Hesabat: Fransız Poçt Xidməti Tətbiqi Məlumat Sızıntısında Kiçik Biznes Sahiblərini Açıqladı

Noam Rotem və Ran Locarın rəhbərliyi ilə vpnMentorun tədqiqat qrupu bir kəşf etdi Fransız poçt xidməti La Poste tərəfindən qurulmuş bir Android tətbiqi Genius’a aid bir verilənlər bazasında pozuntu. Genius, kiçik dükan sahiblərinə kömək etmək üçün bir çox müxtəlif prosesləri birləşdirən bir tətbiq əsaslı kassa aparatıdır. Sözügedən verilənlər bazası, əsasən proqramlar vasitəsilə edilən ödənişlərlə əlaqədardır. İlə 23 milyondan çox qeyd, bu məlumat təhlükəsizliyində böyük bir pozuntudur və Fransa boyunca Genius istifadəçilərini həssas edir. Zərərli hakerlər bu məlumat bazasını aşkar etmiş olsaydı nəticələri məruz qalanlar üçün dağıdıcı ola bilər.

La Poste Şirkəti Profili

La Poste Fransanın əsas poçt xidmətidir, Əksəriyyəti Fransa hökumətinə məxsusdur və ayrıca ənənəvi olaraq ölkə ilə əlaqəli xarici ərazilərdə fəaliyyət göstərir. Fransadakı ikinci ən böyük işəgötürəndir və dünyanın bir çox poçt xidmətləri kimi, poçt çatdırılması xaricində genişlənmişdir. Onların əməliyyatları arasında sığorta, bankçılıq, veb-poçt hostinqi və özəl vətəndaşlar üçün bir çox xidmətlər var. Şirkət də təklif edir Fransadakı kiçik və orta sahibkarlıq xidmətləri (SMBs). Bunlara Genius, kassa aparatı tətbiqi daxildir. Müştərilərdən ödənişlərin işlənməsindən başqa, Genius, SMB-lərə inventar idarəetməsi, məlumatların verilməsi və analitikası, mühasibat uçotu və daha bir çox əsas proseslərdə kömək edir. Genius, SMB-lərə “Bütün ehtiyaclarınıza uyğunlaşan bir modul həll … Və büdcəniz!”

Aşkaretmə və Sahibin reaksiya qrafiki

Bəzən bir məlumat pozuntusunun dərəcəsi və məlumatların sahibi bəllidir və məsələ tez həll olunur. Ancaq bu nadir hallarda olur. Tez-tez, nəyin baş verdiyini və ya məlumatları kimin sızdığını anlamazdan əvvəl araşdırma günlərinə ehtiyac duyuruq. Bir pozuntu və nəyin baş verdiyini anlamaq diqqətli vaxt və vaxt tələb edir. Dəqiq və etibarlı hesabatlar dərc etmək üçün çox çalışırıq, onları oxuyanların hamısının ciddiliyini başa düşmələrini təmin edirik. Bəzi təsirlənmiş tərəflər araşdırmalarımızı nəzərə almadan və ya təsirini azaltmaqla, faktları inkar edirlər. Beləliklə, hərtərəfli olmalı və tapdığımız hər şeyin doğru və doğru olduğuna əmin olmalıyıq. Bu vəziyyətdə, La Poste’yi verilənlər bazasının sahibi kimi tanıdıqdan sonra tapıntılarımızla onlara məlumat verdik. La Poste-dən cavab gözlədikdə, 18 Noyabrda biz də ev sahibliyi edən şirkətə və Fransanın məlumatların məxfiliyinə dair müstəqil tənzimləmə orqanı olan Komissiya (CNIL) ilə əlaqə qurduq. Məlumat bazası Fransız CNIL ilə ilk təmasımızdan təxminən üç həftə sonra bağlandı.

  • Tarix aşkarlandı: 11/11
  • Tarix satıcıları əlaqə saxladı: 13/11
  • CNIL ilə əlaqə tarixi: 18/11
  • Fəaliyyət tarixi: Təxminən 8/12

Verilənlər bazasında girişlərin nümunəsi

Genius üçün xidmət şərtlərinə görə, La Poste: “Şəxsi məlumatların təsadüfi və ya qanunsuz məhv edilməsindən, təsadüfən itirilməsindən, dəyişdirilməsindən, açıqlanmasından və ya icazəsiz girilmədən qorunması üçün lazımi tədbirləri həyata keçirmək;” “Şəxsi məlumatların pozulmasından xəbərdar olduqdan sonra 48 saat ərzində Müştərini məlumatlandırın.” (Fransız dilindən tərcümə olunur) Ancaq araşdırmamıza əsaslanaraq, məruz qalan verilənlər bazası kifayət qədər qorunmamışdı. Cinayətkarlar və zərərli hakerlər üçün bir qızıl maddə olacaq həssas məlumatlar sızdı. Fransa, Belçika, İsveçrə, İtaliya, İspaniya və bəlkə daha çox ölkələrdə SMB-lərdən gələn 23 milyon qeyd ilə 15GB həssas məlumat tapdı.. Verilənlər bazasına girişlər idi Genius vasitəsilə müştərilər tərəfindən edilən ödənişlər, eləcə də digər funksiyalarla əlaqələndirilir tətbiqdə həyata keçirilir. Hər girişdə müxtəlif məlumat formaları var, istifadəçi tərəfindən görülən hərəkətdən asılı olaraq. Bunlar daxildir Həm Genius istifadəçilərinin, həm də onların müştərilərinin şəxsiyyətini müəyyənləşdirən məlumatlar (PII) məlumatları, müəssisələrin maliyyə və əməliyyatları haqqında həssas məlumatlarla yanaşı. Verilənlər bazasında görünən istifadəçi məlumatlarına nümunələr daxil edilmişdir:

  • Tətbiqdən istifadə edən insanların tam adları, e-poçt ünvanları, telefon nömrələri və doğum tarixi
  • İş yeri və istifadəçilərin poçt kodu
  • Satılmış məhsullar (etiket, qiymət, ştrix kod və s.) Və Genius vasitəsilə edilən əməliyyatlar haqqında məlumat
  • Satıcılar haqqında məlumat (ad, e-poçt, telefon nömrəsi)
  • Müştərilərə və tədarükçülərə göndərilən veksellər
  • İş ‘inventarı
  • Genius’un həm testi, həm də orijinal dəyərləri
  • Genius vasitəsilə bir qanun layihəsi alan müştərilərin e-poçt ünvanları
  • Genius vasitəsilə edilən işlərin ümumi dəyərləri
  • Business Siret nömrəsi (Fransız iş qeydiyyatı üçün)
  • Daha çox

Aşağıda bir Genius istifadəçisinin gün sonu tətbiqetmədə uzlaşması üçün bir nümunə var (valyuta dəyərləri qəpik olaraq verilmişdir. Məsələn, “10150” = € 101.50). Bu Bir işin həssas məlumatları və maliyyə qeydləri yayımlandığından yalnız bir nümunə: Aşağıdakı nümunədə, bir iş və işçilərindən birinə aid məlumatlar məruz qalır Genius tətbiqində başqa bir hərəkət edərkən: Aşağıdakı nümunədə, bir iş və işçilərindən birinə aid məlumatlar məruz qalır Genius tətbiqində başqa bir hərəkət edərkən: Bu son nümunədə, Müştərinin PII məruz qalır:Genius, digər Avropa ölkələrində olduğu kimi, Fransadakı SMB-lər tərəfindən də istifadə olunur o cümlədən Fransa, Belçika, İsveçrə, İtaliya və İspaniya. Bu kimi verilənlər bazasında Geniusun bir çox fərqli sahədəki istifadəçi bazasındakı qeydlər var bu ölkələrin hər birində və daha çox. Açıqlanan müəssisələrə bəzi nümunələr daxildir:

  • Nilaï – Parisdəki zərgərlik mağazası
  • By164 – Parisdəki bir zərgərlik mağazası
  • Lovat&Yaşıl – İspaniyanın Bilbao şəhərində yerləşən uniseks moda pərakəndə
  • Manta – Çox sayda Avropa ölkəsinə göndərilən Fransız hədiyyə mağazası
  • Louisette – Fransız bir ailənin hədiyyə mağazası
  • MHD Restauration – Kiçik, müstəqil bir restoran

* Qeyd: Lousiette və MHD, Genius’un istifadəçiləridir, veb saytında göstərilən xidmət üçün müsbət rəylər təqdim etdilər. Bundan başqa, öz tətbiqlərinin, məlumat bazasının müştəri istifadəçilərini üzə çıxarmaqdan başqa La Poste işçilərini də təsadüfən həssas etdi. Tədqiqatlar zamanı komandamız La Poste işçilərinin adlarını, e-poçt ünvanlarını və telefon nömrələrini, tətbiqdəki məhsulların “test dəyərləri” ilə yanaşı PII məlumatlarına da baxdı. Bu, çox güman ki, təsirlənmiş işçilərin tətbiqini evdə sınaması ilə əlaqədardır.

Məlumatların pozulması təsiri

Bu məlumat sızması, La Poste və Genius tətbiqini inkişaf etdirənlər üçün məlumat təhlükəsizliyi protokollarının ciddi bir pozulmasıdır. La Poste istifadəçilərinin məlumatlarının qorunması ilə bağlı şəffaflığına görə təqdir oluna bilsə də, komandamızın kəşfi bunu göstərir deyilən məlumatları qorumaq üçün kifayət qədər addım atmadılar. Cinayətkarlar və ya zərərli hakerlər bu məlumatları əldə etsəydilər, olardı təsir edənlərin hamısının məxfiliyi və təhlükəsizliyi üçün ciddi nəticələr.

La Poste və Genius üçün

Bu təbiətin bir sızması olacaq La Poste’nin ümumi məlumat təhlükəsizliyi təcrübələri ilə bağlı suallar verin – yalnız Genius tətbiqində deyil, lakin daha geniş əməliyyatları və törəmə müəssisələr şəbəkəsi daxilində. Bu çatışmazlığı aradan qaldırmaq üçün çalışırıq, Genius’un gələcək müştəriləri tətbiq qəbul etmək istəmirlər öz iş əməliyyatlarına. La Poste, kəşfimizdən sonra Fransanın işgüzar icmalarındakı nüfuzları ilə birlikdə SMB-lərə olan etibarını qorumaq üçün mübarizə apara bilər. Fransanın ən böyük poçt xidməti olaraq, Avropadakı müştəriləri ilə, La Poste Avropa Birliyi və GDPR-nin səlahiyyətindədir. La Poste, xidmət şərtlərində adları olmasa da GDPR-ni tanıyır. Genius istifadəçilərinin və müştərilərin şəxsi məlumatlarını qorumaqla, La Poste qanuni əməliyyat və ya cərimə üçün məsuliyyətə cəlb edilə bilər müvafiq tənzimləyici orqanlar tərəfindən.

Genius İstifadəçiləri üçün

Bu verilənlər bazasına məruz qalan həssas məlumatlar verir Dahi istifadəçilər və onların müəssisələri müxtəlif hücum və fırıldaqçılıq sxemlərinə həssasdırlar. Məsələn, tərəfindən Açılan PII, iş və maliyyə məlumatlarından istifadə edərək cinayətkarlar təsirli фишинг kampaniyaları yarada bilər. Fişinq kampaniyası saxta e-poçtlar yaratmaqdır qanuni müəssisələri və dövlət orqanlarını təqlid etmək, aşağıdakılardan birini yerinə yetirmək üçün hədəfləri aldatmaq üçün istifadə olunur:

  • Şəxsi onlayn hesablara və e-poçt hostinqlərinə parol və istifadəçi adları kimi əlavə məlumatları aşkar edin
  • Kredit kartları və ya onlayn bankçılıq kimi maliyyə hesablarına giriş verin
  • Zərərli proqram, ransomware, casus proqram və viruslar kimi zərərli proqramları daxil edəcək bir linki vurun

Açılan məlumatları seyr edən bir haker bacararsa Genius əməliyyatlarının ortalama dəyərlərini hesablamaqla, istifadəçidən kiçik, artan miqdarda pul oğurlamaq üçün üsullar hazırlaya bilər – ya da bütünlükdə birdəfəlik. Bu oğurlanmış pulların geri qaytarılması uzun, çətin və uğursuz bir proses ola bilər – bir çox SMB sahiblərinin imkanlarından kənarda. Kaçak da potensial olaraq daha çox travmatik bir vəziyyət yaratdı dükan sahibləri üçün fiziki təhlükə. Genius vasitəsi ilə istifadəçilər tərəfindən edilən gün barışıqlarının sonu iş yerinə yaxın olduqları ərazilərdə fiziki nağd pul məbləğlərini aşkar etdi. Bu, potensial oğrulara oğurlanmağın və ya məruz qalmış mağazaya girməyin ən yaxşı vaxtı barədə fikir verir pulu birbaşa binadan oğurlamaq. Sadalanan bütün valyuta cəmi kimi, aşağıdakı kod parçasında, “10150” dəyəri istifadəçinin valyutasında 101.50-ə bərabərdir.

Bundan əlavə, Sızan məlumatlar da bu müəssisələrin müştərilərini üzə çıxardıqları üçün sahibləri məlumatlarını etibarlı saxlamaq üçün Genius’dan istifadə edən müəssisələrə etibar etməyən müştərilərin itkisi ilə üzləşə bilər.. Nəhayət, Genius istifadəçiləri rəqiblərin yalnış hərəkətlərinə qarşı həssas ola bilər. Satış və qiymət məlumatları analitikasına girməklə bir rəqib rəqib təklifləri ilə istifadəçini sarsıda bilər. Bu, müştəriləri məruz qalmış Cins istifadəçisindən uzaqlaşdıra bilər.

Mütəxəssislərin tövsiyələri

La Poste və Genius’un inkişaf etdiriciləri bu sızmanın qarşısını asanlıqla ala bilərdilər verilənlər bazasını qorumaq üçün bəzi əsas təhlükəsizlik tədbirləri görsəydilər. Bunlara daxildir, lakin bunlarla məhdudlaşmır:

  1. Serverlərinizi təhlükəsiz edin.
  2. Düzgün giriş qaydalarını tətbiq edin.
  3. Doğrulama tələb etməyən bir sistemi heç vaxt internetə buraxmayın.

Hər hansı bir şirkət, ölçüsündən asılı olmayaraq eyni addımları təkrarlaya bilər. Biznesinizi necə qorumaq barədə daha dərindən bələdçi üçün veb saytınızı və onlayn verilənlər bazanızı hakerlərdən qorumaq üçün bələdçimizə baxın..

Genius İstifadəçiləri üçün

Onların xidmət şərtlərinə görə, La Poste 48 saat ərzində istifadəçilərə “Şəxsi məlumatların hər hansı pozuntusu” barədə məlumat verməlidir: “Bu çərçivədə [biz] Fərdi Məlumatların bu pozulması ilə əlaqəli şərtlərlə bağlı bütün məlumatları (bizdə) Müştəriyə çatdıracağıq.” İnşallah bu öhdəliyi yerinə yetirəcək və sızıntıdan təsirlənən hər hansı bir tərəfə məlumat verəcəkdir. La Poste Genius’un bir müştərisisinizsə və bu pozuntunun sizə necə təsir edə biləcəyindən narahatsınızsa, La Poste kənar tərəflərlə də narahatlığınızı artırmaq üçün istiqamətlər təklif edir: “La Poste’nin fərdi məlumatları qoruma siyasətinin bir hissəsi olaraq, məlumatları qoruma məmuru, CP C703, 9 Rue polkovnik Pierre Avia, 75015 PARIS ilə əlaqə saxlaya bilərsiniz. Şəxsi məlumatlarınızı idarə etməkdə çətinlik çəkdiyiniz təqdirdə CNIL-ə şikayət edə bilərsiniz. “

SMB sahibləri üçün

Bir SMB sahibisinizsə və məlumatların zəifliyi və oğurluğunun sizin işinizə və müştərilərinizə necə təsir edə biləcəyindən narahatsınızsa, SMBs üçün onlayn məxfiliyə dair tam təlimatımızı oxuyun.. Bu, kiber cinayətkarların kiçik biznesi hədəfə almasının bir çox yolunu və təhlükəsiz qalmaq üçün atacağınız addımları göstərir.

Qəzanı necə və niyə kəşf etdik

VpnMentor tədqiqat qrupu La Poste’nin məlumat bazalarındakı pozuntuları olduğu kimi tapdı nəhəng bir veb Xəritəçəkmə layihəsinin bir hissəsi. Tədqiqatçılarımız müəyyən IP bloklarını yoxlamaq və sistemlərdə açıq deşiklərin zəifliyini yoxlamaq üçün port taramasından istifadə edirlər. Məlumatların sızması üçün hər bir çuxuru araşdırırlar. Məlumat pozuntusu tapdıqda, verilənlər bazasının şəxsiyyətini, habelə sahibini yoxlamaq üçün ekspert üsullarından istifadə edirlər. Daha sonra şirkətdə pozuntular barədə xəbərdarlıq edirik. Mümkünsə, pozuntudan təsirlənən digər tərəfləri də xəbərdar edəcəyik. Tamamilə təmin edilməmiş və şifrələnməmiş olduğu üçün komandamız bu verilənlər bazasına daxil ola bildi. La Poste, adətən URL istifadə üçün nəzərdə tutulmayan bir Elasticsearch verilənlər bazasından istifadə edir. Bununla birlikdə, brauzer vasitəsi ilə daxil olmaq və URL axtarış meyarlarını sxemləri ifşa etməklə idarə edə bildik. Bu veb Xəritəçəkmə layihəsinin məqsədi internetin bütün istifadəçilər üçün daha etibarlı olmasına kömək etməkdir. Etik hakerlər olaraq, onlayn təhlükəsizliyində nöqsanlar aşkar edildikdə bir şirkətə məlumat verməliyik. Bu, şirkətlərin məlumat pozması bu kimi şəxsi məlumatları ehtiva etdikdə xüsusilə doğrudur. Bu etika, eyni zamanda cəmiyyət qarşısında bir məsuliyyət daşımağımız deməkdir. Denius istifadəçiləri məlumat sızmasının onlara necə təsir etdiyini də bilməlidirlər.

Haqqımızda və əvvəlki hesabatlar

vpnMentor dünyanın ən böyük VPN baxış veb saytıdır. Tədqiqat laboratoriyamız, istifadəçilərin məlumatlarını qorumaq üçün təşkilatlara məlumat verərkən onlayn cəmiyyətə kiber təhdidlərdən qorunmasına kömək etməyə çalışan bir xidmətdir. Əvvəllər müştərilərin məlumatlarını AccorHotels şirkətinə məxsus bir fransız otel qrupuna məruz qoyan böyük bir pozuntu aşkar etdik. Müştərilərin məxfiliyinə xələl gətirən fransız uçuş sifariş platforması Option Way tərəfindən də bir məlumat sızması aşkar etdik. Ayrıca VPN Kaçak Hesabatı və Məlumat Gizlilik Statistikaları Hesabatımızı oxumaq istəyə bilərsiniz.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map