Raporti: Shitësi me pakicë popullor në Internet ekspozon klientët në rrjedhën e të dhënave në të gjithë botën


Të udhëhequr nga analistët e sigurisë në internet Noam Rotem dhe Ran Locar, ekipi hulumtues i vpnMentor zbuloi një rrjedhje në një bazë të dhënash që i përket shitësit me pakicë në internet LightInTheBox. Një bazë të dhënash masive, ajo përmbante mbi 1TB të ditareve dhe komprometuan sigurinë e klientëve të LightInTheBox në të gjithë globin. Jo vetëm që kjo është një shkelje e madhe në protokollet e sigurisë së të dhënave të LightInTheBox, por gjithashtu krijon rreziqe të vërteta për ata që preken.

Profili i Kompanisë LightInTheBox

LightInTheBox është një shitës me pakicë në internet me qendër në Pekin, Kinë dhe tregtimi në Bursën e Nju Jorkut si LITB. E themeluar në vitin 2007, LightInTheBox dërgon ndërkombëtarisht, me shumicën e klientëve të saj në Amerikën e Veriut dhe Evropë. Kompania përqendrohet në tre kategori kryesore të shitjes me pakicë: veshje, pajisje të vogla dhe pajisje, si dhe shtëpi dhe kopsht. LightInTheBox është një biznes i madh, duke gjeneruar mbi 12-milion vizitorë mujorë në faqen e saj të flamurit, së bashku me disa ndërmarrje të vogla ndihmëse.

Afati kohor i zbulimit dhe reagimit të pronarit

Ndonjëherë, shkalla e një shkelje të të dhënave dhe pronarit të të dhënave janë të dukshme, dhe çështja zgjidhet shpejt. Por janë të rralla këto kohë. Më shpesh, na duhen ditë hetimi përpara se të kuptojmë se çfarë është në diskutim ose kush po i zbulon të dhënat. Kuptimi i një shkeljeje dhe ndikimi i tij kërkon kohë dhe vëmendje të kujdesshme. Ne punojmë shumë për të botuar raporte të sakta dhe të besueshme, duke siguruar që të gjithë ata që i lexojnë ata e kuptojnë seriozitetin e tyre.

Disa palë të prekura mohojnë faktet, duke mos marrë parasysh hulumtimin tonë ose duke minimizuar ndikimin e tij. Pra, ne duhet të jemi të plotë dhe të sigurohemi që gjithçka që gjejmë është e saktë dhe e vërtetë. Në këtë rast, pasi identifikuam LightInTheBox si pronar të bazës së të dhënave, ne kontaktuam ata për të paraqitur gjetjet tona. Ndërsa nuk morëm përgjigje nga kompania, shkelja e bazës së të dhënave u mbyll pak kohë më vonë.

  • Data e zbuluar: 20/11
  • Kontaktorët e datës kontaktuan: 24/11
  • Data e veprimit: Përafërsisht. 24/11/19

Shembull i hyrjeve në bazën e të dhënave

LightInTheBox nuk jep detaje specifike në lidhje me sigurinë e të dhënave dhe praktikat e ruajtjes së tyre ose masat që ato marrin për të mbrojtur të dhënat e klientëve. Sipas Politikës së tyre të Intimitetit, ata mbrojnë të dhënat e përdoruesve me:… procedurat administrative për të mbrojtur konfidencialitetin e informacionit tuaj personal, siç janë: * Ruajtja e të gjitha transaksioneve financiare të bëra përmes kësaj faqe me encryption Secure Sockets Layer (“SSL”) * Dhënia vetëm e punonjësve të cilët po ofrojnë një shërbim specifik qasje në informacionin tuaj personal * Duke punuar vetëm me ofruesit e shërbimeve të palëve të treta që ne besojmë se sigurojnë në mënyrë adekuate të gjithë pajisjet kompjuterike. Ndërsa biznesi ynë është i dizajnuar me ruajtjen e informacionit tuaj personal në mendje, ju lutemi mbani mend se siguria 100% nuk ​​ekziston aktualisht askund, online ose offline.

Bazuar në zbulimin e ekipit tonë, masat që ata morën ishin të pamjaftueshme. Baza e të dhënave e shkelur përmbante mbi 1.3TB të dhëna, gjithsej mbi 1.5 miliardë rekorde. Baza e të dhënave ishte një regjistër i serverëve në internet – një histori e kërkesave për faqe dhe aktiviteti i përdoruesit në sit që daton nga 9 gusht 2019 deri më 11 tetor. Përveç LightInTheBox.com, ai gjithashtu përmbante të dhëna nga faqet e tyre vartëse, përfshirë MiniInTheBox.com. Shkelja e të dhënave preku klientët në të gjithë botën, me hyrje nga shumë prej vendeve të tyre ndërkombëtare, dhe në gjuhë të shumta. Përmes shkrimet e serverit në internet të ruajtura në bazën e të dhënave, ne kemi parë të dhënat personale të përdoruesit personal që përfshinin:

  • Adresat IP të përdoruesve
  • Vendet e banimit
  • Adresat e postës elektronike
  • Faqet e destinacionit dhe aktiviteti i përdoruesit në faqen e internetit

Copat e kodit vijues tregojnë se si u ekspozuan 3 adresa të veçanta të postës elektronike:

Baza e të dhënave përfshinte të dhëna nga Google të LightInTheBox & Fushata reklamimi Bing Ads.

Ndikimi i thyerjes së të dhënave

Kjo shkelje e të dhënave përfaqëson një humbje e madhe në sigurinë e të dhënave të LighInTheBox. Ndërsa kjo rrjedhje e të dhënave nuk ekspozon të dhëna kritike të përdoruesit, disa masa themelore të sigurisë nuk u morën. Kjo është një kohë e vitit me shumë blerje në internet: E Premte e Zezë, E hënë në internet, Krishtlindje. Edhe një rrjedhje e madhe pa të dhëna përdoruese të të Dhënave të Identifikueshme Personale mund të jetë një kërcënim për kompaninë dhe klientët e saj.

LightInTheBox rrezikon të humbasë biznesin në një kohë të rëndësishme nëse klientët nuk mendojnë se mund t’i besojnë kompanisë për t’i mbajtur të dhënat e tyre private. Bazuar në vlerësimet e përdoruesve të LightInTheBox në Trustpilot, shumë klientë tashmë janë të pakënaqur me përvojat e tyre në faqen e internetit. Duke ekspozuar të dhënat e tyre, LightInTheBox rrezikon humbjen e mëtejshme të biznesit që mund të ndikojë negativisht në të ardhurat e ardhshme.

Për klientët e LightInTheBox

Të dhënat e ekspozuara i bëjnë ata që preken të prekshëm ndaj shumë formave të mashtrimit dhe sulmeve në internet. Me qasje në postat elektronike të përdoruesve, kriminelët në internet mund të krijojnë fushata bindëse të phishing me email që imitojnë LightInTheBox. Me këto email, viktimat mund të mashtrohen në ndonjë nga sa vijon:

  • Klikimi i një lidhjeje që ngërthen softverë me qëllim të keq në pajisjen e tyre
  • Zbulimi i informacionit të ndjeshëm financiar ose personal
  • Sigurimi i letrave kredenciale për llogari private në internet

Ndikimi në një viktimë mund të jetë shkatërrues. Ekziston edhe një rrezik fizik. Me adresën IP të përdoruesit të uebfaqes, ne ishim në gjendje të identifikonim qytetin e tyre të banimit. Nëse një haker kriminel kishte qasje në këtë, së bashku me të dhënat e tjera të ekspozuara, ata mund të mashtrojnë një viktimë në zbulimin e adresës së shtëpisë së tyre, dhe t’i synonte ata për vjedhje dhe plaçkitje në shtëpi Shembulli i mëposhtëm tregon disa nga informacionet shtesë që mund të gjenden duke përdorur adresën IP të dikujt: Me e keqja e te gjithave, kjo shkelje e të dhënave ndodhi në vazhdimin e Krishtlindjeve, kur shumë njerëz do të rezervojnë dhuratat dhe do t’i blejnë potencialisht ato nga LightInTheBox.

Këshilla nga ekspertët

LightInTheBox mund ta kishte shmangur lehtë këtë rrjedhje nëse do të kishin marrë disa masa themelore të sigurisë për të mbrojtur bazën e të dhënave. Këto përfshijnë, por nuk kufizohen vetëm në:

  1. Siguroni serverat tuaj.
  2. Zbatimi i rregullave të duhura të hyrjes.
  3. Asnjëherë mos lini një sistem që nuk kërkon autentifikim të hapur për internetin.

Do kompani mund të përsëris të njëjtat hapa, pa marrë parasysh madhësinë e saj. Për një udhëzues më të thelluar se si të mbroni biznesin tuaj, shikoni udhëzuesin tonë për të siguruar faqen tuaj të internetit dhe bazën e të dhënave online nga hakerat.

Për klientët e LightInTheBox

Mund të kontaktoni direkt me LightInTheBox dhe të zbuloni se si po e zgjidhin këtë çështje dhe të planifikoni të mbroni më mirë të dhënat tuaja në të ardhmen. Nëse jeni një klient i LightInTheBox dhe jeni i shqetësuar për mënyrën sesi kjo shkelje mund të ndikojë tek ju, ose dobësitë e të dhënave në përgjithësi, lexoni udhëzuesin tonë të plotë për privatësinë në internet. Kjo ju tregon shumë mënyra se si kriminelët në internet synojnë përdoruesit e internetit, dhe hapat që mund të ndërmerrni për të qëndruar të sigurt. Ju gjithashtu mund të përdorni një VPN për të fshehur disa nga të dhënat e ekspozuara në LightInTheBox. Një VPN do të maskojë adresën tuaj IP dhe vendin e vendbanimit, duke ju dhënë një shtresë shtesë të mbrojtjes edhe nëse të dhënat tuaja janë lëshuar.

Si dhe pse e zbuluam shkeljen

Ekipi i kërkimit vpnMentor zbuloi shkeljen në bazën e të dhënave të LightInTheBox, si pjesë e një projekti të madh hartografie në internet. Studiuesit tanë përdorin skanimin e portit për të ekzaminuar blloqe të veçanta IP dhe për të provuar vrimat e hapura në sisteme për dobësitë. Ata ekzaminojnë secilën vrimë për të dhënat që dalin. Kur ata zbulojnë një shkelje të të dhënave, ata përdorin teknika ekspertësh për të verifikuar identitetin e bazës së të dhënave. Ne pastaj njoftojmë kompaninë për shkeljen. Nëse është e mundur, ne gjithashtu do të paralajmërojmë ata që preken nga shkelja. Ekipi ynë ishte në gjendje të hynte në këtë bazë të dhënash sepse ishte plotësisht i pasigurt dhe i pakriptuar. Kompania përdor një bazë të dhënash Elasticsearch, e cila zakonisht nuk është e dizajnuar për përdorim URL. Sidoqoftë, ne kemi qenë në gjendje t’i qasemi asaj përmes shfletuesit dhe të manipulojmë kriteret e kërkimit të URL-së në ekspozimin e skemës së bazës së të dhënave. Qëllimi i këtij projekti hartografie në internet është të ndihmojë në bërjen e internetit më të sigurt për të gjithë përdoruesit.

Si hakerë etikë, ne jemi të detyruar të informojmë një kompani kur zbulojmë të meta në sigurinë e tyre në internet. Kjo është veçanërisht e vërtetë kur shkelja e të dhënave të kompanive përmban një informacion të tillë privat. Sidoqoftë, këto etikë nënkuptojnë gjithashtu ne mbajmë një përgjegjësi para publikut. Konsumatorët e LightInTheBox duhet të jenë të vetëdijshëm për një shkelje të dhënash që ndikon gjithashtu në to.

Rreth nesh dhe raportet e mëparshme

vpnMentor është uebfaqja më e madhe në botë për rishikimin VPN. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të ndihmojë komunitetin online të mbrohet kundër kërcënimeve në internet ndërsa edukon organizatat për mbrojtjen e të dhënave të përdoruesve të tyre. Në të kaluarën, ne kemi zbuluar një shkelje në Biostar 2 që komprometoi të dhënat biometrike të mbi 1 milion njerëzve. Ne gjithashtu zbuluam kohët e fundit që një kompani në pronësi të zinxhirit të hoteleve kryesore AccorHotels ekspozoi mbi 1TB të dhëna të të ftuarve. Ju gjithashtu mund të dëshironi të lexoni Raportin tonë të Rrjedhjeve VPN dhe Statistikat e Statistikave të Intimitetit të të Dhënave.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map