Raporti: Shkelja e të Dhënave Lirike të Lirisë ekspozon Detajet e Plota të Kredisë së Konsumatorëve Kanadezë
Ekipi hulumtues i vpnMentor‘ së fundmi e zbuloi atë Freedom Mobile pësoi një shkelje të madhe të të dhënave.
Të udhëhequr nga hacktivists Noam Rotem dhe Ran Locar, studiuesit e vpnMentor zbuluan një shkelje e cila ekspozon deri në 1.5 milion të dhënat personale të përdoruesve aktivë të Freedom Mobile. Freedom Mobile (dikur Wind Mobile) është ofruesi i katërt më i madh i komunikimeve pa tel në Kanada.
Ekipi ynë zbuloi 5 milion regjistrime të pakriptuara, por për arsye etike, nuk e shkarkoi bazën e të dhënave, kështu që nuk mund të sigurojë numra të saktë. Ndërmarrja ka pretenduar që “vetëm” 15,000 regjistrime ishin ekspozuar.
Baza e të dhënave ishte krejtësisht e pambrojtur dhe e pakriptuar. Të dhënat përfshin kartat e kreditit dhe numrat CVV.
Afati kohor i zbulimit dhe reagimit të shkeljes
- 17 Prill: Zbulojmë rrjedhje në bazën e të dhënave të Freedom Mobile.
- 18 Prill: Ne e dërgojmë me email në Freedom Mobile për të informuar kompaninë për shkelje serioze të të dhënave. Nuk merr përgjigje.
- 23 Prill: Ne përpiqemi të kontaktojmë përsëri me Freedom Mobile.
- 24 Prill: Freedom Mobile më në fund u përgjigjet mesazheve.
- 24 Prill: Freedom Mobile mbyllë shkeljen e të dhënave.
Shembuj të hyrjeve në bazën e të dhënave
Ngjashëm me bazën e të dhënave të pambrojtur Elasticsearch të Gearbest, Baza e të dhënave e Freedom Mobile ishte plotësisht e padektriptuar. Ne patem qasje të plotë në më shumë se 5 milion rekorde, duke reflektuar deri në 1.5 milion përdorues.
Këto rekorde duket se pasqyrojnë çdo veprim të ndërmarrë brenda një llogarie të përdoruesit, duke lejuar hyrje të shumta për klient.
Të dhënat personale të ekspozuara përfshijnë:
- adresa e postës elektronike
- numri i telefonit në shtëpi dhe celular
- adresat e shtëpisë
- Data e lindjes
- lloji i klientit
- Adresa IP e lidhur me metodën e pagesës
- karta krediti të pakriptuara dhe numra CVV
- përgjigjet e rezultateve të kreditit nga Equifax dhe korporatat e tjera, me arsye të pranimit / refuzimit
Ne gjithashtu mund të përdorim numrat e llogarisë, datat e pajtimit, datat e ciklit të faturimit dhe regjistrimet e shërbimit të klientit, duke përfshirë vendndodhjet.
Disa hyrje gjithashtu përfshinin të dhëna nga një bazë e të dhënave Equifax. Kjo përfshin informacione për rezultatet e kreditit, klasën e kredisë dhe llogaritë e kartave të kreditit.
Ndikimi i thyerjes së të dhënave
Ironikisht, Freedom Mobile krenohet me ofrimin e niveleve të larta të intimitetit. Evenshtë edhe në bio e tyre në Twitter:
Sidoqoftë, ata në mënyrë të qartë kanë ndarë – dhe mbivendosur – të dhënat e klientëve të tyre.
Pasi zbuluam shkeljen e të dhënave, ne shpejt e njoftuam Freedom Mobile për këtë çështje. Kur ata nuk u përgjigjën menjëherë, ne kërkuam kontakte në një vend tjetër të sigurisë të na ndihmojnë t’i arrijmë ato në rast se postat elektronike shkuan në spam. Ndërsa ata u përgjigjën përfundimisht, ne e dimë se nuk është kështu.
Për arsye etike, ne nuk e shkarkuam bazën e të dhënave, kështu që nuk dimë saktësisht se sa njerëz u prekën.
megjithatë, mund të kemi akses të paktën 5 milion rekorde të pambrojtur. Freedom Mobile ka të paktën 1.5 milion pajtimtarë, dhe ndërmarrja e saj mëmë është në pronësi të Shaw Communications e cila ka më shumë se 3.2 milion konsumatorë në të gjithë Kanada. Kjo mund të jetë shkelja më e madhe që ka përjetuar një kompani kanadeze.
Shtë e rrallë të gjesh një rrjedhje që detajon të dy informacione për kartat e kreditit dhe numrat CVV së bashku, veçanërisht në një shkelje kaq të madhe.
Pasi që kjo rrjedhje e të dhënave përfshin informacione të kartelave të kreditit të pakriptuara, Freedom Mobile është potencialisht në kundërshtim me rregullat e pajtueshmërisë PCI (Kartat e Pagesave). Kjo mund të rezultojë në ndikime serioze në botë reale për kompaninë, si dhe përdoruesit e saj.
Rreziqet e Hacks
Një bazë e të dhënave e mbushur me të dhëna të kartave të kreditit, datat e lindjes, emrat e plotë, adresat dhe numrat e telefonit gjithashtu lejon mashtrimi i kartave të kreditit dhe vjedhja e identitetit. Kjo mund të kushtojë përdoruesve – dhe bankat e tyre dhe kompanitë e sigurimeve – qindra mijëra dollarë.
Një bazë e të dhënave e pakkriptuar e informacionit të personalizuar është një burim i vlefshëm për hakerat. Qasja në adresat, adresat e postës elektronike, numrat e telefonit dhe të dhënat e kredisë mund të ndihmojnë aktorët me qëllim të keq ekzekutoni skema të sofistikuara të phishing.
Informacioni i kredisë gjithashtu lejon shumë sulme të synuara për hakmarrje, pasi aktorët e këqij e dinë se ku mund të kërkojnë çmime të larta.
Edhe përdoruesi më i kujdesshëm nuk mund të mbrohet kundër një kompanie që ruan të dhënat e tyre në një bazë të dhënash të pasigurt. Mënyra më e mirë që gjetëm është të përdorni një kartë të përkohshme, llogari ose numër CVV lidhur me llogarinë tuaj. Shikoni udhëzuesin tonë të plotë për më shumë informacion.
Rreth Nesh dhe Raportet e mëparshme:
vpnMentor është uebfaqja më e madhe në botë për rishikimin VPN. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të bëjë ndihmoni komunitetin online të mbrohet vetë kundër kërcënimeve në internet ndërsa edukoni organizatat për mbrojtjen e të dhënave të përdoruesve të tyre.
Kohët e fundit zbuluam një shkelje të madhe të të dhënave që prek 80 milion familjet e SHBA. Ne gjithashtu zbuluam që Gearbest pësoi një shkelje masive të të dhënave. Ju gjithashtu mund të dëshironi të lexoni Raportin tonë të Rrjedhjeve VPN dhe Statistikat e Statistikave të Intimitetit të të Dhënave.
ju lutem ndajeni këtë raport në Facebook ose cicërojeni atë.