Raporti: Fushata promovuese e duhanit ekspozon të dhënat e përdoruesve rumunë


Ekipi hulumtues i vpnMentor kohët e fundit zbuloi një shkelje të të dhënave në një platformë të internetit Rumune në pronësi të kompani ndërkombëtare e duhanit British American Tobacco (BAT).

BAT është i vendosur në Mbretërinë e Bashkuar. Oneshtë një nga prodhuesit më të mëdhenj në botë të duhanit dhe produkteve të nikotinës.

Të udhëhequr nga studiuesit e intimitetit të internetit Noam Rotem dhe Ran Locar, ekipi ynë gjeti shkeljen e të dhënave në një server të pasigurt të lidhur me platforma në internet YOUniverse.ro. Platforma e internetit është pjesë e një fushate promovuese të BAT Rumania që synon duhanpirësit e rritur.

Nëpërmjet platformës, banorët rumunë mund të fitojnë bileta për festa dhe ngjarje që shfaqin interpretues të njohur vendor dhe ndërkombëtar.

Ligji rumun ndalon shumicën e llojeve të reklamave të duhanit. Sidoqoftë, ligji lejon disa lloje të fushatave promovuese dhe sponsorizime të ngjarjeve që ekskluzivisht synojnë duhanpirësit ekzistues mbi moshën 18 vjeç.

Shkelja e të dhënave përfshin informacion i ndjeshëm personalisht i identifikueshëm (PII) të përdoruesve.

Edhe më shqetësuese është se ekipi ynë zbuloi se serveri i pasigurt ka tashmë është komprometuar nga ransomware.

Megjithë përpjekjet e shumta të ekipit tonë për të zbuluar shkeljen, baza e të dhënave mbeti e hapur dhe e pasigurt për më shumë se dy muaj. Duke filluar nga 22 shtatori, ne u përpoqëm vazhdimisht të kontaktoni kompaninë (dega lokale, si dhe ndërmarrja globale), kompania pritëse e serverit, Autoriteti Kombëtar i Rumanisë për Mbrojtjen e Konsumatorit (ANPC) dhe autoriteti i çertifikimit (CA). E vetmja palë që dëgjuam nga ishte AK. Ne gjithashtu kontaktuam disa gazetarë rumunë duke kërkuar ndihmë për të kontaktuar me kompaninë, por ende nuk kemi marrë një përgjigje.

Që nga 27 Nëntori baza e të dhënave u mbyll përfundimisht, por askush nuk na u përgjigj kurrë.

Shembull i hyrjeve në bazën e të dhënave

Shkelja u zbulua në një server të pasigurt të Elasticsearch të vendosur në Irlandë. Baza e të dhënave e lëshuar përfshin afër 352 GB të dhëna.

Ransomware Attack

Kurdoherë që ekipi ynë hulumtues zbulon një cenueshmëri në një server, shpresa jonë është që asnjë aktor me qëllim të keq nuk e gjeti më parë dobësinë.

Fatkeqësisht, kjo është pikërisht ajo që ndodhi këtu. Në kohën kur ekipi ynë hulumtues zbuloi shkeljen e të dhënave, serveri ishte kompromentuar tashmë nga ransomware.

Ne gjetëm 53 indekse në server, por pothuajse të gjithë ishin bosh. Ka të ngjarë që këto indekse janë krijuar nga hakerat përgjegjës për sulmin e shpërblesës.

Serveri gjithashtu përmbante një skedar readme me një kërkesë për shpërblesë:

BAT Rumania readme

Bazuar në skedarin readme, duket se një haker ose një grup hakerash po kërcënojnë të fshijnë të dhënat nga serveri nëse kërkesat e tyre nuk përmbushen. Hakerat janë duke kërkuar një pagesë të Bitcoin në këmbim të të dhënave.

Shkrime ditore

Edhe pasi u bllokua, serveri prapë përmbante disa të dhëna domethënëse. Ne mund të shikonim regjistrat e përditshëm nga shtatë ditët e kaluara, secila e ruajtur në një indeks të veçantë.

Shkrimet duket se janë regjistrime të komunikimeve http përmes platformës së internetit YOUniverse.

Shembuj të detajeve personale që mund të shohim përfshijnë:

  • emri i plotë
  • email
  • Numri i telefonit
  • Data e lindjes
  • gjini
  • burim IP
  • preferencat e produkteve të cigareve dhe duhanit

Ekzistojnë gjithashtu vlera të brendshme që mund të përmbajnë informacion më të ndjeshëm. Kuptimi i disa prej të dhënave të brendshme ishte i paqartë.

Të dhënat e BAT Rumania 1

Disa nga hyrjet përfshinin mesazhe të shkruara në Rumanisht. Ata duket se janë pyetje të paraqitura nga përdoruesit, të cilët mund të jenë klientë ose bashkëpunëtorë.

Për shembull, disa nga mesazhet kërkojnë ndihmë dhe përshkruajnë probleme me çmimet dhe kodet e shpërblimeve.

Të dhënat e BAT Rumania 2

Në anglisht, mesazhi lexon:

“Mbrëmje e mbarë, në fund të qershorit kam përdorur pikat e përvojës për të kërkuar 2 kupona Doncafe nga 400 lei secila. Mesazhet e konfirmimit për çmimet nuk specifikonin një datë se kur mund të përdoren kodet, por kur u thirra sot për të bërë një rezervim atje, ata më thanë që kishin përfunduar bashkëpunimin me ju. Ju lutem më jepni një zgjidhje për të përdorur 2 kuponat. Faleminderit!”

Baza e të dhënave përmbante edhe disa metadata që lidhen me emailet në dalje që nuk arriti të arrinte marrësin. Këto shënime përmbajnë vetëm metadata, jo përmbajtjen aktuale të mesazheve të postave elektronike.

Ne mund të shohim informacionin e mëposhtëm brenda metadata të postës elektronike:

  • adresa e destinacionit të destinacionit të përdoruesit
  • temë emaili
  • ID e brendshme e përdoruesit

Të dhënat e BAT Rumania 3

Ne gjithashtu mund të shohim adresën e postës elektronike të dërguesit. Domeni i postës elektronike të dërguesit, MereuMaiMult, është i lidhur me BAT Rumania. Mereu mai mult është një frazë Rumune që përkthehet afërsisht “gjithmonë më shumë”. Partshtë pjesë e së njëjtës fushatë promovuese si YOUniverse.

Më shumë informacion mund të ekspozohen

Shumë të dhëna mund të kenë munguar nga serveri për shkak të sulmit të ransomware, kështu ne nuk mund të jemi të sigurt se çfarë informacioni tjetër mund të rrezikohet.

Për të marrë një ide se çfarë lloj të dhënash mund të ketë dalë, ne shikuam politikën e privatësisë që mbulon të gjitha platformat e internetit për fushatën promovuese të BAT Rumania. Këto përfshijnë YOUniverse.ro, aplikacionin celular YOUniverse, Experiencemore.ro, mereumaimult.ro, preprietenie.ro dhe theunseen.ro.

Ne gjithashtu zbuluam letrat kredenciale të hyrjes në një sistem Microsoft Dynamic CRM, duke përfshirë fjalëkalime të pakriptuara. Fatkeqësisht, kjo do të thotë se mund të ketë edhe më shumë të dhëna të ekspozuara. Për arsye etike, ne nuk i kemi përdorur kredencialet e hyrjes, kështu që nuk dimë se cilat informacione janë të arritshme përmes sistemit.

Sipas deklaratës së intimitetit, kompania mbledh dhe përdor informacionin e mëposhtëm kur përdoruesit regjistrohen për ndonjë prej platformave të saj:

  • Emri dhe mbiemri
  • Data e lindjes
  • Numri i telefonit
  • adresa e postës elektronike
  • Vendbanimi
  • preferencat e markës dhe produkteve, përfshirë duhanin e preferuar

Për t’u regjistruar në platformë, përdoruesit gjithashtu duhet të shkruajnë një kod që mund të merret vetëm duke blerë një paketë cigaresh.

Ky kod përdoret për t’u pajtuar me ligjin Rumun. Kompania kërkohet të verifikojë që të gjithë përdoruesit janë duhanpirës aktivë përpara se të mund të marrin pjesë në aktivitetet promovuese.

Për më tepër, deklarata e privatësisë thotë se nëse fitoni një çmim me vlerë mbi një shumë të caktuar, kompania duhet të kërkojë CNP tuaj për deklarimin dhe pagimin e taksës mbi të ardhurat. Kjo është shqetësuese sepse CNP i referohet një numri të kartës kombëtare të identitetit rumun.

Ne nuk gjetëm prova që numrat CNP të përdoruesve ishin të ekspozuar, por ne ishim në gjendje të shikonim vetëm regjistrat ditorë. Shtë e mundur që numrat e identitetit kombëtar të përdoruesve ishin ekspozuar më parë në sulmin e hakmarrësit.

Ndikimi i thyerjes së të dhënave

Shtë e vështirë të vlerësohet numri i njerëzve që mund të ndikohen nga kjo shkelje e të dhënave.

Për shkak të madhësisë së bazës së të dhënave dhe kufijve etikë që na pengojnë të gërmojmë shumë thellë në të dhënat personale, ne nuk mund të jemi të sigurt se sa përdorues mund të preken.

Serveri përmban shkrime për shtatë ditët e mëparshme. Disa nga shkrimet ditore përmbajnë më shumë se 60 milion hyrje, dhe disa shënime përmbajnë grupe të shumta të të dhënave të përdoruesit. Nga ana tjetër, disa hyrje përmbajnë të dhëna të pavlefshme ose kopje.

Shtë e mundur që një numër i madh i përdoruesve kanë privuar nga intimiteti i tyre këtë shkelje të të dhënave.

Mashtrimet dhe sulmet e phishing

Shkelja e të dhënave ekspozoi informacione të kontaktit për një numër të madh të përdoruesve. Emailet e telefonit dhe numrat e telefonit kanë dalë në rrezik njerëzit sulme phishing dhe mashtrime.

Palët me qëllim të keq mund të përdorin detaje të tjera personale nga shkelja e të dhënave për të krijuar sulme të përshtatshme për phishing që synojnë përdoruesit individualë.

Sulmet e phishing mund të marrin formën e postave elektronike që duken të ligjshme. Në realitet, këto email mund të jenë të dizajnuara për të infektoni marrësit me malware ose mashtroni njerëzit në ekspozimin e detajeve të ndjeshme.

Përdoruesit gjithashtu mund të rrezikojnë të bëhen viktima të mesazheve me tekst dhe mashtrimeve telefonike. Në raste ekstreme, hakerat madje mund të mashtronin ofruesit e shërbimeve telefonike për t’i ndihmuar ata të rrëmbenin numrat e telefonit celular të përdoruesve.

Sulmet e suksesshme të phishing dhe mashtrimet që u japin hakerëve qasje në informacione shtesë ose llogari personale madje mund të çojnë në vjedhjet e identitetit.

Konkurrentët dhe reklamuesit

Një çështje tjetër që duhet marrë në konsideratë është pasojat e shkeljes së të dhënave për BAT Rumania dhe konkurrentët e saj. Konkurrentët tani mund të kenë qasje në detajet e klientit të BAT Rumania, përfshirë PII dhe preferencat e duhanit.

Ky informacion mund të ndihmojë konkurrentët që të synojnë në mënyrë efektive duhanpirësit aktiv. Kjo mund të sigurojë një përfitim të madh për konkurrencën e BAT Rumania.

Reklamuesit e palëve të treta gjithashtu mund të përfitojnë nga qasja në të dhënat e përdoruesve që kanë zbuluar. Informacioni mund të përdoret për të krijuar fushata reklamimi shumë të efektshme në shënjestër.

Brenga e privatësisë për duhanpirësit

Shkelja e të dhënave komprometon intimitetin e përdoruesve në një mënyrë tjetër potencialisht të dëmshme.

Për të marrë pjesë në platformë, përdoruesve u kërkohet të dëshmojnë se janë duhanpirësit aktualë duke siguruar një kod që mund të gjendet në një paketë cigaresh..

Shkelja e të dhënave ekspozoi emrat e duhanpirësve aktualë, të cilët mund të mos duan zakonet e tyre të pirjes së duhanit të ekspozuara në botë. Kjo madje mund të ketë pasoja të rënda financiare për përdoruesit. Për shembull, kompanitë e sigurimeve shpesh kanë norma të ndryshme për duhanpirësit.

Nëse dikush pretendon të mos jetë duhanpirës, ​​por kompania e sigurimeve gjen emrin e këtij personi në bazën e të dhënave të lëshuar, përdoruesit mund të tarifohen me një normë më të lartë.

Pasojat e Ransomware

Në realitet, ndikimi i shkeljes së të dhënave mund të jetë shumë më i madh nga sa duket. Fatkeqësisht, serveri i pasigurt tashmë ishte kompromentuar nga ransomware kur ekipi ynë hulumtues zbuloi prekshmërinë.

Për shkak se baza e të dhënave tashmë është përmirësuar, madhësia e vërtetë dhe ashpërsia e ndikimit të shkeljes së të dhënave nuk dihen. Edhe nëse pagesa e kërkesës për shpërblim, nuk ka asnjë mënyrë për të rikthyer me të vërtetë informacionet e dala.

Hakerat mund të rivendosin çdo të dhënë që mungon, por hakerat mund të mbajnë me lehtësi një kopje të të dhënave të ndjeshme të përdoruesit dhe kompanisë.

Një shqetësim tjetër është që serverët e kompanive të tjera mund të preken. Kur kemi ekzekutuar një kërkim në Google me fjalë kyçe nga mesazhi i shpërblesës, gjetëm shembuj të shumëfishtë të serverëve të tjerë që përjetuan të njëjtën sulm shpërblesë, me të njëjtën mesazh fjalë për fjalë.

Kjo mund të nënkuptojë që të dhënat tashmë janë zbuluar dhe tani janë në duart e një organizate kriminale.

Këshilla nga ekspertët

Sulmi i ransomware që zbuluam si pjesë e kësaj shkelje të të dhënave është një shembull i përsosur i rreziqeve të mos sigurimit të serverëve tuaj.

Shkelja e të dhënave mund të ishte parandaluar me disa masa themelore të sigurisë. Në fund të fundit, gjithmonë duhet të mbani në mend praktikat e mëposhtme të sigurisë:

  • Siguroni serverat tuaj
  • Zbatimi i rregullave të përshtatshme për qasje
  • Kërkoni vërtetimin për të hyrë në të gjitha sistemet

Për një udhëzues më të thelluar se si të mbroni biznesin tuaj, shikoni artikullin tonë në si të siguroni uebfaqen tuaj dhe databazën në internet nga hakerat.

Si dhe pse e zbuluam shkeljen

Udhëhequr nga ekspertët e sigurisë Ran dhe Noam, ekipi hulumtues vpnMentor zbuloi këtë shkelje si pjesë e jona projekt i hartës në shkallë të gjerë.

Ekipi ynë hulumtues skanon portet për të gjetur blloqe IP të njohura. Ekipi pastaj kërkon për dobësitë në sistem që do të tregojnë një bazë të dhënash të hapur.

Pasi të gjendet një shkelje e të dhënave, ekipi ynë e lidh bazën e të dhënave përsëri tek pronari. Ne atëherë kontaktoni pronarin, njoftoni ata për cenueshmërinë dhe sugjeroni mënyra se si pronari mund ta bëjë sistemin e tyre më të sigurt.

Si hakerë etikë dhe studiues, ne kurrë nuk shesim, ruajmë ose ekspozojmë informacionin që hasim.

Qëllimi ynë është të përmirësojmë sigurinë dhe sigurinë e përgjithshme të internetit për të gjithë.

Rreth nesh dhe raportet e mëparshme

vpnMentor është uebfaqja më e madhe në botë për rishikimin VPN. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të ndihmojë komunitetin online të mbrohet kundër kërcënimeve në internet ndërsa edukon organizatat për mbrojtjen e të dhënave të përdoruesve të tyre.

Kohët e fundit zbuluam një shkelje të madhe të të dhënave në Ekuador që preku miliona individë. Ne zbuluam gjithashtu një rrjet masiv mashtrimi që synonte Groupon dhe shitësit e biletave në internet.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map