گزارش: پلت فرم رزرو پرواز اطلاعات مشتری را در معرض نمایش می گذارد

تیم vpnMentor اخیراً کشف شده توسط محققان حفظ حریم خصوصی اینترنت به نام Noam Rotem و Ran Locar نقض عظیم داده ها در وب سایت رزرو پرواز گزینه گزینه. 

Option Way که در فرانسه مستقر است و دارای یک مشتری بین المللی است ، به کاربران کمک می کند تا معاملات پرواز به مقصد و از نقاط مختلف دنیا را پیدا کنند. 

نقض داده مشخصات شخصی مشتریان را در معرض نمایش قرار می دهد ، مشخصات کامل و همچنین اطلاعات مفصلی درباره پروازها و ترتیب سفرهای آنها ایجاد می کند. در کل ، تیم ما دسترسی داشت بیش از 100 گیگابایت داده, به خطر انداختن حریم خصوصی و امنیت گزینه Option Way و کاربران آن. 

جدول زمانی کشف و واکنش صاحب

  • تاریخ کشف: 20/08/19
  • فروشندگان تاریخ با شما تماس گرفتند: 25/08/19
  • تاریخ پاسخ و نشت بسته: 29/08/19

نمونه ورود به بانک اطلاعاتی

در وب سایت خود گزینه Option Way موارد زیر را ادعا می کند:

”  www.Option Way.com وب سایت توسط گواهی SSL محافظت می شود. 

وقتی داده های شخصی خود را وارد می کنید ، رمزگذاری می شود و ذخیره می شود تا به شما امکان دهد معاملات انجام دهید. داده های شخصی شما مطابق با توصیه های ارائه شده توسط CNIL (مرجع حمایت از داده های فرانسه) پردازش می شود. “

با این حال، این درست نیست. 

تیم ما توانست به بیش از 100 گیگابایت داده دسترسی پیدا کند, مقدار قابل توجهی از اطلاعات شخصی نشده رمزگذاری شده مشتریان (PII).

نمونه هایی از جزئیات شخصی که مشاهده کردیم شامل موارد زیر است: 

  • نام مشتری
  • تاریخ تولد
  • جنسیت
  • آدرس ایمیل
  • شماره تلفن ها  
  • آدرس خانه & کد پستی
  • تاریخ عزیمت و بازگشت پرواز 
  • مقصد 
  • قیمت پرواز

نمونه ای از داده ها ، نشان دادن آدرس ایمیل مشتری ، در زیر آمده است:

در زیر نمونه ای از داده های نمایش اطلاعات شخصی یک مشتری است:

راه گزینه آدرس ایمیل کاربران نیز در دسترس بود در نتیجه پیوندهای تنظیم مجدد “گذرواژه نادرست” این آسیب پذیری ، پایگاه داده گسترده را در معرض هک های احتمالی و کاربران Option Way قرار داده است به کلاهبرداری بالقوه.

این بانک اطلاعاتی در بسیاری از کشورها روی مشتریان Option Way تأثیر گذاشت. با نگاهی گذرا از طریق پرونده ها ، ما جزئیات کاربر از کشورهایی را مشاهده کردیم که شامل موارد زیر می شوند:

  • فرانسه
  • بلژیک
  • الجزایر
  • سوئیس
  • اتریش

ما شک نداریم که پس از تحقیقات بیشتر ، این لیست بسیار طولانی تر خواهد بود.

ترکیب همه این داده ها ، مشخصات کاملی از مشتریان Option Way ایجاد می کند و آنها را می سازد در برابر انواع مختلف جرایم سایبری و کلاهبرداری آسیب پذیر هستند.

جزئیات شرکت جزئیات شرکت

جدا از کاربران آنها, نقض داده ها همچنین گزینه Option Way را به خطر انداخت با افشای اطلاعات کارمندان و شرکت.

ما توانستیم PII های کارمندان را مشاهده کنید که از پلت فرم برای رزرو پرواز استفاده می کردند.

در طول تحقیقات ما, ما همچنین جزئیات کارت اعتباری شرکت را فاقد نقاب و قابل مشاهده دانستیم به هر کسی که به بانک اطلاعات دسترسی داشته باشد این مورد برای ایجاد پرواز برای کارمندان و مشتریان استفاده می شد خطری بزرگ برای گزینه Option Way.

با محافظت از کارت اعتباری شرکت, گزینه گزینه خود را در برابر کلاهبرداری های ویرانگر مالی آسیب پذیر می کند.

تأثیر نقض داده

این پایگاه داده باز است یک مین طلایی برای سارقان هویت و دیگر مهاجمان.

مجرمان از انواع مختلف می توانند از این اطلاعات در کنار هم قرار بگیرند و از این اطلاعات برای فعالیتهای غیرقانونی و خطرناک متنوع استفاده کنند..

فیشینگ & تقلب

یک برنامه فیشینگ شامل است ایجاد ایمیل تقلید برای مشاغل قانونی یا سازمانها اینها به صندوق پست الکترونیکی یک قربانی ارسال می شوند تا آنها را در ارائه اطلاعات خصوصی با ارزش فریب دهید. این می تواند شامل ورود به حساب خصوصی ، جزئیات کارت اعتباری یا هرگونه اطلاعات مفید باشد.

با این اطلاعات به دست آمده, قربانی را می توان در طرح های مختلف جنایی مورد سوء استفاده قرار داد ، از کلاهبرداری کارت اعتباری تا کل سرقت هویت. هکرها می توانند PII را به بالاترین پیشنهاد دهنده وب تاریک بفروشید و آن را با اشکال دیگر حمله ترکیب می کند ، مجرمان سوءاستفاده از داده ها غیرقابل ردیابی هستند.

از طرف دیگر ، ایمیل فیشینگ خواهد بود تعبیه شده با بدافزار یا باج افزار, استفاده می شود برای جاسوسی و یا اخاذی قربانی.

دسترسی به PII کاربران و برنامه سفر به گزینه های گزینه اجازه می دهد تا هکرها بتوانند ایمیل های فیشینگ مؤثر ایجاد کنند, تقلید از گزینه گزینه ، خطوط هوایی و بسیاری از مشاغل غیر مرتبط.  

برداشت حساب بلیط

شماره PNR منحصر به فرد مشتریان که به رزرو خود وصل شده بودند نیز در معرض نقض اطلاعات قرار گرفتند. همراه با نام مشتری ، هکرها می توانند از این موارد استفاده کنند تا بتوانند با هواپیمایی که از طریق گزینه راه انجام شده است ، رزرو خود را انجام دهند. آنها می توانند پروازها را لغو یا تغییر دهند و قربانیان فقط پس از اطلاع از طریق هواپیمایی ، این پرواز را پیدا می کنند.

سرقت

با این پایگاه داده, هکرها و سارقان دقیقاً می دانند که مشتریان Option Way در تعطیلات کی هستند. آنها آدرس خانه خود را می دانند. آنها می توانند برای تأیید غیبت خود برای مدت طولانی از طریق ایمیل یا تماس با مشتریان استفاده کنند.

آنها می توانند پس از آن برای سرقت های خانگی موثر برنامه ریزی کنید, با خطر بسیار کمتر گرفتار شدن با استفاده از قیمت پرواز رزرو شده در گزینه Option Way ، سارقان می توانند درباره ارزش خالص مشتریان قضاوت کنید و اهداف آنها را انتخاب کنید بر اساس غارت احتمالی.

خطرات به گزینه راه

این نشت داده ها دارد بسیاری از پیامدهای منفی برای گزینه Option Way نیز هست. با گذاشتن پایگاه داده بدون رمزگذاری و نا امن بودن ، آنها نیز هستند در برابر کلاهبرداری و سایر خطرات آسیب پذیر است. 

تقلب در کارت اعتباری

درون دیتابیس, تیم ما کارت اعتباری شرکت Option Way را پیدا کردند, برای رزرو پروازها روی سیستم عامل استفاده می شد. اغلب ، تنها راه برای نمایندگان مسافرتی آنلاین مانند گزینه گزینه ای برای سودآوری بلیط های کم هزینه ، پرداخت هزینه با کارت های اعتباری شرکت خود و شارژ کارت های کاربر به طور جداگانه است.

اگر یک هکر جنایتکار یا مخرب به این نتیجه رسیدند ، آنها می توانستند دسترسی به هر وجهی در حساب های بانکی Option Way ، خرید انجام دهید و بدهی عظیمی را به نام شرکت تحویل دهید.

این می تواند باشد از نظر مالی و عملیاتی برای گزینه Option Way خراب است. نه تنها آنها را به بدهی ، بلکه به خطر انداختن قانونی نیز می رساند.

گذشته از کارت اعتباری شرکت, نشت داده ها همچنین جزئیات کارمند گزینه Option Way را افشا می کند. این امر باعث می شود آنها در برابر همان حملات حملات مشتریان شرکت آسیب پذیر باشند.

سازش مدل تجاری آنها

نشت بانک اطلاعاتی می دهد بینش ارزشمندی در مورد نحوه عملکرد و درآمدزایی گزینه Option Way. این اطلاعات معمولاً کاملاً محرمانه نگه داشته می شوند و از رقبا پنهان می شوند. 

با پیمایش اطلاعات موجود در این پایگاه داده, یک شرکت رقیب می توانست دست برتر را در گزینه Option Way کسب کند, مدل کسب و کار خود را تکرار کنید و آنها را زیرپا بگذارید. این ممکن است منجر به از دست دادن درآمد می شود بازیابی این مشکل خواهد بود. 

خسارت اعتبار

چگونه مشتریان متاثر از این نشت می شوند تا دوباره به داده های خود به گزینه راه اعتماد کنند? اگر یک هکر مخرب به این بانک اطلاعات دسترسی پیدا کرد – که فقط یک مرورگر وب را در اختیار دارد – چه کسی می داند با اطلاعاتی که فروخته است چه کاری انجام می دهد.

اینها خواهند بود نگرانی در مورد ذهن مشتریان بسیاری از گزینه ها وجود دارد بعد از خواندن در مورد نقض اطلاعات.

با توجه به کشف ما ، این اعتماد به نفس مشتریان و جلب توجه افراد جدید به گزینه گزینه راه خواهد بود.

مشاوره از کارشناسان

صاحبان Option Way می توانستند از این نشتی جلوگیری کنند ، در صورت پیشگیری از برخی اقدامات احتیاطی اساسی امنیتی. در حالی که اطلاعاتی که ما پیدا کردیم هنوز می توانست آنرا به دست هکرهای جنایی تبدیل کند ، موارد زیر را به گزینه Option Way پیشنهاد می کنیم:

  1. با اقدامات محافظت بهتر سرورهای خود را ایمن کنید.
  2. قوانین دسترسی مناسب را در بانکهای اطلاعاتی خود اجرا کنید.
  3. هرگز سیستمی را که نیاز به تأیید اعتبار برای اینترنت نداشته باشد ، ترک نکنید.

برای راهنمایی بیشتر درباره نحوه محافظت از مشاغل خود ، نحوه تأمین وب سایت و پایگاه داده آنلاین خود را از هکرها بررسی کنید.

اگر مشتری گزینه Option Way هستید و درمورد اینکه چگونه این نقض به طور خاص یا آسیب پذیری داده ها به طور کلی ممکن است سایت یا شغل شما را تحت تأثیر قرار دهد نگران هستید, ما را بخوانید راهنمای کامل برای حفظ حریم خصوصی آنلاین.

این روش های مختلفی را برای شما نشان می دهد که مجرمان سایبری کاربران اینترنت را هدف قرار می دهند ، و مراحلی که می توانید برای ایمن ماندن بردارید.

چگونه و چرا ما نقض آن را کشف کردیم

تیم تحقیقاتی vpnMentor این نقض داده را از بین برد یک پروژه عظیم نقشه برداری گسترده وب. این تیم به سرپرستی Noam و Ran ، بنادر را اسکن می کند که به دنبال بلوک های IP آشنا هستند و از این بلوک ها برای یافتن سوراخ در سیستم وب یک شرکت استفاده می کنند. پس از یافتن این سوراخ ها, این تیم به دنبال آسیب پذیری هایی است که می تواند آنها را به نقض اطلاعات سوق دهد.

تیم کشف کرد که آن بزرگ است بخش هایی از بانک اطلاعاتی گزینه گزینه کاملاً محافظت نشده و بدون رمزگذاری هستند. این شرکت از یک پایگاه داده Elasticsearch استفاده می کند ، که معمولاً برای استفاده از URL طراحی نشده است. با این حال ، ما توانستیم از طریق مرورگر به آن دسترسی پیدا کرده و معیارهای جستجوی URL را در معرض افشای حجم عظیمی از داده ها دستکاری کنید.

تیم ما همچنین با استفاده از تخصص آنها ، پایگاه داده را بررسی کرده تا هویت آن را تأیید کند.

به عنوان هکرهای اخلاقی ، ما موظفیم هنگام کشف نقص امنیتی به وب سایتها دسترسی پیدا کنیم.

این اخلاق هم معنی دارد ما مسئولیت وظیفه مردم را بر عهده داریم. در صورت امکان ، ما به سایر طرفهای تحت تأثیر این هشدار ، مانند مشتریان ، مشتریان یا کاربران وب سایت نیز هشدار می دهیم.

مشتریان گزینه Option Way و شرکتهای هواپیمایی در سیستم عامل خود باید از خطرات مورد استفاده در هنگام استفاده از فناوری آگاهی داشته باشند که تلاش کمی برای محافظت از کاربران خود دارند.

هدف این تمرین کمک به امنیت اینترنت برای همه است.

درباره ما و گزارش های قبلی

vpnMentor بزرگترین وب سایت بررسی VPN در جهان است. آزمایشگاه تحقیق ما یک سرویس طرفدار پاداش است که می کوشد به جامعه آنلاین کمک کند در حالی که به سازمانهایی برای محافظت از داده های کاربران خود آموزش می دهد در برابر تهدیدات سایبری دفاع کند.. 

ما اخیراً یک نقض بزرگ داده را کشف کردیم که 80 میلیون خانوار آمریکایی را تحت تأثیر قرار داد. ما همچنین فاش کردیم که نقض در بیوستار 2 داده های بیومتریک بیش از 1 میلیون نفر را به خطر انداخت. همچنین ممکن است بخواهید گزارش نشت VPN ما و گزارش آمار حفظ حریم خصوصی داده ها را بخوانید.