Informe: l’aplicació del servei postal francès exposa als propietaris de petites empreses en fuites de dades

Dirigit per Noam Rotem i Ran Locar, l’equip investigador de vpnMentor va descobrir un incomplir una base de dades pertanyent a Genius, una aplicació per a Android construïda pel servei postal francès La Poste. Genius és una caixa registradora basada en una aplicació que integra molts processos diferents per ajudar als petits propietaris de botigues. La base de dades en qüestió es relaciona principalment amb els pagaments realitzats mitjançant l’aplicació. Amb més de 23 milions de registres, la qual cosa suposa una enorme bretxa en la seguretat de les dades i fa vulnerable als usuaris de Genius a França. Si els pirates informàtics maliciosos havien descobert aquesta base de dades, les conseqüències poden ser devastadores per als exposats.

Perfil de l’empresa La Poste

La Poste és el principal servei postal a França, de propietat majoritària pel govern francès i que també opera en territoris d’ultramar tradicionalment vinculats amb el país. És el segon empresari més gran de França i com molts serveis postals arreu del món, s’ha ampliat més enllà del lliurament per correu. Les seves operacions inclouen assegurances, banca, allotjament de correu web i molts més serveis per a ciutadans privats. L’empresa també ofereix serveis per a petites i mitjanes empreses (pimes) a França. Aquests inclouen Genius, l’aplicació de caixes de caixa. A més de processar pagaments de clients, Genius ajuda les PIME a la gestió d’inventaris, informes i analítica de dades, comptabilitat i molts més processos clau.. Genius es factura a les PIME com “Una solució modular que s’adapta a totes les vostres necessitats … I al vostre pressupost!”

Cronologia del descobriment i la reacció del propietari

De vegades, l’abast d’un incompliment de dades i el propietari de les dades són evidents i el problema es resol ràpidament. Però són rares aquestes èpoques. Molt sovint necessitem dies d’investigació per entendre què hi ha en joc o qui està filtrant les dades. Comprendre un incompliment i el que hi ha en joc requereix una atenció i un temps especials. Treballem intensament per publicar informes precisos i de confiança, assegurant que tothom que els llegeixi entengui la seva serietat. Algunes parts afectades neguen els fets, prescindint de la nostra investigació o fent-ne constància. Per tant, hem de ser exhaustius i assegurar-nos que tot el que trobem és correcte i cert. En aquest cas, en identificar La Poste com a propietari de la base de dades, els vàrem trobar presents amb les nostres conclusions. Mentre esperàvem una resposta de La Poste, el 18 de novembre també vam adreçar-nos a la seva empresa d’allotjament i a The Commission national d’artinformatique et des llibertats (CNIL), l’organisme regulador independent de França per a la privacitat de les dades. La base de dades es va tancar gairebé tres setmanes després del nostre primer contacte amb la CNIL francesa.

  • Data descoberta: 11/11
  • Data de contacte amb els venedors: 13/11
  • Data de contacte amb CNIL: 18/11
  • Data de l’acció: Aprox. 8/12

Exemple d’entrades a la base de dades

D’acord amb els Termes del servei de Genius, La Poste es compromet a: “Implementar [ing] les mesures necessàries per protegir les dades personals contra destruccions accidentals o il·legals, pèrdues accidentals, alteració, divulgació o accés no autoritzat;” “Notificar al client”, en un termini de 48 hores a partir de la seva notificació, qualsevol violació de dades personals “. (Traduït del francès) Tanmateix, basat en la nostra investigació, la base de dades exposada no havia estat prou protegida. Es filtrava informació sensible que seria una mina d’or per a delinqüents i pirates informàtics maliciosos. El nostre equip ha trobat més de 15 GB d’informació sensible, amb 23 milions de registres originats per pimes a tota França, Bèlgica, Suïssa, Itàlia, Espanya i potser més. Les entrades a la base de dades eren enllaçats amb pagaments realitzats pels clients mitjançant Genius, així com altres funcions a l’aplicació. Cada entrada contenia diferents formes de dades, depenent de les accions que faci l’usuari. Aquests inclouen Dades d’informació personal (PII) tant dels usuaris de Genius com dels seus clients, juntament amb informació sensible sobre les finances i les operacions de les empreses. Entre els exemples de dades d’usuari que es poden visualitzar de la base de dades s’inclouen:

  • Noms complets, adreces de correu electrònic, números de telèfon i dates de naixement de les persones que utilitzen l’aplicació
  • Ciutat de residència comercial i codis postals dels usuaris
  • Informació sobre productes venuts (etiqueta, preu, codi de barres, etc.) i transaccions realitzades mitjançant Genius
  • Informació sobre venedors (nom, correu electrònic, número de telèfon)
  • Les factures enviades a clients i proveïdors
  • Inventari d’empreses
  • Tant la valoració com els valors genuïns dels productes de Genius
  • Adreces de correu electrònic dels clients que han rebut una factura mitjançant Genius
  • Valors totals de les transaccions del negoci realitzades mitjançant Genius
  • Número de negocis (per al registre d’empreses a França)
  • Molt més

A continuació, es mostra un exemple d’un usuari Genius fent la conciliació de final de dia a l’aplicació (els valors de moneda es mostren com a totals en cèntims. Per exemple, “10150” = 101,50 €). Això és només un exemple de com es van filtrar les dades sensibles de les empreses i els registres financers: En el següent exemple, s’exposen dades pertanyents a una empresa i un dels seus empleats mentre realitzem una altra acció a l’aplicació Genius: En el següent exemple, s’exposen dades pertanyents a una empresa i un dels seus empleats mentre realitzem una altra acció a l’aplicació Genius: En aquest exemple final, l ‘article La PII d’un client està exposada:Les PIMEs utilitzades per part de Genius a tot França, així com altres països europeus incloent França, Bèlgica, Suïssa, Itàlia i Espanya. Com a tal, la la base de dades contenia registres de la base d’usuaris de Genius en moltes indústries diferents a cada un d’aquests països i molts altres. Alguns exemples dels negocis exposats són:

  • Nilaï: una joieria a París
  • By164 – Una joieria a París
  • Lovat&Green: un minorista de moda unisex amb seu a Bilbao, Espanya
  • Manta – Una botiga de regals francesa amb enviament a nombrosos països europeus
  • Louisette – Una botiga de regals de la família francesa
  • MHD Restauration: un petit restaurant independent i independent

* Nota: Lousiette i MHD eren usuaris de Genius citats al seu lloc web, que ofereixen testimonis positius per al servei. A part d’exposar als usuaris clients de la seva aplicació, la base de dades també involuntàriament va fer vulnerables els empleats de La Poste. Durant la investigació, el nostre equip també ha vist dades de PII dels empleats de La Poste, com ara els seus noms, adreces de correu electrònic i números de telèfon, al costat dels “valors de prova” dels productes de l’aplicació. Això va ser molt probable a causa dels empleats afectats que posaven a prova l’aplicació a casa.

Impacte de la incomplicació de dades

Aquesta fuga de dades és un greu incompliment dels protocols de seguretat de dades per a La Poste i els desenvolupadors de l’aplicació Genius. Si bé a La Poste se li recomana la seva transparència quant a la protecció de les dades dels seus usuaris, la descoberta del nostre equip ho indica no van prendre les mesures suficients per protegir aquestes dades. Si hi hagués accedit a aquestes dades criminals o pirates malintencionats, hi hauria greus implicacions per a la privacitat i la seguretat de tots els afectats.

Per La Poste i Genius

Una filtració d’aquesta naturalesa serà plantegeu preguntes sobre les pràctiques generals de seguretat de dades de La Poste, no només a l’aplicació Genius, però a través de les seves operacions més àmplies i la xarxa de negocis filials. Mentre treballem per solucionar aquesta filtració, Els futurs clients de Genius podrien ser reacios a adoptar l’aplicació en les seves operacions comercials. La Poste pot lluitar per mantenir la confiança de les PIME després del nostre descobriment, juntament amb la seva reputació a les comunitats empresarials de França. Com el servei postal més gran de França, amb clients a tot Europa, La Poste és competència de la Unió Europea i de GDPR. La Poste fins i tot reconeix GDPR, encara que no sigui el seu nom, en els seus Termes i condicions. En no protegir les dades personals dels usuaris de Genius i els seus clients, La Poste pot ser responsable d’accions legals o multes pels òrgans reguladors corresponents.

Per a usuaris de Genius

Les dades sensibles exposades en aquesta base de dades fan Els usuaris de Genius i les seves empreses vulnerables a diversos tipus d’atacs i fraus. Per exemple, per utilitzant les dades de PII, comercials i financeres exposades, els delinqüents podrien crear campanyes de caça de pesca efectives. Una campanya de phishing implica crear correus electrònics fraudulents imitant negocis legítims i òrgans de govern, s’utilitza per enganyar els objectius per realitzar qualsevol de les accions següents:

  • Divulgueu informació addicional, com ara contrasenyes i noms d’usuari a comptes en línia privats i allotjament de correu electrònic
  • Doneu accés a comptes financers com targetes de crèdit o banca en línia
  • Feu clic a un enllaç que integrarà programari maliciós, com ara programari maliciós, ransomware, spyware i virus

Si un pirata informàtic que visualitza les dades exposades ha pogut calculeu els valors mitjans de les transaccions de Genius, podrien idear mètodes per robar diners en quantitats petites i incrementals d’un usuari o en sumes forfetàries senceres. Recuperar aquests fons robats podria ser un procés llarg, difícil i infructuós, més enllà de les capacitats de molts propietaris de pimes. La filtració també va crear un potencialment més traumàtic perill físic per als propietaris de botigues. Reconciliacions de fi de dia fetes pels usuaris mitjançant Genius va revelar les quantitats d’efectiu físic als seus locals propers al negoci. Això permet als lladres potencials una visió del millor moment per enterbolar-se o entrar en una botiga exposada i robar els efectius directament del local. Com en tots els totals de moneda que figuren, al fragment següent de codi, el valor “10150” és igual a 101,50 a la moneda de l’usuari..

a més, ja que les dades filtrades també exposaven clients d’aquests negocis, els seus propietaris podrien afrontar una pèrdua de clients que ja no confien en les empreses que utilitzen Genius per mantenir les seves dades segures. Finalment, els usuaris de Genius podrien ser vulnerables a les accions deshonestes dels competidors. Amb l’accés a les analítiques de dades de vendes i preus, un competidor podria minar l’usuari amb ofertes competidores. Això pot allunyar els clients d’un usuari del Genus exposat.

Assessorament dels experts

La Poste i els desenvolupadors de Genius haurien pogut evitar fàcilment aquesta filtració si haguessin adoptat algunes mesures bàsiques de seguretat per protegir la base de dades. Aquests inclouen, però no es limiten a:

  1. Assegureu els servidors.
  2. Implanta unes regles d’accés adequades.
  3. No deixeu mai un sistema que no requereixi autenticació oberta a Internet.

Qualsevol empresa pot replicar els mateixos passos, sigui quina sigui la seva mida. Per obtenir una guia més detallada sobre com protegir el vostre negoci, consulteu la nostra guia per protegir el vostre lloc web i la base de dades en línia dels pirates informàtics..

Per a usuaris de Genius

Segons els seus termes de servei, La Poste està obligada a notificar als usuaris de “qualsevol violació de les dades personals” en 48 hores: “En aquest context, [comunicarem] al Client tota la informació [que tenim] sobre les condicions que envolten aquesta violació de dades personals”. Tant de bo compleixin aquesta obligació i informin a qualsevol part afectada per la filtració. Si sou un client de La Poste Genius i esteu preocupats per com podria afectar-vos aquest incompliment, La Poste també ofereix indicacions per plantejar-vos les vostres preocupacions amb les persones externes: “Com a part de la política de protecció de dades personals de La Poste, podeu contactar amb el responsable de protecció de dades, CP C703, 9 Rue Colonel Pierre Avia, 75015 PARIS. En cas de dificultat en la gestió de les vostres dades personals, podeu presentar una queixa al CNIL. “

Per als propietaris de PIME

Si teniu una SMB i us preocupa com la vulnerabilitat i el robatori de dades puguin afectar la vostra empresa i clients, consulteu la nostra guia completa de privadesa en línia per a les PIME.. Us mostra les diverses maneres en què els ciberdelincionats s’orienten a les petites empreses i els passos que podeu fer per mantenir-vos en seguretat.

Com i per què vam descobrir l’incompliment

L’equip de recerca vpnMentor va descobrir l’incompliment a les bases de dades de La Poste com part d’un enorme projecte de mapeig web. Els nostres investigadors utilitzen exploració portuària per examinar blocs IP concrets i provar forats oberts en sistemes per detectar punts febles. Examinen cada forat per a la filtració de dades. Quan troben un incompliment de dades, utilitzen tècniques expertes per verificar la identitat de la base de dades, així com el seu propietari. A continuació, alertem a l’empresa de l’incompliment. Si és possible, també alertarem de qualsevol altra part afectada per l’incompliment. El nostre equip va poder accedir a aquesta base de dades perquè estava completament sense seguretat i sense xifrar. La Poste utilitza una base de dades Elasticsearch, que normalment no està dissenyada per a l’ús de la URL. Tot i això, vam poder accedir-hi a través del navegador i manipular els criteris de cerca d’URL per exposar esquemes. L’objectiu d’aquest projecte de mapeig web és ajudar a fer que Internet sigui més segura per a tots els usuaris. Com a pirates informàtics ètics, estem obligats a informar una empresa quan descobrim defectes en la seva seguretat en línia. Això és especialment cert quan l’incompliment de dades de les empreses conté aquesta informació privada. Aquesta ètica també significa que portem una responsabilitat a la ciutadania. Els usuaris de Genius han de ser conscients de com els afecta una filtració de dades.

Quant a nosaltres i informes anteriors

vpnMentor és el lloc web de revisió VPN més gran del món. El nostre laboratori d’investigació és un servei de promoció professional que s’esforça a ajudar la comunitat en línia a defensar-se de les amenaces cibernèriques alhora que educa les organitzacions a la protecció de les dades dels seus usuaris. En el passat, vam descobrir un enorme incompliment exposant les dades dels clients a un grup hoteler francès propietat d’AccorHotels. També es va revelar una filtració de dades de la plataforma de reserva de vols francesa Option Way, que compromet la privadesa dels seus clients. També pot ser que vulgueu llegir el nostre Informe de filtracions de VPN i les estadístiques de privadesa de dades.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map