Raporti: Të dhënat e ndjeshme të klientit rrjedhin nga softveri i punës në terren

Ekipi hulumtues i vpnMentor found gjeti një rrjedhje në bazën e të dhënave të softuerit Fieldwork.

Noam Rotem dhe Ran Locar, drejtuesit e ekipit tonë të hulumtimit të sigurisë në internet, gjetën një rrjedhës së të dhënave që i përkasin Punës në terren. Puna në terren ofron softuer të biznesit të vogël për të menaxhuar me efikasitet operacionet e tyre.

Ne gjetëm një sasi të madhe të të dhënave të ekspozuara në shkelje. Kjo përfshinte emrat e klientëve, adresat, numrat e telefonit, adresën e emailit, kodet e alarmit, nënshkrimet, informacionet e klientit, detajet e kartës së kreditit, fotot, dhe komente të tjera të hollësishme. Më e rëndësishmja, ne gjetëm lidhjet automatike të hyrjes që japin qasje në portalin e shërbimit në terren të një përdoruesi. Implikimet e kësaj shkelje janë i gjerë.

Ne kontaktuam me Punët në terren kur zbuluam rrjedhjen. Ata ishin profesionale dhe efikase pasi të keni marrë emailin. Puna në terren e mbylli rrjedhjen 20 minuta pasi u foli atyre.

Shembuj të hyrjeve në bazën e të dhënave

Punimet në terren janë një platformë e menaxhimit të biznesit të tregtuar drejt kontrollit të dëmtuesve, kujdesit të lëndinë, pastrimit të pishinave dhe industrive të tjera të shërbimit shtëpiak. Pronë e Anstar, e cila prodhon produkte të kontrollit të dëmtuesve, softveri ndihmon në gjurmimin e punonjësve që bëjnë thirrje shtëpiake. Portali i klientëve gjithashtu përfshin modele të faturave, ndërfaqe të planifikimit dhe përcjelljen e produktit.

Informacioni i lëshuar në bazën e të dhënave përfshin:

  • Lidhje automatike për hyrje
  • Adresat e postës elektronike të përdoruesve
  • Adresat e postës elektronike të klientëve të tyre
  • Emrat e plotë
  • Numrat e telefonit të klientëve
  • adresat
  • Vendndodhjet GPS
  • Adresat IP
  • Email dhe tekste të dërguara për përdoruesit ose klientët
  • Detajet e faturimit
  • Detaje të plota të kartës së kreditit
  • Fjalëkalime të filtruara
  • Nënshkrimet
  • Fotografitë e vendeve të punës
  • Komente ose udhëzime

Informacioni më i rëndësishëm që zbuluam në bazën e të dhënave ishte një lidhje e hyrjes automatike që i dha kujtdo që të drejtpërdrejtë në sistemin e backend-it të një kompanie. Regjistrimet në sfond përmbajnë informacione të hollësishme dhe të ndjeshme të klientit, si dhe një sasi të gjerë të infrastrukturës administrative të kompanisë.

Pjesa më e madhe e informacionit ishte gjithashtu e pranishme në bazën e të dhënave; megjithatë, ne kemi parë vetëm shkrimet nga 30 ditët e fundit. Bazuar në konfigurimin e të dhënave, baza e të dhënave dukej se ruan regjistrat për jo më shumë se 30 ditë para se t’i dërgonte ato në një sistem tjetër për përpunim ose analizë..

Shtë e mundur bazuar në informacionin tjetër që kemi pasur në bazën e të dhënave që dikush mund të kishte fituar qasje në backend. Edhe kështu, do të kishte qenë një projekt më kompleks.

Ky është një regjistër për një shabllon emaili për hyrjen në portalin Fieldwork. Kjo pjesë e të dhënave përfshinte adresa të postës elektronike që nuk janë të disponueshme publikisht që klientët të shohin. Megjithëse fjalëkalimi nuk është dhënë plotësisht këtu, ai la të hapur mundësinë e gjetjes së informacionit përkatës në pjesë të tjera të bazës së të dhënave.

Ne gjetëm një sasi të gjerë të komunikim i hollësishëm në regjistrat e të dhënave. Kjo email duket se është dërguar nga një kompani e kontrollit të dëmtuesve që përdor softuerin e Fieldwork në një klient të kompanisë. klienti shpalosi katër shifrat e fundit të kartës së kreditit të llogarisë së tyre.

Shtë një proces verifikimi standard që mund të ketë një ndikim negativ bazuar në specifikën e të dhënave të tjera në rrjedhje. Një aktor i keq mund ta kishte përdorur këtë në avantazhin e tyre.

Kjo log tregon se ka edhe foto të arritshme në të dhëna. Ai gjithashtu ekspozoi një përdorues adresa IP.

Kjo foto u lidh në një kovë e hapur Amazon që kemi zbuluar në të dhëna.

Ky regjistër komunikimi jo vetëm që thotë se çfarë ore është takimi, por gjithashtu përfshin udhëzime specifike për hyrjen në ndërtesë. Kjo përfshin shumëfish kode alarmi, kode bllokimi dhe fjalëkalime që u zbuluan nga klienti. Ne gjetëm shkrime të tjera që përfshinin komente se ku klientët fshehin çelësat e tyre.

Shumë prej kompanive që përdorin Punimet në terren kanë adresa publike, por këto të dhëna gjithashtu japin informacione për klientët e tyre që kompanitë nuk do t’ia zbulojnë publikut. Ai gjithashtu siguron numrin e licencës së kompanisë.

Ky regjistër fsheh fjalëkalimin, por na jep qartë adresat e postës elektronike shoqëruar me një llogari. Bazuar në informacionet në rekordet e tjera, është e mundur që një aktor i keq të mund të përdorë akreditimet që mungojnë.

Edhe pa ndonjë identifikim të klientit, numri i plotë i kartës së kreditit, me një Data e skadencës dhe a Numri CVV ishte e dukshme.

Ndikimi i thyerjes së të dhënave

Atje ishte një sasi e gjerë informacioni të përfshira në të dhëna, edhe sikur të ishin të disponueshme vetëm 30 ditë shkrimet. Megjithëse Punimet në terren filtruan fjalëkalime në disa vende, disa nga shabllonet që ne shikuam dhanë informacione të hollësishme në lidhje me gjetjen e letrave kredenciale. Ne gjithashtu kishim qasje falas në një lidhje lidhëse automatike që ishte përfshirë në bazën e të dhënave. Kjo lejonte hyrjen në portalin e klientëve.

Qasja në portal është a informacion veçanërisht i rrezikshëm. Një aktor i keq mund të përfitojë nga kjo qasje jo vetëm duke përdorur të dhënat e detajuara të klientit dhe administratës të ruajtura atje. Ata gjithashtu mund të mbyllni kompaninë nga llogaria duke bërë ndryshime në backend. Edhe nëse ka pasur hapa të vërtetimit të përfshirë në ndryshimin e informacionit për hyrjen, është e mundur që disa nga këto informacione të ishin të pranishme në bazën e të dhënave të hapur.

Për më tepër, nëse lidhjet e hyrjes ishin të lehta për t’u organizuar, dikush me qëllim të gabuar mund t’i shpëtonte lehtë ato. Në atë rast, nuk do të kishte rëndësi nëse baza e të dhënave ishte e mbyllur. Ata do të kishin akoma hyrje të drejtpërdrejtë në një numër të madh llogarish. Ruajtja e kredencialeve të llogarisë tjetër në bazën e të dhënave ishte gjithmonë një mundësi, por do të ishte një detyrë më shumë kohë dhe sfiduese. Qasja në portalin e backend-it do të thotë që dikush mund hapni regjistrimet e një kompanie në çdo kohë, edhe pasi Puna në terren e rregulloi këtë shkelje.

Ka një sasi të konsiderueshme të të dhënat e vendndodhjes regjistruar në bazën e të dhënave, e cila, e kombinuar me hyrjen në portal, ka pasoja të rënda. Kjo hap mundësinë e vjedhje ose sulme brenda personit. Jo vetëm që kemi adresat e biznesit dhe koordinatat GPS, por gjithashtu kemi përshkrime të hollësishme se si të hyni në një ndërtesë ose zyrë. Për shkak se klientët zbuluan hapur kodet e alarmit ose si të përdorin tastet e tyre, mund të kishte pasojat e sigurimit gjithashtu. Kompanitë e sigurimeve mundën pavlefshme një politikë nëse pakujdesia e mbajtësit të politikës shkaktoi një prishje.

Fotografitë që ishin të shikueshme në kovën e fotografive në Amazon mund të kishin shërbyer si konfirmim i mëtejshëm i një lokacioni. Ata gjithashtu mund të kenë bëri të ditur që një klient kishte një inventar të vlefshëm. Me informacionin e vendndodhjes, një hajdut mund të pushoni në të pazbuluarat dhe zbrisni me stokun e klientit.

Nëse ndonjë prej këtyre sulmeve do të kishte ndodhur bazuar në shkeljen e të dhënave, do të ishte thellësisht ndikojnë në kompanitë që janë mbështetur në Punën në Fushë për ndërtimin e biznesit të tyre. Për fillestarët, një shkelje mund minojnë ato besimi i klientëve. Kjo mund të çojë në klientët që punësojnë një kompani konkurruese që nuk përdori softuer të rrjedhshëm për të mbrojtur veten më mirë.

Me të pa filtruar informacione për kartën e kreditit regjistruar në bazën e të dhënave dhe në portal, është shumë e lehtë për një lojtar me qëllim të keq ngre akuza mashtruese në këto karta krediti. Kompanitë e kartave të kreditit kërkojnë që të dhënat e ndjeshme të kartelave të kodohen fuqishëm ndërsa një numër CVV nuk duhet të ruhet pas vërtetimit, sipas rregullave të PCI. Ne kishim qasje në të gjitha kredencialet e nevojshme për të bërë një blerje apo edhe për të kopjuar një kartë. Në të dhënat që ne gjetëm, ishte e paqartë nëse këto numra karta u përkisnin kompanive që përdorin Punimet në terren ose klientëve të tyre. Sidoqoftë, qasja në portal e bën të thjeshtë përcaktimin.

Jashtë aksesit të drejtpërdrejtë në portal, kredencialet që ne bëmë gjithashtu mund të kishin një ndikim jashtë llogarisë së Punës në Fushë. Kredencialet nga një llogari shpesh mund të përdoren për të hyrë në një llogari tjetër. Kur kemi emra dhe adresa të plota, ne mund të ndërtojmë një pamje të një përdoruesi. Një aktor i keq mund të marrë këtë informacion për të mbledhur më shumë të dhëna. Ata më pas mund të përdorin këtë informacion për të vjedhur identitetin e një personi. Disa madje mund të hapnin llogari të reja në emër të një përdoruesi.

Një rrezik i ekspozimit të adresave të emailit përfshin lojtarët me qëllim të keq duke i përdorur ato për sulme phishing. Nëse lista e klientëve të një kompanie mund të shihet së bashku me adresën e postës elektronike të kompanisë, është edhe më lehtë mashtroni klientët në hapjen e një emaili që përfshin malware. Kjo mund u japin hakerëve hyrje të drejtpërdrejtë me një sistem që nuk kishte lidhje me këtë bazë të dhënash të hapur. Kompanitë kanë një detyrim moral të mbajnë të sigurt të dhënat e klientëve të tyre. Në këtë rast, asnjë kompani që përdor Fushën Punuese nuk e mbështeti këtë.

Kur hakerat mund të depërtojnë në një sistem, ata kanë shumë mundësi për ta. Mbyllja e operacioneve do t’i kushtojë kompanisë sasi të konsiderueshme parash. Një haker mund të shesë të dhëna të vjedhura në një kompani konkurruese. Punët në terren i shesin produktet e saj në bizneset e vogla, të cilat kanë më pak burime financiare në dispozicion nëse ato mbyllen nga një hack.

Së fundmi, ne zbuluam nënshkrime në të dhëna. nga kopjimi i formës së një firme, një aktor i keq ka një mjet tjetër për të kryejnë vjedhje identiteti përmes falsifikimit. Shumica e nënshkrimeve digjitale lidhen me një adresë IP. Sidoqoftë, nëse kemi të gjitha kredencialet e një përdoruesi, duke përfshirë numrin e kartës së kreditit, adresën IP dhe nënshkrimin, detyra e falsifikimit është thjeshtuar.

Këshilla nga ekspertët

Atje jane disa hapa të thjeshtë Puna në terren mund të kishte marrë për të mbrojtur bazën e të dhënave të saj që nga fillimi. Këtu janë disa këshilla të ekspertëve për të parandaluar ose rregulluar një shkelje në një bazë të dhënash.

  1. Siguroni serverat tuaj.
  2. Zbatimi i rregullave të duhura të hyrjes.
  3. Asnjëherë mos lini një sistem që nuk kërkon autentifikim të hapur për internetin.

Për një udhëzues më të thelluar se si të mbroni biznesin tuaj, shikoni se si të siguroni uebfaqen tuaj dhe bazën e të dhënave online nga hakerat.

Si e zbuluam shkeljen

Ekipi ynë hulumtues zbuloi këtë rrjedhje të të dhënave në hollësitë tona projekti i hartës në internet. Kryesuar nga Ran dhe Noam, ata skanojnë porte për blloqe IP të njohura. Nga atje, skuadra mund të kërkojë hapjet në sistem. Pasi gjetën një rrjedhje, ata përdorin njohuritë e tyre të konsiderueshme për sigurinë në internet konfirmoni identitetin e bazës së të dhënave.

Sa herë që zbulojmë një shkelje, ne kontaktoni pronarin të bazës së të dhënave për t’i paralajmëruar ata për të dhënat e rrjedhjeve. Nëse është e mundur, ne gjithashtu do të informojmë të tjerët të prekur nga hapjet në sistem. Qëllimi ynë me këtë projekt është të krijojmë një më të sigurt dhe më të sigurt internet për përdoruesit kudo.

Rreth nesh dhe raportet e mëparshme

vpnMentor është uebfaqja më e madhe në botë për rishikimin VPN. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të bëjë ndihmoni komunitetin online të mbrohet vetë kundër kërcënimeve në internet ndërsa edukoni organizatat për mbrojtjen e të dhënave të përdoruesve të tyre.

Kohët e fundit zbuluam një shkelje masive të të dhënave që prek 78 mijë pacientë që morën Vascepa. Ne gjithashtu zbuluam që xSocialMedia pësoi një shkelje të gjerë të të dhënave. Ju gjithashtu mund të dëshironi të lexoni Raportin tonë të Rrjedhjeve VPN dhe Statistikat e Statistikave të Intimitetit të të Dhënave.

ju lutem ndajeni këtë raport në Facebook ose cicërojeni atë.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me