Informe: Usuaris d’Internet mòbils africans exposats a una fuga enorme de dades

Dirigits pels analistes de ciberseguretat Noam Rotem i Ran Locar, van descobrir l’equip de recerca de vpnMentor un incompliment de dades en una base de dades pertanyent a l’empresa TIC de Sud-àfrica, Conor. La base de dades incomplida contenia registres diaris de l’activitat dels usuaris per part dels clients d’ISP que utilitzen programes de filtratge web construïts per Conor. Va exposar tot el trànsit a Internet i l’activitat d’aquests usuaris, juntament amb les seves dades de PII. Això inclou activitat altament sensible i privada, inclosa la pornografia, Conor no només va exposar als usuaris a la vergonya en revelar aquesta activitat de navegació, sinó que també va comprometre la privacitat i la seguretat de les persones en molts països.

Peror de l’empresa Conor

Amb seu a Sud-àfrica, Conor és una empresa de tecnologia de la informació i les comunicacions (TIC) que desenvolupa productes de programari per a clients a Àfrica i Amèrica del Sud. Creen una gamma de solucions per a empreses en nombroses indústries, com ara finances, internet mòbil, pimes i monetització de dades. Conor compta amb 80 milions de subscriptors mòbils als seus productes, amb alguns clients d’alt perfil, inclosos Vodafone i Telkom.

Cronologia del descobriment i la reacció del propietari

De vegades, l’abast d’un incompliment de dades i el propietari de les dades són evidents i el problema es resol ràpidament. Però són rares aquestes èpoques. Sovint, necessitem dies d’investigació per entendre què hi ha en joc o qui està filtrant les dades. Comprendre una incompliment i el seu impacte potencial requereix una atenció i temps amb molta cura. Treballem intensament per publicar informes precisos i de confiança, assegurant que tothom que els llegeixi entengui la seva serietat. Algunes parts afectades neguen els fets, prescindint de la nostra investigació o fent-ne constància. Per tant, hem de ser exhaustius i assegurar-nos que tot el que trobem és correcte i cert. En aquest cas, l’escàner web del nostre equip va recollir la base de dades el 12 de novembre. Era clar que la base de dades contenia una gran quantitat de dades de diverses fonts diferents en diversos països. Tanmateix, la funció de la base de dades no era inicialment clara, ni la seva relació amb els diferents ISP i Conor. Més tard es va revisar la base de dades i es va entendre millor la seva connexió amb una aplicació de filtre web construïda per Conor. Després vam contactar amb l’empresa per oferir-nos ajuda.

Exemple d’entrades a la base de dades

Conor afirma en la seva política de privadesa, en matèria de seguretat de dades: Valorem la seva confiança en proporcionar-nos les vostres dades personals, per la qual cosa ens esforcem a utilitzar mitjans de protecció comercials acceptables. Però recordeu que cap mètode de transmissió per internet o mètode d’emmagatzematge electrònic no és 100% segur i fiable, i no podem garantir la seva seguretat absoluta. A partir del descobriment d’aquesta base de dades del nostre equip, Conor és comercialment acceptable significa que no som suficients per mantenir ocultes aquestes dades d’usuari privat. El nostre equip va poder accedir a aquesta base de dades perquè estava completament sense seguretat i sense xifrar. Vam veure l’actualització constant registres d’activitats dels usuaris durant els darrers dos mesos per part de clients de nombrosos proveïdors d’informació basats en països africans i sud-americans. En total, això va donar lloc a 890 GB de dades i més més d’un milió de registres. La base de dades pertanyia a programari propietari desenvolupat per Conor, més que els propis proveïdors de serveis. El programari semblava ser un Filtre web desenvolupat per a clients ISP per restringir l’accés a determinats llocs web i tipus de contingut en línia. Hem trobat entrades d’usuaris que veuen porno per exemple, així com els seus comptes de xarxes socials. A part dels llocs web visitats, això va permetre al nostre equip veure una gamma de dades d’usuaris personals privats cada vegada que algú iniciava la sessió al sistema. Inclou:

  • Els noms d’índex: permeten identificar fàcilment l’activitat diària
  • MSISDN: un codi que identifica un usuari de telèfon mòbil a la xarxa del seu proveïdor, a través del seu número de telèfon
  • adreça IP
  • Durada de la connexió o visita a un lloc web
  • El volum de dades (en bytes) transferits per sessió
  • URL complet del lloc web
  • Si un lloc web fos bloquejat o no

Alguns d’aquests es poden veure en l’exemple següent:

Perquè la base de dades va donar accés a un registre complet de l’activitat de cada usuari en una sessió, el nostre equip va poder veure tots els llocs web que van visitar o intentar visitar. També podríem identificar cada usuari. La navegació per Internet d’una persona és sempre personal i s’espera que sigui privada. Tot i això, no va ser així en aquest cas. En el següent exemple, el nostre equip ha pogut veure l’activitat d’un usuari en un lloc web porno. Aquest fet era habitual en les entrades de la base de dades, comprometent la privacitat dels usuaris afectats de la manera més íntima.

En un altre exemple, al registre següent, un nom d’usuari és clarament visible. Amb una ràpida cerca a Facebook, hem trobat el perfil personal d’aquesta persona, juntament amb informació personal addicional revelada en la seva bio.

El nostre equip ha vist les entrades de dades de nombrosos ISP mòbils, com ara Tshimedzwa Cellular i Flickswitch a Sud-àfrica, MTN a Kenya i altres. També n’hi havia entrades de països sud-americans, com ara el següent exemple de Bolívia:

A la base de dades també es van identificar aplicacions que s’utilitzaven, per exemple:

  • iCloud
  • Aplicacions de Google (mapes, compte, etc.)
  • Aplicacions Microsoft (Outlook)
  • Facebook
  • què tal

Es poden veure als dos fragments de codi següents:

Impacte de la incomplicació de dades

Hi ha un incompliment de dades d’aquesta mida i naturalesa —exposant tantes dades sobre l’activitat i les identitats dels usuaris— greus implicacions per a tots els implicats.

Conor Solutions

Si una empresa de desenvolupament de programes TIC i de programari no protegeix aquestes dades és molt negligent. El lapse de Conor en seguretat de dades podria crear problemes en el món real per a les persones exposades. Si bé Conor no seria vulnerable a l’atac o el frau, podrien patir danys reputacionals importants i una pèrdua de confiança dins de la seva indústria. Altres empreses TIC podrien ser reticents a contractar Conor en el futur, mentre que els clients actuals podrien exigir-los acció o compensació. La base de dades incomplida també va exposar el funcionament del filtre web de Conor i les seves regles per bloquejar el contingut. Les persones podrien fer servir aquest coneixement per obviar el filtre, fent-lo ineficaç i redundant. Els dos resultats podria comportar pèrdues de negoci per Conor i reducció d’ingressos, de perdre clients que ja no confien en el seu programari o proposta de valor.

Clients de Conor

Mentre Conor desenvolupava el programari de filtratge web enllaçat a aquesta base de dades, ho és els seus clients ISP que experimentarien la major part de la reacció negativa. Els clients de serveis ISP compromesos en aquesta fuga haurien de dirigir-se probablement als ISP per a critiques i compensacions, donant lloc a problemes importants de reputació i confiança per als ISP. Així mateix, podrien ser vulnerables a pèrdues d’actuació empresarial o judicial. També és probable que els proveïdors d’Internet hagin publicitat el programari de filtre web com a proposta de valor als clients i que els cobressin. Si les persones poguessin utilitzar la base de dades exposada per obviar el filtre web, els proveïdors d’interès no podrien perdre més, la seva oferta ja no serà una eina de publicitat efectiva..

Clients dels ISP afectats

El major risc d’aquest incompliment és per a les persones a les quals es van exposar les dades. La base de dades contenia registres de trànsit en viu de totes les seves activitats en línia, juntament amb PII d’usuaris. Això vol dir que hi ha zero privadesa per als afectats. La filtració els va fer vulnerables a una àmplia gamma d’atacs i fraus en línia. Aquests podrien tenir efectes devastadors, tant a nivell personal com econòmic. Com s’ha esmentat anteriorment, No només el nostre equip va poder veure l’activitat en línia d’un usuari, sinó que es va revelar la PII a la base de dades, hem pogut trobar els seus comptes de xarxes socials. Això es coneix com a doxing: utilitzar dades conegudes sobre una persona per descobrir i exposar la seva identitat. El fer xoc es fa sovint amb intenció maliciosa, amb la persona exposada posteriorment dirigida a l’assetjament i l’assetjament. Amb accés a l’historial porno d’una persona, Els pirates informàtics i els ciberdelinqüents podrien orientar-los a l’assetjament escolar, o pitjor, als xantatges i a l’extorsió. Molta gent es veuria profundament avergonyida per la seva història de cerca porno, i els ciberdelinqüents ho saben. Per amenaça d’exposar l’activitat porno en línia d’una víctima a les seves famílies o companys de treball, els delinqüents podrien extorsionar grans sumes de diners. En el cas de Veneçuela, un país on treballa Conor, el porno és il·legal. Tot i que no vam veure cap registre de Veneçuela, si un ISP revelés la navegació il·legal de porno per part d’un client, serien encara més vulnerables. Una víctima podria afrontar repercussions legals per part del govern o amb xantatges i extorsions més severes.

Assessorament dels experts

Conor hauria pogut evitar fàcilment aquesta filtració si haguessin adoptat algunes mesures bàsiques de seguretat per protegir la base de dades. Aquests inclouen, però no es limiten a:

  1. Assegureu els servidors.
  2. Implanta unes regles d’accés adequades.
  3. No deixeu mai un sistema que no requereixi autenticació oberta a Internet.

Qualsevol empresa pot replicar els mateixos passos, sigui quina sigui la seva mida.

Per als clients de Conor

Us recomanem que avalueu o reviseu els vostres protocols de seguretat i privadesa de dades interns. També hauríeu d’aprofundir Veterinaria qualsevol sol·licitud de tercers que adopteu o contractistes que contracteu per assegurar-se que segueixen les bones pràctiques actualitzades de seguretat de dades. Mentrestant, poseu-vos en contacte directament amb Conor per saber com han resolt aquesta fuga de dades i quins passos estan fent per assegurar-se que no es torni a produir. Per obtenir una guia més detallada sobre com protegir el vostre negoci, consulteu la nostra guia per protegir el vostre lloc web i la base de dades en línia dels pirates informàtics..

Per als clients dels ISP afectats

Si us preocupa que hagueu estat exposats en aquesta fuga de dades, poseu-vos en contacte amb el vostre ISP per saber si han contractat a Conor per crear programari per a ells en el passat. Haurien de proporcionar-vos qualsevol informació relacionada amb aquesta fuga i si teníeu la possibilitat d’exposar. L’acció més eficaç que podeu dur a terme per assegurar-vos que esteu compromès en aquesta fuga o qualsevol altra és descarregar una VPN. La base de dades incomplerta contenia registres de tota l’activitat a Internet d’un usuari. L’única manera d’evitar que això torni a passar és amb una VPN. La connexió a Internet mitjançant una VPN xifra les vostres dades i amaga la vostra activitat, fins i tot des del vostre ISP. També amaga la vostra ubicació i adreça IP, de manera que els hackers gairebé no tenen informació identificativa sobre vostès. Això vol dir que, fins i tot si el vostre ISP o qualsevol altra part filtra les dades dels seus clients, seguiràs amagat i protegit de pirates informàtics i ciberdelinqüents. Si us preocupa la seguretat i les vulnerabilitats de dades, consulteu la nostra guia completa sobre privadesa en línia. Us mostra les maneres en què els cibercriminals s’orienten als usuaris d’internet i els passos que podeu dur a terme per mantenir-se en seguretat.

Com i per què vam descobrir l’incompliment

L’equip de recerca vpnMentor va descobrir la bretxa a les bases de dades de Conor com a part d’un enorme projecte de mapeig web. Els nostres investigadors utilitzen exploració portuària per examinar blocs IP concrets i provar forats oberts en sistemes per detectar punts febles. Examinen cada forat per a la filtració de dades. Quan troben un incompliment de dades, utilitzen tècniques expertes per verificar la identitat de la base de dades. A continuació, alertem a l’empresa de l’incompliment. Si és possible, també avisarem els afectats per l’incompliment. El nostre equip va poder accedir a aquesta base de dades perquè estava completament sense seguretat i sense xifrar. Conor estava utilitzant una base de dades Elasticsearch, que normalment no està dissenyada per a l’ús de la URL. Tot i això, vam poder accedir-hi a través del navegador i manipular els criteris de cerca d’URL per exposar l’esquema de la base de dades. L’objectiu d’aquest projecte de mapeig web és ajudar a fer que Internet sigui més segura per a tots els usuaris. Com a pirates informàtics ètics, estem obligats a informar una empresa quan descobrim defectes en la seva seguretat en línia. Això és especialment cert quan l’incompliment de dades de les empreses conté tanta informació privada i valuosa de l’usuari. Tanmateix, aquesta ètica també significa que portem una responsabilitat al públic. Els usuaris del programari de Conor també han de ser conscients d’una infracció de dades que els afecti.

Quant a nosaltres i informes anteriors

vpnMentor és el lloc web de revisió VPN més gran del món. El nostre laboratori d’investigació és un servei de promoció professional que s’esforça a ajudar la comunitat en línia a defensar-se de les amenaces cibernèriques alhora que educa les organitzacions a la protecció de les dades dels seus usuaris. En el passat, hem descobert un enorme incompliment de dades exposant les dades de milions de ciutadans ecuatorians. També vam revelar que una bretxa a Biostar 2 comprometia les dades biomètriques de més d’un milió de persones. També pot ser que vulgueu llegir el nostre Informe de filtracions de VPN i les estadístiques de privadesa de dades.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me