที่อยู่จริงหมายเลขประจำตัวส่วนบุคคลและอีกมากมาย. 

อาชญากรสามารถ สร้างบัญชีได้อย่างง่ายดายบนเว็บไซต์ต่างๆ สำหรับกิจกรรมออนไลน์ที่ถูกกฎหมายและอื่น ๆ ค่าใช้จ่ายของลูกค้าอย่างมาก. พวกเขายังสามารถ รับช่วงบัญชีลูกค้าทั้งในงาน Credit Fair และ Chqbook, ทำให้แต่ละธุรกิจมีค่าใช้จ่ายอย่างมากในการตรวจสอบกู้บัญชีและรายได้. 

การครอบครองบัญชี

การครอบครองบัญชีเป็นรูปแบบหนึ่งของการฉ้อโกงข้อมูลเฉพาะตัวที่ทั้งลูกค้าและ บริษัท เช่น Credit Fair และ Chqbook จะมีความเสี่ยงสูงมากจากการละเมิดข้อมูลนี้. 

หากสามารถเข้าถึงบัญชีของเหยื่อรายละเอียดของพวกเขาอาจมีการเปลี่ยนแปลงหรือ การทำธุรกรรมสามารถทำได้ในชื่อของพวกเขา ลูกค้าจะต้องจ่ายเงินสำหรับการฉ้อโกงเช่นการกู้ยืมเงินปลอม.

แฮกเกอร์อาชญากรสามารถเปลี่ยนบัญชีธนาคารในงาน Credit Fair ของลูกค้า บัญชีหนึ่งที่พวกเขาเป็นเจ้าของ แฮกเกอร์สามารถทำได้ นำเงินออกและโอน เข้าสู่บัญชีธนาคารของพวกเขา. ผู้เสียหายที่มีการใช้บัญชี Credit Fair ตอนนี้จะต้องชำระคืนเงินกู้นั้น. 

เหมือนกับ, บัญชีลูกค้า Chqbook สามารถใช้ซื้อบัตรเครดิตในชื่อของบุคคลอื่น. จากนั้นพวกเขาจะต้องรับผิดชอบต่อการซื้อสินค้าที่เป็นการฉ้อโกงที่ทำบนบัตรนั้น. 

ฟิชชิ่ง

ข้อมูลนี้สามารถใช้ในการ สร้างแคมเปญฟิชชิ่งที่ซับซ้อนและผิดกฎหมายโดยมีจุดประสงค์เพื่อฉ้อโกงลูกค้า Chqbook และ Credit Fair. ฟิชชิ่งเกี่ยวข้องกับการส่งอีเมลหลอกลวงที่อ้างว่ามาจากธุรกิจหรือหน่วยงานของรัฐโดยมีวัตถุประสงค์เพื่อดึงข้อมูลทางการเงินจากผู้ที่ตกเป็นเหยื่อ. 

ในขณะที่เปิด ฐานข้อมูล Credit Fair และ Chqbooks สามารถให้ข้อมูลที่มีค่าจำนวนมากได้ เพื่ออาชญากร พวกเขาอาจเป็น ใช้เพื่อสร้างอีเมลฟิชชิ่งที่เฉพาะเจาะจงและน่าเชื่อถืออย่างไม่น่าเชื่อ เพื่อเติมลงในช่องว่างใด ๆ. 

แบล็กเมล์และกรรโชก 

ข้อมูลจำนวนมากที่ทีมของเราสามารถเข้าถึงได้คือ ธรรมชาติที่เป็นส่วนตัวและละเอียดอ่อน. 

เราสามารถเห็นลูกค้า สถานะเครดิตและการจ้างงาน, ไม่ว่าพวกเขาจะได้รับการยอมรับสำหรับสินเชื่อและหมายเลขประจำตัวประชาชนของพวกเขา. 

ข้อมูลส่วนตัวนี้ไม่เพียง แต่จะน่าอายเท่านั้น แต่ยังสามารถ ใช้เพื่อกำหนดเป้าหมายลูกค้า เป็นการส่วนตัวในหลายวิธี หากลูกค้าถูกปฏิเสธการขอสินเชื่อจากหนึ่งในเว็บไซต์เหล่านี้, ฉลามสินเชื่ออาชญากรรมอาจใช้ช่องโหว่นี้เพื่อกดดันพวกเขาให้กลายเป็นสินเชื่อที่ผิดกฎหมาย. รายละเอียดทางการเงินส่วนตัวของพวกเขาสามารถจัดขึ้นค่าไถ่และลูกค้า ขู่กรรโชกเรื่องเงินโดยใช้การข่มขู่เพื่อเปิดเผยสถานะทางการเงินแก่สาธารณะ. 

ผู้คนจำนวนมากในฐานข้อมูลทั้งคู่เป็นพนักงานของรัฐ. แก๊งอาชญากรโดยเฉพาะอย่างยิ่งโหดเหี้ยมเมื่อรีดไถคนที่ทำงานให้กับรัฐบาลเช่น พวกเขาถือว่าเป็นประโยชน์อย่างยิ่งสำหรับข้อมูลและการใช้ประโยชน์ที่อาจเกิดขึ้น. รัฐบาลมักจะใช้มาตรการที่แข็งแกร่งเพื่อปกป้องพนักงานของพวกเขาจากแก๊งนักล่า ทำให้การฝ่าฝืนนี้ยิ่งหนักใจยิ่งขึ้น. 

ผู้โฆษณาและศิลปินหลอกลวง ยังสามารถใช้โปรไฟล์ลูกค้าเพื่อสร้าง แคมเปญโฆษณาที่กำหนดเป้าหมายจัดการและใช้ประโยชน์ได้อย่างแม่นยำบนโซเชียลมีเดีย เพื่อผลักดันผลิตภัณฑ์หรือบริการสำหรับลูกค้าที่มีช่องโหว่ ตัวอย่างเช่นการรู้ว่าใครบางคนอยู่ภายใต้แรงกดดันทางการเงินพวกเขาสามารถทำได้ ผลักดันสินเชื่อที่มีดอกเบี้ยสูงด้วยกลยุทธ์ที่หลอกลวงหรือน่าสงสัย.

รายงาน: ข้อมูลรั่วไหลจาก 2 ไซต์บริการทางการเงินของอินเดีย

ตัวอย่างบันทึก Chqbook

อันตรายทางกายภาพของการรั่วไหล

นอกจากนี้ยังมี ภัยคุกคามทางกายภาพ. 

ฐานข้อมูลทั้งสองมี ที่อยู่ทางกายภาพหมายเลขโทรศัพท์และชื่อลูกค้า. พวกเขายังให้ข้อมูลเชิงลึกเกี่ยวกับ ลูกค้ามูลค่าสุทธิ ขึ้นอยู่กับจำนวนเงินกู้สินเชื่อที่มีอยู่และผลิตภัณฑ์ทางการเงินที่จัดซื้อ. 

สิ่งนี้สร้างอันตรายทางกายภาพที่แท้จริงเนื่องจากบางคนที่สามารถเข้าถึงฐานข้อมูลสามารถใช้งานได้ ครัวเรือนเป้าหมายสำหรับการปล้น ตามสถานะความมั่งคั่งของพวกเขา ใช้หมายเลขโทรศัพท์และอีเมล, โจรสามารถติดต่อลูกค้าได้โดยตรง ออกกำลังกายเมื่อพวกเขาไม่ได้อยู่บ้านและ เลือกเวลาที่เหมาะสมในการบุกเข้าไปในบ้านของพวกเขา. 

คำแนะนำจากผู้เชี่ยวชาญ

ปัญหาและข้อกังวลที่เรายกมาที่นี่นั้นไม่ได้ข้อสรุป. ช่องโหว่ในฐานข้อมูลเหล่านี้มีผลกระทบมากมาย สำหรับลูกค้าของ Chqbook และ Credit Fair และธุรกิจเอง. 

ช่องโหว่เหล่านี้คือ เพียงสองตัวอย่างของอันตรายมากมาย สำหรับใครก็ตามที่ใช้เครื่องมือทางการเงินออนไลน์หรือเว็บไซต์. 

หากคุณกังวลว่าการละเมิดเหล่านี้โดยเฉพาะหรือช่องโหว่ของข้อมูลโดยทั่วไปอาจส่งผลกระทบต่อเว็บไซต์หรือธุรกิจของคุณ, อ่านของเรา คู่มือฉบับสมบูรณ์เพื่อความเป็นส่วนตัวออนไลน์. มันแสดงให้คุณเห็นหลายวิธีที่คุณสามารถกำหนดเป้าหมายโดยอาชญากรไซเบอร์และ ขั้นตอนที่คุณสามารถทำได้เพื่อให้ปลอดภัย. 

เราค้นพบช่องโหว่อย่างไรและทำไม

เราค้นพบการละเมิดนี้เป็นผลมาจาก โครงการทำแผนที่เว็บ. แฮกเกอร์ของเราใช้การสแกนพอร์ตเพื่อตรวจสอบเฉพาะบล็อก IP และทดสอบช่องโหว่ในระบบเพื่อหาจุดอ่อน พวกเขาตรวจสอบแต่ละช่องเพื่อหาข้อมูลที่รั่วไหลออกมา. 

ทีมของเราค้นพบว่าทั้งคู่ ฐานข้อมูลเครดิตและ Chqbooks ของฐานข้อมูลทั้งหมดไม่มีการป้องกันและไม่มีการเข้ารหัส. Credit Fair ใช้ฐานข้อมูล Mongo ในขณะที่ Chqbook ใช้ Elastic Search ซึ่งไม่ได้รับการป้องกันด้วยรหัสผ่านหรือไฟร์วอลล์ใด ๆ.

อย่างไรก็ตาม, เราสามารถเข้าถึงผ่านเบราว์เซอร์และจัดการเกณฑ์การค้นหา URL เป็นการเปิดเผยสกีมาจากดัชนีเดี่ยวได้ตลอดเวลา. 

ในฐานะที่เป็นแฮ็กเกอร์ที่มีจริยธรรมเราจำเป็นต้องเข้าถึงเว็บไซต์เมื่อเราค้นพบข้อบกพร่องด้านความปลอดภัย นี่เป็นเรื่องจริงโดยเฉพาะอย่างยิ่งเมื่อการละเมิดข้อมูลของ บริษัท ส่งผลกระทบต่อคนจำนวนมากและในกรณีของ Credit Fair และ Chqbook, ปัญหานี้ส่งผลกระทบต่อผู้คนหลายพันคนทุกวัน.

อย่างไรก็ตามจริยธรรมเหล่านี้ก็หมายถึง เรามีความรับผิดชอบต่อสาธารณะ. Credit Fair และ Chqbook ลูกค้าจะต้องตระหนักถึงความเสี่ยงที่เกิดขึ้นเมื่อใช้งานเว็บไซต์ที่ไม่พยายามปกป้องผู้ใช้.

เกี่ยวกับเราและรายงานก่อนหน้า

vpnMentor เป็นเว็บไซต์ตรวจสอบ VPN ที่ใหญ่ที่สุดในโลก. ห้องปฏิบัติการวิจัยของเราเป็นบริการแบบมืออาชีพที่พยายามช่วยเหลือชุมชนออนไลน์ในการป้องกันตัวเองจากภัยคุกคามทางไซเบอร์ในขณะที่ให้ความรู้แก่องค์กรเกี่ยวกับการปกป้องข้อมูลของผู้ใช้.

เราเพิ่งค้นพบการละเมิดข้อมูลขนาดใหญ่ที่ส่งผลกระทบต่อ 80 ล้านครัวเรือนในสหรัฐอเมริกา นอกจากนี้เรายังเปิดเผยว่า Gearbest ประสบกับการละเมิดข้อมูลจำนวนมาก คุณอาจต้องการอ่านรายงานการรั่วไหลของ VPN และรายงานสถิติความเป็นส่วนตัวของข้อมูล.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me