Informe: dades filtrades de 2 llocs de serveis financers indis


Dirigits per investigadors establerts Noam Rotem i Ran Locar, l’equip investigador de vpnMentor ha trobat recentment incompliments a les bases de dades de Credit Fair i Chqbook, dos serveis relacionats amb crèdits personals i préstecs indis.

Credit Fair ofereix als clients accés a petits préstecs personals. A Chqbook, els clients poden comparar productes de finançament personal, com ara préstecs i targetes de crèdit, en funció de les seves circumstàncies personals i l’estat financer. Ambdues pàgines web requereixen que els clients proporcionin detalls personals i financers considerables que, si no tenen les mans equivocades, es podrien utilitzar de diverses maneres il·legals.

El nostre equip va descobrir vulnerabilitats a les bases de dades dels llocs web que van proporcionar accés a grans quantitats de les dades personals i financeres dels seus clients.

Les bases de dades no estaven xifrades i no eren totalment segures, generant un risc enorme per als clients de les dues empreses.

Descobriment i reacció del propietari

El nostre equip va descobrir les filtracions el 24 de juliol. Afortunadament, Chqbook va tancar la seva filtració en 48 hores. No obstant això, a partir de l’escriptura, la filtració de la fira de crèdit continua oberta (31 de juliol).

També hem contactat amb les dues empreses per informar-los dels incompliments de dades.

Exemple d’entrades a la base de dades

Tant a Fair Fair com a Chqbook requereixen que els clients crein comptes i comparteixin informació personal i financera significativa als seus llocs web. 

Tota aquesta informació va ser allotjat en bases de dades no segures a les quals el nostre equip va poder accedir fàcilment. A continuació, es mostren els detalls de clients que hem pogut extreure.

Fira de crèdit (44.000 registres):

  • Nom complet
  • Número de telèfon
  • adreça
  • Dates de naixement
  • Informació detallada sobre els préstecs (import, estat, taxa, data de creació, nom del sol·licitant)
  • Número PAN: targeta d’identitat índia
  • adreça IP 
  • Fitxes de sessió 
  • AADHAAR – Número d’identificació indi (https://uidai.gov.in/)
  • Contrasenyes de text normal (no funciona) 
  • Enllaços a informes de frau

Chqbook (es van filtrar dades de 67 GB):

  • Nom complet
  • Número de telèfon
  • adreça
  • Correu electrònic
  • Número de la targeta de crèdit
  • Data de caducitat de la targeta
  • Tipus de targeta
  • Import de la transacció
  • ID d’usuari
  • Contrasenyes de text normal
  • Fitxes de sessió
  • Possibilitat d’enviar SMS
  • Ingressos mensuals
  • Gènere
  • Data de naixement 
  • Nom de la ciutat
  • Perfil laboral

Si es combinés tota aquesta informació no segura, hi hauria agents malintencionats i delinqüents una imatge substancial dels registres financers personals d’un client. Aquesta informació es pot utilitzar de diverses maneres nocives i il·legals. 

Exemple de rècord de la fira de crèdit

Impacte de la incomplicació de dades

Frau d’identitat

Es pot utilitzar la informació d’aquestes bases de dades crear un perfil complet d’un client de Fair Fair o Chqbook. Els actors maliciosos podrien fer-ho servir per robar la identitat dels clients. Les dues bases de dades incloïen noms complets, correus electrònics, adreces físiques, números d’identificació personal i molt més. 

Els criminals podrien crea fàcilment comptes en diferents llocs web per a diverses activitats en línia, legal o d’una altra manera, seria així costen els clients considerablement. També podrien fer-se càrrec dels comptes de clients tant a Fair Fair com a Chqbook, costarà molt a cada negoci en investigacions, recuperació de comptes i ingressos. 

Acció de comptes

L’adquisició d’un compte és una forma de frau d’identitat a la qual tant clients com empreses com Credit Fair i Chqbook serien molt vulnerables, en base a aquest incompliment de dades. 

Si es pot accedir al compte de la víctima, es poden canviar els detalls o es podrien realitzar transaccions al seu nom. Els clients hauran de pagar els fraus, com ara la concessió d’un préstec fraudulent.

Un pirata informàtic podria canviar el compte bancari d’un client de la fira de crèdit compte d’un que són propietaris. El pirata informàtic podria llavors treure un préstec i transferir-lo al seu compte bancari. La víctima que hagi utilitzat el compte de Credit Credit hauria de tornar a pagar aquest préstec. 

De la mateixa manera, el compte d’un client de Chqbook es podria utilitzar per comprar targetes de crèdit al nom d’una altra persona. A continuació, seran responsables de qualsevol compra fraudulenta feta en aquesta targeta. 

Phishing

Es podrien fer servir aquestes dades crear campanyes de phishing il·legals complexes i dirigides a defraudar els clients de Chqbook i Credit Fair. La pràctica de la pesca implica l’enviament de correus electrònics fraudulents que diuen ser d’una empresa o agència governamental determinada, amb l’objectiu d’extreure informació financera de les víctimes. 

Mentre està obert, la Les bases de dades de Fair Fair i Chqbooks podrien haver proporcionat una quantitat important de dades valuoses als delinqüents. També podrien ser-ho s’utilitza per crear correus electrònics de phishing increïblement específics i convincents per emplenar els espais buits. 

Xantatge i extorsió 

Gran part de la informació que va poder accedir el nostre equip és d’una de caràcter privat i sensible. 

Vam poder veure els clients crèdit i estat laboral, si van ser o no acceptats per a préstecs i el seu número d’identificació governamental. 

No només una mica d’aquesta informació privada pot ser vergonyosa, sinó que també pot ser utilitzat per orientar-se als clients personalment de diverses maneres. Si un client rebutja un préstec en un d’aquests llocs, Els taurons de préstecs criminals poden utilitzar aquesta vulnerabilitat per pressionar-los en préstecs il·legals i perillosos. Les seves dades financeres privades es podrien mantenir en rescats i en els clients extorsionat per diners, utilitzant amenaces per exposar el seu estat financer públicament. 

Moltes de les persones de les dues bases de dades eren empleats del govern. Les bandes criminals són particularment despietades en extorsionar persones que treballen per als governs, com ara es consideren especialment útil per a informació i explotació potencial. Els governs solen adoptar mesures fortes per protegir els seus empleats de bandes depredadores que fa que aquest incompliment sigui encara més preocupant. 

Anunciants i artistes d’estafa també pot utilitzar perfils de clients per crear campanyes publicitàries precisament orientades, manipulatives i explotadores a les xarxes socials per empènyer productes o serveis sobre clients vulnerables. Per exemple, sabent que algú està sota pressió financera, podrien impulsar préstecs d’interès elevat amb tàctiques enganyoses o dubtoses.

Exemple de registre de Chqbook

Els perills físics de les fuites

Hi ha també amenaces físiques. 

Les dues bases de dades contenien adreces físiques, números de telèfon i noms dels clients. També proporcionen coneixement sobre valor net del client en funció dels imports del préstec, del crèdit disponible i dels productes financers que compren. 

Això crea un perill físic real, ja que algú amb accés a les bases de dades els podria utilitzar orientar a les llars per robatori segons el seu estat de riquesa. Utilitzant números de telèfon i correus electrònics, els lladres poden contactar directament amb els clients per treballar quan no són a casa i trieu un moment adequat per entrar a les seves cases. 

Assessorament dels experts

Els problemes i preocupacions que hem plantejat aquí no són, en cap cas, concloents. Els incompliments d’aquestes bases de dades tenen implicacions àmplies per als clients de Chqbook i Credit Fair, i per als propis negocis. 

Aquestes vulnerabilitats són només dos exemples dels molts perills per a qualsevol persona que utilitzi instruments financers o llocs web en línia. 

Si us preocupa la forma en què aquestes infraccions específicament o la vulnerabilitat de les dades en general poden afectar el vostre lloc o negoci, llegir el nostre Guia completa de privadesa en línia. Us mostra les maneres en què us poden orientar els ciberdelinqüents i els passos que podeu fer per mantenir-vos fora de perill. 

Com i per què vam descobrir l’incompliment

Hem descobert aquest incompliment com a resultat d’un projecte de mapeig web. Els nostres pirates informàtics utilitzen exploració portuària per examinar blocs IP concrets i provar forats oberts en sistemes per detectar punts febles. Examinen cada forat per a la filtració de dades. 

El nostre equip va descobrir que tots dos Les bases de dades completes de Credit Fair i Chqbooks estaven desprotegides i sense xifrar. Credit Fair utilitza una base de dades Mongo, mentre que Chqbook utilitza Cerca Elàstica, cap de les quals va estar protegida amb cap contrasenya o tallafoc.

malgrat això, vam poder accedir-hi a través del navegador i manipular els criteris de cerca d’URL a exposar esquemes d’un índex únic en qualsevol moment. 

Com a pirates informàtics ètics, estem obligats a contactar amb llocs web quan descobrim defectes de seguretat. Això és especialment cert quan l’incompliment de dades d’una empresa afecta tanta gent, i en el cas de Fair Fair i Chqbook, aquest problema va afectar milers de persones cada dia.

Tanmateix, aquesta ètica també significa portem una responsabilitat al públic. Fira de crèdit i Chqbook Els clients han de ser conscients dels riscos que assumeixen quan utilitzen llocs que no fan cap esforç per protegir els seus usuaris.

Quant a nosaltres i informes anteriors

vpnMentor és el lloc web de revisió VPN més gran del món. El nostre laboratori d’investigació és un servei de promoció professional que s’esforça a ajudar la comunitat en línia a defensar-se de les amenaces cibernèriques alhora que educa les organitzacions a protegir les dades dels seus usuaris..

Recentment hem descobert un enorme incompliment de dades que afectava a 80 milions de llars nord-americanes. També vam revelar que Gearbest va experimentar un incompliment massiu de dades. També pot ser que vulgueu llegir el nostre Informe de filtracions de VPN i les estadístiques de privadesa de dades.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map