ანგარიში: მონაცემები გაჟონა ინდოეთის ფინანსური მომსახურების ორი საიტიდან

VpnMentor- ის კვლევითი ჯგუფის მიერ დადგენილი მკვლევარების ნოამ როტემისა და რან ლოკარის ხელმძღვანელობით დარღვევები საკრედიტო სამართლიანი და Chqbook მონაცემთა ბაზაში, ორი ინდოეთის პირადი საკრედიტო და სესხთან დაკავშირებული მომსახურება.

საკრედიტო სამართლიანი გთავაზობთ მომხმარებლებს წვდომას მცირე პერსონალურ სესხებზე. Chqbook- ზე მომხმარებლებს შეუძლიათ შეადარონ პირადი ფინანსური პროდუქტები, როგორიცაა სესხები და საკრედიტო ბარათები, მათი პირადი გარემოებიდან და ფინანსური მდგომარეობიდან გამომდინარე. ორივე ვებსაიტს მომხმარებლებს სთხოვენ მნიშვნელოვანი პერსონალური და ფინანსური დეტალების წარდგენა, რომლებიც არასწორი ხელში გამოყენების შემთხვევაში, შეიძლება გამოყენებულ იქნეს მრავალი უკანონო გზით.

ჩვენმა გუნდმა აღმოაჩინა დაუცველობები ვებსაიტების მონაცემთა ბაზაში რამაც მის მომხმარებელთა უზარმაზარ რაოდენობას მიაღწია და ფინანსური დეტალები.

მონაცემთა ბაზები იყო დაშიფრული და მთლიანად არაუზრუნველყოფილი, ორივე კომპანიის მომხმარებლებისთვის დიდი რისკის შექმნაა.

აღმოჩენა და მფლობელის რეაქცია

ჩვენმა ჯგუფმა გაჟონვები აღმოაჩინა 24 ივლისს. საბედნიეროდ, Chqbook– მა 48 საათში დახურა თავისი გაჟონვა. ამასთან, როგორც წერს, საკრედიტო სამართლიანი გაჟონვა რჩება ღია (31 ივლისი).

ჩვენ ასევე დავუკავშირდით ორივე კომპანიას, რათა მათ მივაწოდოთ ინფორმაცია მონაცემთა დარღვევის შესახებ.

მონაცემთა ბაზაში შესვლის მაგალითები

ორივე საკრედიტო სამართლიანი და Chqbook მოითხოვს მომხმარებლებს შექმნან ანგარიშები და გაზიარონ მნიშვნელოვანი პირადი და ფინანსური ინფორმაცია მათ ვებსაიტებზე. 

ყველა ეს ინფორმაცია იყო მასპინძლობდა დაუცველ მონაცემთა ბაზებზე, რომლებზეც ჩვენს გუნდს ადვილად შეეძლო წვდომა. ქვემოთ მოცემულია კლიენტის დეტალების მაგალითები, რომელთა მოძიებაც შეგვიძლია.

საკრედიტო სამართლიანი (44,000 ჩანაწერი):

  • Სრული სახელი
  • Ტელეფონის ნომერი
  • მისამართი
  • დაბადების თარიღები
  • დეტალური ინფორმაცია სესხების შესახებ (თანხა, სტატუსი, განაკვეთი, შექმნის თარიღი, განმცხადებლის სახელი)
  • PAN ნომერი – ინდოეთის პირადობის მოწმობა
  • IP მისამართი 
  • სხდომის ნიშანი 
  • AADHAAR – ინდოეთის პირადობის ნომერი (https://uidai.gov.in/)
  • ტექსტური პაროლები (არ მუშაობს) 
  • ბმულები თაღლითობის შესახებ

Chqbook (67 GB მონაცემების გაჟონა):

  • Სრული სახელი
  • Ტელეფონის ნომერი
  • მისამართი
  • Ელექტრონული მისამართი
  • Საკრედიტო ბარათის ნომერი
  • ბარათის ვადის გასვლის თარიღი
  • ბარათის ტიპი
  • გარიგების თანხები
  • მომხმარებლის იდენტიფიკაცია
  • ტექსტური პაროლები
  • სხდომის ნიშანი
  • SMS გაგზავნის შესაძლებლობა
  • Თვიური შემოსავალი
  • გენდერი
  • Დაბადების თარიღი 
  • Ქალაქის სახელი
  • დასაქმების პროფილი

თუ ეს ყველაფერი დაუცველი ინფორმაცია იქნებოდა, მავნე აგენტებს და კრიმინალებს ექნებოდათ ინდივიდუალური მომხმარებლის პირადი ფინანსური ჩანაწერების მნიშვნელოვანი სურათი. ამ ინფორმაციის გამოყენება შეიძლება მავნე და უკანონო გზით. 

საკრედიტო სამართლიანი ჩანაწერის მაგალითი

მონაცემთა დარღვევის გავლენა

პირადობის თაღლითობა

ამ მონაცემთა ბაზაში მოცემული ინფორმაციის გამოყენება შეიძლება შექმენით საკრედიტო ბაზრის ან Chqbook მომხმარებელთა სრული პროფილის შექმნა. მავნე მსახიობებს შეეძლოთ ამის გამოყენება მომხმარებელთა ვინაობის მოპარვა. ორივე მონაცემთა ბაზაში შედიოდა სრული სახელები, ელ.ფოსტა, ფიზიკური მისამართები, პირადობის მოწმობის ნომრები და მრავალი სხვა. 

კრიმინალებს შეეძლოთ ადვილად შექმნით ანგარიშებს სხვადასხვა ვებსაიტებზე რიგი ონლაინ საქმიანობისთვის, იურიდიული და სხვაგვარად, ეს იქნებოდა მნიშვნელოვნად დაგიჯდებათ მომხმარებლები. მათაც შეეძლოთ აიღეთ მომხმარებელთა ანგარიშები როგორც საკრედიტო სამართლიანი, ასევე Chqbook, ხარჯებს თითოეული ბიზნესი დიდ გამოძიებას, ანგარიშების აღდგენასა და შემოსავალს. 

ანგარიშის აღებას

ანგარიშის აღება პირადობის თაღლითობის ფორმაა, რომლის თანახმად, მომხმარებლები და კომპანიები, როგორიცაა საკრედიტო სამართლიანი და Chqbook, ძალიან დაუცველი იქნებიან ამ მონაცემების დარღვევის საფუძველზე.. 

თუ მსხვერპლის ანგარიშზე წვდომა შესაძლებელია, მათი დეტალების შეცვლა ან გარიგებები შეიძლება გაკეთდეს მათი სახელით. მომხმარებელს მოუწევს გადაიხადოს თაღლითობისთვის, მაგალითად, თაღლითური სესხის აღებით.

კრიმინალურ ჰაკერს შეუძლია შეცვალოს საბანკო ანგარიში საკრედიტო სამართლიანი მომხმარებლის მომხმარებელზე ანგარიში ერთი მათგანი. ჰაკერს მაშინ შეეძლო აიღეთ სესხი და გადარიცხეთ იგი მათ საბანკო ანგარიშზე. დაზარალებულს, რომლის საკრედიტო სამართლიანი ანგარიშის გამოყენება ჰქონდა, ახლა უნდა გადაიხადოს ეს სესხი. 

ანალოგიურად, Chqbook მომხმარებლის ანგარიში შეიძლება გამოყენებული იქნას სხვა პირის სახელით საკრედიტო ბარათების შესაძენად. ამის შემდეგ ისინი პასუხისმგებელნი იქნებოდნენ ამ ბარათზე გაკეთებული თაღლითური შესყიდვების შესახებ. 

ფიშინგი

ამ მონაცემების გამოყენება შეიძლება შექმენით რთული, არალეგალური ფიშინგური კამპანიები, რომლებიც მიზნად ისახავს Chqbook და საკრედიტო სამართლიანი მომხმარებლების მოტყუებას. ფიშინგი გულისხმობს თაღლითობის ელ.ფოსტის გაგზავნას, რომელიც აცხადებს კონკრეტული ბიზნესის ან სამთავრობო სააგენტოდან, მსხვერპლისგან ფინანსური ინფორმაციის მოპოვების მიზნით.. 

მიუხედავად იმისა, რომ ღიაა, საკრედიტო სამართლისა და Chqbooks– ის მონაცემთა ბაზებს შეეძლოთ მნიშვნელოვანი მონაცემების მიწოდება კრიმინალებამდე. ისინიც შეიძლება იყვნენ წარმოუდგენლად სპეციფიკური და დამაჯერებელი ფიშინგის ელ ნებისმიერი ბლანკის შევსება. 

შანტაჟი და გამოძალვა 

უამრავი ინფორმაცია, რომლის საშუალებითაც ჩვენს გუნდს შეეძლო წვდომა, არის ა პირადი და მგრძნობიარე ბუნება. 

ჩვენ შეგვიძლია ვნახოთ მომხმარებლები ‘ საკრედიტო და დასაქმების სტატუსი, მიიღეს თუ არა ისინი სესხებზე და მათი მთავრობის პირადობის ნომრები. 

ამ პირადი ინფორმაციის არა მხოლოდ შეიძლება იყოს შემაძრწუნებელი, არამედ ის შეიძლება იყოს მიზნობრივი მომხმარებლებისთვის პირადად მრავალი გზით. თუ მომხმარებელს უარი ეთქვა სესხისთვის რომელიმე ამ საიტზე, კრიმინალური სესხის ზვიგენებმა შეიძლება გამოიყენონ ეს დაუცველობა, რათა მათ ზეწოლა მოახდინონ საშიში, უკანონო სესხებზე. მათი პირადი ფინანსური დეტალები შეიძლება იქნეს გამოსასყიდი, ხოლო მომხმარებლებმა ფულის გამოძალვა, მათი ფინანსური მდგომარეობის საჯაროდ გამოსაყენებლად მუქარის გამოყენებით. 

ორივე მონაცემთა ბაზაში უამრავი ადამიანი იყო მთავრობის თანამშრომლები. კრიმინალური ბანდები განსაკუთრებით დაუნდობლები არიან იმ ადამიანების გამოძალვაში, რომლებიც მთავრობაზე მუშაობენ ისინი განსაკუთრებით მიზანშეწონილად მიიჩნიეს ინფორმაციისა და პოტენციური ათვისებისთვის. მთავრობები ხშირად იღებენ ძლიერ ზომებს, რომ დაიცვან თავიანთი თანამშრომლები მტაცებლური ბანდებისგან, რაც კიდევ უფრო შემაშფოთებელია ეს დარღვევა. 

რეკლამები და თაღლითური მხატვრები ასევე შეგიძლიათ გამოიყენოთ მომხმარებლის პროფილები შესაქმნელად ზუსტად მიზნობრივი, მანიპულირებადი და ექსპლუატაციული სარეკლამო კამპანიები სოციალურ მედიაში დაუცველ მომხმარებლებზე პროდუქციის ან მომსახურების გაძევება. მაგალითად, ვინმეს ცოდნა ფინანსური ზეწოლის ქვეშ არის, მათ შეეძლოთ მაღალი საპროცენტო სესხების შეცვლა შეცდომაში შემყვანი ან საეჭვო ტაქტიკით.

ჩკბუკის ჩანაწერის მაგალითი

გაჟონვის ფიზიკური საფრთხეები

ასევე არსებობს ფიზიკური საფრთხეები. 

ორივე მონაცემთა ბაზა შეიცავს ფიზიკური მისამართები, ტელეფონის ნომრები და მომხმარებელთა სახელები. მათ ასევე შეუძლიათ დაზოგონ ინფორმაცია მომხმარებლის წმინდა ღირებულება სესხის თანხების, ხელმისაწვდომი კრედიტის და მათ მიერ შეძენილ ფინანსურ პროდუქტებზე დაყრდნობით. 

ეს ქმნის რეალურ ფიზიკურ საფრთხეს, რადგან მონაცემთა ბაზებთან წვდომის მსურველებს შეუძლიათ გამოიყენონ ისინი სამიზნე ოჯახები ყაჩაღობისთვის მათი სიმდიდრის სტატუსის მიხედვით. ტელეფონის ნომრების და ელექტრონული ფოსტის გამოყენებით, ქურდებს შეუძლიათ უშუალოდ დაუკავშირდნენ მომხმარებლებს შეიმუშაონ, როდესაც ისინი არ არიან სახლი და აირჩიონ შესაფერისი დრო თავიანთ სახლებში შესასვლელად. 

რჩევა ექსპერტებისაგან

აქ წამოჭრილი საკითხები და პრობლემები არავითარ შემთხვევაში არ არის დასაბუთებული. ამ მონაცემთა ბაზაში არსებული დარღვევები ფართო გავლენას ახდენს Chqbook- ისა და საკრედიტო სამართლის მომხმარებლებისთვის და თავად ბიზნესებისთვის. 

ეს დაუცველობებია მრავალი საფრთხის მხოლოდ ორი მაგალითი ყველასთვის, ვინც იყენებს ონლაინ ფინანსურ ინსტრუმენტებს ან ვებსაიტებს. 

თუ თქვენ გაინტერესებთ, კონკრეტულად რა არღვევს ამ დარღვევებს ან ზოგადად მონაცემების დაუცველობებს, თქვენს საიტზე ან ბიზნესზე, წაიკითხეთ ჩვენი სრული სახელმძღვანელო ონლაინ კონფიდენციალურობის შესახებ. ეს გიჩვენებთ იმ გზებს, რომელთა საშუალებითაც შეგიძლიათ გაითვალისწინოთ კიბერდანაშაულები და ა.შ. ნაბიჯები, რომელთა გადადგმაც შეგიძლიათ უსაფრთხოდ. 

როგორ და რატომ აღმოვაჩინეთ ეს დარღვევა

ეს დარღვევა აღმოვაჩინეთ ა ვებ რუკების პროექტი. ჩვენი ჰაკერები იყენებენ პორტის სკანირებას კონკრეტული IP ბლოკების შესამოწმებლად და სისუფთავე სისტემების ღია ხვრელების შესამოწმებლად. ისინი ამოწმებენ თითოეულ ხვრელს მონაცემების გაჟონვისთვის. 

ჩვენმა გუნდმა აღმოაჩინა, რომ ორივემ საკრედიტო სამართლიანი და Chqbooks– ის მონაცემთა სრული მონაცემთა ბაზა დაუცველი და აშიფრული იყო. საკრედიტო სამართლიანი იყენებს Mongo მონაცემთა ბაზას, ხოლო Chqbook იყენებს ელასტიური ძიებას, რომელთაგან არცერთი დაცული არ იყო პაროლით ან ბუხრით.

თუმცა, ჩვენ შევძელით მას წვდომა ბრაუზერის საშუალებით და მანიპულირეთ URL- ის ძიების კრიტერიუმებით ნებისმიერ ინდექსში სქემების გამოქვეყნებიდან. 

როგორც ეთიკური ჰაკერები, ჩვენ ვალდებულნი ვართ ვუკავშირდებით ვებსაიტებს, როდესაც უსაფრთხოების ნაკლოვანებებს აღმოვაჩენთ. ეს განსაკუთრებით ეხება იმ შემთხვევაში, როდესაც კომპანიის მონაცემების დარღვევა აისახება ამდენ ადამიანზე – ხოლო კრედიტის სამართლიანი და Chqbook შემთხვევაში, ამ საკითხმა ყოველდღე ათასობით ადამიანი იმოქმედა.

ამასთან, ეს ეთიკა ნიშნავს ჩვენ პასუხისმგებლობას ვაკისრებთ საზოგადოებას. საკრედიტო სამართლიანი და Chqbook მომხმარებლებმა უნდა იცოდნენ იმ რისკების შესახებ, რომლებიც მათ აყენებენ საიტების გამოყენებისას, რომლებიც არ ცდილობენ თავიანთი მომხმარებლების დასაცავად.

ჩვენს შესახებ და წინა მოხსენებები

vpnMentor არის მსოფლიოს უდიდესი VPN მიმოხილვის ვებ – გვერდი. ჩვენი კვლევის ლაბორატორია არის პრო ბონო მომსახურება, რომელიც ცდილობს ონლაინ საზოგადოებას დაეხმაროს თავი დაიცვას კიბერ საფრთხეებისაგან, ხოლო ორგანიზაციებს ატარებს საკუთარი მომხმარებლების მონაცემების დაცვაში..

ჩვენ ცოტა ხნის წინ აღმოვაჩინეთ მონაცემთა უზარმაზარი დარღვევა, რაც გავლენას ახდენს 80 მილიონი აშშ-ს ოჯახზე. ჩვენ ასევე აღმოვაჩინეთ, რომ Gearbest– მა მიიღო მონაცემების მასიური დარღვევა. თქვენ ასევე შეგიძლიათ წაიკითხოთ ჩვენი VPN გაჟონვის ანგარიში და მონაცემთა კონფიდენციალურობის სტატისტიკის ანგარიში.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me