รายงาน: แคมเปญส่งเสริมการขายยาสูบเปิดเผยข้อมูลผู้ใช้โรมาเนีย

ทีมวิจัยของ vpnMentor เพิ่งค้นพบการฝ่าฝืนข้อมูลในแพลตฟอร์มเว็บของโรมาเนีย บริษัท ยาสูบต่างประเทศ British American Tobacco (BAT).

BAT ตั้งอยู่ในสหราชอาณาจักร เป็นหนึ่งในผู้ผลิตยาสูบและผลิตภัณฑ์นิโคตินรายใหญ่ที่สุดของโลก.

นำโดยนักวิจัยด้านความเป็นส่วนตัวทางอินเทอร์เน็ต Noam Rotem และ Ran Locar ทีมของเราพบการละเมิดข้อมูลบนเซิร์ฟเวอร์ที่ไม่ปลอดภัยซึ่งเชื่อมต่อกับ แพลตฟอร์มเว็บ YOUniverse.ro. แพลตฟอร์มเว็บเป็นส่วนหนึ่งของแคมเปญส่งเสริมการขาย BAT Romania สำหรับผู้สูบบุหรี่ผู้ใหญ่.

ผู้ที่อาศัยอยู่ในโรมาเนียสามารถลุ้นบัตรเข้าชมงานปาร์ตี้และงานอีเว้นท์ที่มีชื่อเสียงทั้งในและต่างประเทศ.

กฎหมายโรมาเนียห้ามโฆษณายาสูบเกือบทุกประเภท อย่างไรก็ตามกฎหมายอนุญาตให้มีการส่งเสริมการขายบางประเภทและผู้สนับสนุนกิจกรรมที่กำหนดเป้าหมายไปที่ผู้สูบบุหรี่ที่มีอายุเกิน 18 ปีโดยเฉพาะ.

การละเมิดข้อมูลเกี่ยวข้องกับ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (PII) ของผู้ใช้.

สิ่งที่น่าเป็นห่วงคือทีมของเราค้นพบว่าเซิร์ฟเวอร์ที่ไม่มีหลักประกันนั้นมีอยู่ ถูกโจมตีโดย ransomware แล้ว.

แม้ทีมงานของเราจะเปิดเผยการฝ่าฝืนหลายครั้ง แต่ฐานข้อมูลยังคงเปิดอยู่และไม่ปลอดภัยเกินสองเดือน เริ่มตั้งแต่วันที่ 22 กันยายน, เราพยายามซ้ำแล้วซ้ำอีก เพื่อติดต่อ บริษัท (สาขาในพื้นที่รวมถึง บริษัท ระดับโลก) บริษัท โฮสติ้งของเซิร์ฟเวอร์หน่วยงานคุ้มครองผู้บริโภคแห่งชาติของโรมาเนีย (ANPC) และหน่วยงานรับรอง (CA) พรรคเดียวที่เราได้ยินกลับมาคือ CA เรายังติดต่อนักข่าวชาวโรมาเนียหลายคนเพื่อขอความช่วยเหลือในการติดต่อกับ บริษัท แต่เรายังไม่ได้รับคำตอบ.

ในวันที่ 27 พฤศจิกายนฐานข้อมูลถูกปิดลงในที่สุด แต่ก็ไม่มีใครตอบเรา.

ตัวอย่างของรายการในฐานข้อมูล

การละเมิดดังกล่าวถูกค้นพบบนเซิร์ฟเวอร์ Elasticsearch ที่ไม่มีหลักประกันซึ่งตั้งอยู่ในไอร์แลนด์ ฐานข้อมูลรั่วไหลออกมาเกี่ยวข้องกับ ข้อมูล 352 GB.

Ransomware Attack

เมื่อใดก็ตามที่ทีมวิจัยของเราพบช่องโหว่ในเซิร์ฟเวอร์ความหวังของเราคือไม่มีนักแสดงที่เป็นอันตรายที่พบช่องโหว่ก่อน.

น่าเสียดายที่นั่นเป็นสิ่งที่เกิดขึ้นตรงนี้ เมื่อทีมวิจัยของเราค้นพบการละเมิดข้อมูลเซิร์ฟเวอร์ได้ถูกบุกรุกโดย ransomware แล้ว.

เราพบ 53 ดัชนีบนเซิร์ฟเวอร์ แต่เกือบทั้งหมดไม่มีข้อมูล มีโอกาสที่ดัชนีเหล่านี้ถูกสร้างขึ้นโดยแฮกเกอร์ที่รับผิดชอบในการโจมตี ransomware.

เซิร์ฟเวอร์ยังมีไฟล์ readme ที่มีคำขอเรียกค่าไถ่:

BAT โรมาเนีย readme

จากไฟล์ readme ดูเหมือนว่า แฮกเกอร์หรือกลุ่มแฮกเกอร์กำลังขู่ว่าจะลบข้อมูลออกจากเซิร์ฟเวอร์หากไม่สามารถตอบสนองความต้องการได้. แฮกเกอร์ต้องการการจ่าย Bitcoin เพื่อแลกเปลี่ยนกับข้อมูล.

บันทึกประจำวัน

แม้หลังจากได้รับการดัดแปลงเซิร์ฟเวอร์ยังคงมีข้อมูลที่มีความหมายอยู่บ้าง เราสามารถดูบันทึกรายวันจากเจ็ดวันที่ผ่านมาแต่ละบันทึกในดัชนีแยกต่างหาก.

บันทึกดูเหมือนจะเป็นบันทึกการสื่อสาร http ผ่านทางแพลตฟอร์มเว็บ YOUniverse.

ตัวอย่างของข้อมูลส่วนตัวที่เราสามารถดูได้ ได้แก่ :

  • ชื่อเต็ม
  • อีเมล
  • หมายเลขโทรศัพท์
  • วันเกิด
  • เพศ
  • IP ต้นทาง
  • การตั้งค่าผลิตภัณฑ์บุหรี่และยาสูบ

นอกจากนี้ยังมีค่าภายในที่อาจมีข้อมูลที่ละเอียดอ่อนมากขึ้น ความหมายของข้อมูลภายในบางอย่างไม่ชัดเจน.

ข้อมูล BAT Romania 1

บางส่วนของข้อความรวมถึงข้อความที่เขียนในโรมาเนีย ดูเหมือนจะเป็นข้อความค้นหาที่ส่งมาจากผู้ใช้ซึ่งอาจเป็นลูกค้าหรือ บริษัท ในเครือ.

ตัวอย่างเช่นข้อความบางข้อความขอความช่วยเหลือและอธิบายปัญหาเกี่ยวกับรหัสรางวัลและรางวัล.

ข้อมูล BAT Romania 2

ในภาษาอังกฤษข้อความอ่าน:

“ สวัสดีตอนปลายเดือนมิถุนายนฉันใช้คะแนนประสบการณ์เพื่อรับบัตรกำนัล Doncafe 2 ใบละ 400 ใบ ข้อความยืนยันการรับรางวัลไม่ได้ระบุวันที่ที่สามารถใช้รหัสได้ แต่เมื่อฉันโทรวันนี้เพื่อจองที่นั่นพวกเขาบอกฉันว่าพวกเขาสรุปความร่วมมือกับคุณ โปรดให้วิธีการใช้คูปอง 2 ใบแก่ฉัน ขอขอบคุณ!”

ฐานข้อมูลยังมีบางอย่าง ข้อมูลเมตาที่เกี่ยวข้องกับอีเมลขาออก ที่ไม่สามารถเข้าถึงผู้รับได้ รายการเหล่านี้มีข้อมูลเมตาเท่านั้นไม่ใช่เนื้อหาข้อความจริงของอีเมล.

เราสามารถดูข้อมูลต่อไปนี้ภายในเมตาดาต้าของอีเมล:

  • ที่อยู่อีเมลปลายทางที่ต้องการของผู้ใช้
  • หัวเรื่องของอีเมล
  • ID ผู้ใช้ภายใน

ข้อมูล BAT Romania 3

เราสามารถดูที่อยู่อีเมลของผู้ส่งได้ MereuMaiMult โดเมนอีเมลของผู้ส่งนั้นเชื่อมโยงกับ BAT Romania Mereu mai mult เป็นวลีภาษาโรมาเนียที่แปลว่า“ มากกว่าเสมอ” มันเป็นส่วนหนึ่งของแคมเปญส่งเสริมการขายเช่นเดียวกับคุณ.

ข้อมูลเพิ่มเติมอาจถูกเปิดเผย

ข้อมูลจำนวนมากอาจหายไปจากเซิร์ฟเวอร์เนื่องจากการโจมตี ransomware ดังนั้น เราไม่สามารถแน่ใจได้ว่าข้อมูลอื่นใดที่อาจถูกบุกรุก.

เพื่อให้ทราบว่ามีข้อมูลใดรั่วไหลไปบ้างเราได้ศึกษานโยบายความเป็นส่วนตัวที่ครอบคลุมทุกแพลตฟอร์มเว็บสำหรับแคมเปญส่งเสริมการขาย BAT Romania เหล่านี้รวมถึง YOUniverse.ro แอปพลิเคชั่นมือถือ YOUniverse, experiencemore.ro, mereumaimult.ro, preprietenie.ro และ theunseen.ro.

นอกจากนี้เรายังค้นพบข้อมูลรับรองการเข้าสู่ระบบ Microsoft Dynamic CRM รวมถึงรหัสผ่านที่ไม่ได้เข้ารหัส น่าเสียดายที่นี่หมายความว่าอาจมีการเปิดเผยข้อมูลมากขึ้น ด้วยเหตุผลด้านจริยธรรมเราไม่ได้ใช้ข้อมูลรับรองการเข้าสู่ระบบดังนั้นเราจึงไม่ทราบว่าข้อมูลใดที่สามารถเข้าถึงได้ผ่านระบบ.

ตามคำชี้แจงสิทธิส่วนบุคคล บริษัท เก็บรวบรวมและใช้ข้อมูลต่อไปนี้เมื่อผู้ใช้ลงทะเบียนสำหรับแพลตฟอร์มใด ๆ :

  • ชื่อและนามสกุล
  • วันเกิด
  • หมายเลขโทรศัพท์
  • ที่อยู่อีเมล
  • ที่อยู่อาศัย
  • การตั้งค่าแบรนด์และผลิตภัณฑ์รวมถึงยาสูบที่ชื่นชอบ

เพื่อลงทะเบียนสำหรับแพลตฟอร์มผู้ใช้จะต้องป้อนรหัสที่สามารถรับได้โดยการซื้อบุหรี่หนึ่งซองเท่านั้น.

รหัสนี้ใช้เพื่อให้สอดคล้องกับกฎหมายของประเทศโรมาเนีย บริษัท จะต้องตรวจสอบว่าผู้ใช้ทั้งหมดเป็นผู้สูบบุหรี่ที่ใช้งานอยู่ก่อนที่พวกเขาจะสามารถมีส่วนร่วมในกิจกรรมส่งเสริมการขาย.

นอกจากนี้คำชี้แจงสิทธิ์ส่วนบุคคลกล่าวว่าหากคุณชนะรางวัลมูลค่าเกินจำนวนหนึ่ง บริษัท จะต้องร้องขอ CNP ของคุณสำหรับการประกาศและชำระภาษี ที่เกี่ยวข้องเพราะ CNP หมายถึงหมายเลขบัตรประจำตัวประชาชนของโรมาเนีย.

เราไม่พบหลักฐานว่ามีการเปิดเผยตัวเลข CNP ของผู้ใช้ แต่เราสามารถดูบันทึกรายวันเท่านั้น. เป็นไปได้ว่าก่อนหน้านี้หมายเลขประจำตัวประชาชนของผู้ใช้ถูกเปิดเผยในการโจมตี ransomware.

การละเมิดข้อมูล

เป็นการยากที่จะประเมินจำนวนคนที่อาจได้รับผลกระทบจากการละเมิดข้อมูลนี้.

เนื่องจากขนาดของฐานข้อมูลและขอบเขตทางจริยธรรมที่ทำให้เราไม่สามารถขุดลึกเข้าไปในข้อมูลส่วนบุคคลได้มากเกินไปเราจึงไม่สามารถแน่ใจได้ว่าจะมีผู้ใช้จำนวนเท่าใดที่อาจได้รับผลกระทบ.

เซิร์ฟเวอร์มีบันทึกสำหรับเจ็ดวันก่อนหน้า. บันทึกประจำวันบางส่วนมีรายการมากกว่า 60 ล้านรายการ, และบางรายการมีข้อมูลผู้ใช้หลายชุด ในทางกลับกันบางรายการมีข้อมูลที่เป็นโมฆะหรือซ้ำกัน.

เป็นไปได้ว่าผู้ใช้จำนวนมากมีความเป็นส่วนตัวของพวกเขาถูกบุกรุกโดยการละเมิดข้อมูลนี้.

การหลอกลวงและการโจมตีแบบหลอกลวง

การละเมิดข้อมูลเปิดเผยข้อมูลการติดต่อสำหรับผู้ใช้จำนวนมาก อีเมลและหมายเลขโทรศัพท์ที่รั่วไหลออกไปจะทำให้ผู้คนเสี่ยงต่อการ การโจมตีแบบฟิชชิ่งและการหลอกลวง.

บุคคลที่เป็นอันตรายสามารถใช้รายละเอียดส่วนบุคคลอื่น ๆ จากการละเมิดข้อมูลเพื่อสร้าง ปรับแต่งการโจมตีด้วยฟิชชิ่ง กำหนดเป้าหมายผู้ใช้แต่ละคน.

การโจมตีแบบฟิชชิงสามารถอยู่ในรูปแบบของอีเมลที่ดูเหมือนถูกต้องตามกฎหมาย ในความเป็นจริงอีเมลเหล่านี้สามารถออกแบบให้ แพร่เชื้อไปยังผู้รับด้วยมัลแวร์หรือหลอกคนอื่นให้เปิดเผยรายละเอียดที่ละเอียดอ่อน.

ผู้ใช้อาจเสี่ยงต่อการตกเป็นเหยื่อของข้อความและการหลอกลวงทางโทรศัพท์ ในกรณีที่รุนแรงแฮกเกอร์อาจหลอกผู้ให้บริการโทรศัพท์ให้ช่วยเหลือพวกเขาในการขโมยหมายเลขโทรศัพท์มือถือของผู้ใช้.

การโจมตีและการหลอกลวงแบบฟิชชิ่งที่ประสบความสำเร็จซึ่งทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลเพิ่มเติมหรือบัญชีส่วนบุคคลอาจนำไปสู่ การขโมยข้อมูลประจำตัว.

คู่แข่งและผู้โฆษณา

อีกประเด็นที่ต้องพิจารณาคือผลกระทบของการละเมิดข้อมูลสำหรับ BAT Romania และคู่แข่ง. ขณะนี้คู่แข่งอาจเข้าถึงรายละเอียดของลูกค้า BAT Romania รวมถึงการตั้งค่า PII และยาสูบ.

ข้อมูลนี้จะช่วยให้คู่แข่งกำหนดเป้าหมายผู้สูบบุหรี่อย่างมีประสิทธิภาพ นี่จะเป็นประโยชน์อย่างยิ่งต่อการแข่งขันของ BAT Romania.

ผู้โฆษณาที่เป็นบุคคลที่สามสามารถได้รับประโยชน์จากการเข้าถึงข้อมูลผู้ใช้ที่รั่วไหลออกไป. สามารถใช้ข้อมูลเพื่อสร้างแคมเปญโฆษณาที่ตรงเป้าหมายได้อย่างมีประสิทธิภาพ.

ความกังวลเกี่ยวกับข้อมูลส่วนบุคคลสำหรับผู้สูบบุหรี่

การละเมิดข้อมูลทำให้ความเป็นส่วนตัวของผู้ใช้ในทางอื่นอาจเป็นอันตราย.

เพื่อที่จะเข้าร่วมในแพลตฟอร์มผู้ใช้จะต้องพิสูจน์ว่าพวกเขาเป็นผู้สูบบุหรี่ในปัจจุบันโดยระบุรหัสที่สามารถพบได้ในบุหรี่หนึ่งซอง.

การรั่วไหลของข้อมูลเปิดเผยชื่อของผู้สูบบุหรี่ในปัจจุบันที่อาจไม่ต้องการให้นิสัยการสูบบุหรี่ของพวกเขาสัมผัสกับโลก. สิ่งนี้อาจมีผลทางการเงินที่ร้ายแรงสำหรับผู้ใช้ ตัวอย่างเช่น บริษัท ประกันภัยมักจะมีอัตราที่แตกต่างกันสำหรับผู้สูบบุหรี่.

หากมีคนอ้างว่าไม่สูบบุหรี่ แต่ บริษัท ประกันภัยพบว่าชื่อของบุคคลนั้นในฐานข้อมูลรั่วไหลผู้ใช้อาจถูกเรียกเก็บเงินในอัตราที่สูงขึ้น.

ผลที่ตามมาของ Ransomware

ในความเป็นจริงผลกระทบของการละเมิดข้อมูลอาจมีขนาดใหญ่กว่าที่ดูเหมือน น่าเสียดายที่เซิร์ฟเวอร์ที่ไม่มีหลักประกันถูกบุกรุกโดยแรนซัมแวร์เมื่อทีมวิจัยของเราค้นพบช่องโหว่.

เนื่องจากฐานข้อมูลถูกแก้ไขแล้วขนาดและความรุนแรงที่แท้จริงสำหรับผลกระทบของการละเมิดข้อมูลจึงไม่เป็นที่รู้จัก แม้ว่าจะมีการจ่ายเงินค่าไถ่ก็ตาม, ไม่มีวิธีใดในการเรียกคืนข้อมูลที่รั่วไหลกลับมาอย่างแท้จริง.

แฮกเกอร์อาจกู้คืนข้อมูลที่ขาดหายไป แฮกเกอร์สามารถเก็บสำเนาข้อมูลผู้ใช้และข้อมูล บริษัท ที่สำคัญได้อย่างง่ายดาย.

ข้อกังวลอีกประการคือเซิร์ฟเวอร์ของ บริษัท อื่นอาจได้รับผลกระทบ เมื่อเราทำการค้นหาด้วย Google โดยใช้คำสำคัญจากข้อความเรียกค่าไถ่เราพบตัวอย่างของเซิร์ฟเวอร์อื่น ๆ ที่พบว่ามีการโจมตีค่าไถ่ที่เหมือนกันโดยมีข้อความเดียวกันต่อคำ.

นี่อาจหมายความว่าข้อมูลรั่วไหลไปแล้วและขณะนี้อยู่ในมือขององค์กรอาชญากรรม.

คำแนะนำจากผู้เชี่ยวชาญ

การโจมตี ransomware ที่เราค้นพบเป็นส่วนหนึ่งของการละเมิดข้อมูลนี้เป็นตัวอย่างที่สมบูรณ์แบบของความเสี่ยงที่จะไม่รักษาความปลอดภัยเซิร์ฟเวอร์ของคุณ.

การละเมิดข้อมูลสามารถป้องกันได้ด้วยมาตรการความปลอดภัยขั้นพื้นฐาน อย่างน้อยที่สุด, คุณควรจำแนวทางปฏิบัติด้านความปลอดภัยต่อไปนี้:

  • รักษาความปลอดภัยเซิร์ฟเวอร์ของคุณ
  • ใช้กฎการเข้าถึงที่เหมาะสม
  • ต้องการการรับรองความถูกต้องในการเข้าถึงระบบทั้งหมด

สำหรับคำแนะนำเพิ่มเติมในเชิงลึกเกี่ยวกับวิธีการปกป้องธุรกิจของคุณดูบทความของเราที่ วิธีรักษาความปลอดภัยเว็บไซต์และฐานข้อมูลออนไลน์จากแฮกเกอร์.

เราค้นพบช่องโหว่อย่างไรและทำไม

นำโดยผู้เชี่ยวชาญด้านความปลอดภัย Ran และ Noam ทีมวิจัย vpnMentor ค้นพบการละเมิดนี้เป็นส่วนหนึ่งของเรา โครงการทำแผนที่เว็บขนาดใหญ่.

ทีมวิจัยของเราสแกนพอร์ตเพื่อค้นหาบล็อก IP ที่รู้จัก จากนั้นทีมจะค้นหาช่องโหว่ในระบบที่จะระบุว่าเป็นฐานข้อมูลแบบเปิด.

เมื่อพบการละเมิดข้อมูลทีมของเราจะเชื่อมโยงฐานข้อมูลกลับไปยังเจ้าของ เรานั้น ติดต่อเจ้าของแจ้งให้ทราบถึงช่องโหว่และแนะนำวิธีที่เจ้าของสามารถทำให้ระบบของพวกเขาปลอดภัยยิ่งขึ้น.

ในฐานะที่เป็นแฮกเกอร์และนักวิจัยที่มีจริยธรรมเราไม่เคยขายจัดเก็บหรือเปิดเผยข้อมูลที่เราพบ.

เป้าหมายของเราคือการปรับปรุงความปลอดภัยโดยรวมและความปลอดภัยของอินเทอร์เน็ตสำหรับทุกคน.

เกี่ยวกับเราและรายงานก่อนหน้า

vpnMentor เป็นเว็บไซต์ตรวจสอบ VPN ที่ใหญ่ที่สุดในโลก ห้องปฏิบัติการวิจัยของเราเป็นบริการแบบมืออาชีพที่พยายามช่วยเหลือชุมชนออนไลน์ในการป้องกันตัวเองจากภัยคุกคามทางไซเบอร์ในขณะที่ให้ความรู้แก่องค์กรเกี่ยวกับการปกป้องข้อมูลของผู้ใช้.

เราเพิ่งค้นพบการละเมิดข้อมูลขนาดใหญ่ในเอกวาดอร์ที่ส่งผลกระทบต่อคนนับล้าน นอกจากนี้เรายังเปิดเผยเครือข่ายการฉ้อโกงขนาดใหญ่ที่กำหนดเป้าหมายเป็น Groupon และผู้ขายตั๋วออนไลน์.