ანგარიში: ფრენის დაჯავშნის პლატფორმა გამოავლენს მომხმარებელთა მონაცემებს


VpnMentor- ის გუნდმა ახლახან აღმოაჩინა ინტერნეტის კონფიდენციალურობის მკვლევარებმა ნოამ როტემ და რან ლოკარმა ფრენების დაჯავშნის ვებსაიტზე “მონაცემთა გზა” უზარმაზარი დარღვევაა. 

საფრანგეთში დაფუძნებული საერთაშორისო სამომხმარებლო ბაზა, Option Way ეხმარება მომხმარებლებს იპოვონ ფრენის გარიგებები მთელს მსოფლიოში და მიმართულებით. 

მონაცემთა დარღვევა გამოავლინა მომხმარებელთა პირადი ინფორმაცია, შექმნა სრული პროფილის შექმნა, ასევე დეტალური ინფორმაცია ფრენების და მოგზაურობის შესახებ. მთლიანობაში ჩვენს გუნდს ჰქონდა წვდომა 100 გბ-ზე მეტი მონაცემი, Option Way და მისი მომხმარებლების კონფიდენციალურობის და უსაფრთხოების კომპრომეტირება. 

აღმოჩენის დროისა და მფლობელის რეაქციის ვადები

  • აღმოჩენილი თარიღი: 20/08/19
  • თარიღი გამყიდველები დაუკავშირდნენ: 25/08/19
  • რეაგირების და გაჟონვის თარიღი დახურულია: 29/08/19

მონაცემთა ბაზაში შესვლის მაგალითები

მათ ვებსაიტზე Option Way აცხადებს შემდეგს:

”  www.Option Way.com ვებსაიტზე დაცულია SSL სერთიფიკატი. 

როდესაც თქვენს პირად მონაცემებს შეიყვანთ, ის დაშიფრულია და ინახება და გარიგების გაკეთების საშუალებას გაძლევთ. თქვენი პერსონალური მონაცემების დამუშავება ხდება CNIL- ის (საფრანგეთის მონაცემთა დაცვის ორგანოს) მიერ მითითებულ რეკომენდაციების შესაბამისად. ”

თუმცა, ეს არ შეესაბამება სიმართლეს. 

ჩვენს გუნდს შეეძლო 100 გბ – ზე მეტი მონაცემის წვდომა, მომხმარებელთა მასიური ოდენობა, რაც არ არის დაშიფრული პირადად, იდენტიფიცირებადი ინფორმაციის (PII).

ჩვენ მიერ ნახული პირადი დეტალების მაგალითები მოიცავდა: 

  • მომხმარებლის სახელები
  • Დაბადების თარიღი
  • გენდერი
  • Ელექტრონული ფოსტის მისამართები
  • Ტელეფონის ნომრები  
  • Სახლის მისამართი & საფოსტო ინდექსი
  • ფრენის გამგზავრების და დაბრუნების ვადები 
  • მიმართულებები 
  • ფრენის ფასები

ქვემოთ მოცემულია მონაცემების მაგალითი, სადაც მოცემულია მომხმარებლის ელ.ფოსტის მისამართი.

ქვემოთ მოცემულია მონაცემების მაგალითი, სადაც მოცემულია დეტალები მომხმარებლის შესახებ:

ვარიანტი გზა ასევე ხელმისაწვდომი იყო მომხმარებლების ელ.ფოსტის მისამართები “არასწორი პაროლის” გადატვირთვის ბმულების შედეგად. ამ დაუცველობამ ფართო მონაცემთა ბაზა დაავალა პოტენციურ ჰაკებსა და ვარიანტების მომხმარებლებს ბევრი შესაძლო თაღლითობისკენ.

გაჟონა მონაცემთა ბაზამ გავლენა მოახდინა Option Way მომხმარებლებზე ბევრ ქვეყანაში. სწრაფად დაათვალიერეთ ფაილები, ჩვენ დაათვალიერეთ მომხმარებლის დეტალები ქვეყნებიდან, რომელშიც შედის:

  • საფრანგეთი
  • ბელგია
  • ალჟირი
  • შვეიცარია
  • ავსტრია

ჩვენ არ გვაქვს ეჭვი, რომ შემდგომი გამოძიების შემდეგ, ეს სია ბევრად გრძელი იქნებოდა.

ყველა ამ მონაცემის გაერთიანება ქმნის Option Way მომხმარებლების სრულ მომხმარებლის პროფილს, მათ ხდის მათ დაუცველია კიბერდანაშაულისა და თაღლითობის სხვადასხვა ფორმების მიმართ.

Option Way კომპანიის დეტალები

მათი მომხმარებლების გარდა, მონაცემთა დარღვევამ ასევე კომპრომეტირება მოახდინა Option Way თანამშრომლისა და კომპანიის ინფორმაციის გამოვლენით.

ჩვენ შევძელით იხილეთ პერსონალის PII რომლებიც პლატფორმას იყენებდნენ ფრენების დასაჩენად.

ჩვენი გამოძიების დროს, ჩვენ ასევე აღმოვაჩინეთ კომპანიის საკრედიტო ბარათის მონაცემები მასაჟისტური და სანახავი მონაცემთა ბაზაში წვდომის მსურველებისთვის. ეს გამოიყენებოდა ფრენების დასატოვებლად, პერსონალისთვის და მომხმარებლებისთვის დიდი რისკი Option Way.

კომპანიის საკრედიტო ბარათის დაცვით, ვარიანტი გზა თავის თავს დაუცველებს ფინანსური თაღლითობის წინააღმდეგ.

მონაცემთა დარღვევის გავლენა

ეს ღია მონაცემთა ბაზაა პირადობის ქურდი პირადობის ქურდებისთვის და სხვა თავდამსხმელები.

ყველა მონაცემის დანაშაულში ჩადენისას, ყველანაირი კრიმინალი შეძლებს გამოიყენოს ეს ინფორმაცია მრავალფეროვანი უკანონო და საშიში საქმიანობისთვის..

ფიშინგი & თაღლითობა

ფიშინგის კამპანია მოიცავს იმიტაცია ელ.ფოსტის შექმნა ლეგიტიმური ბიზნესისთვის ან ორგანიზაციები. ისინი იგზავნება დაზარალებულის ელექტრონული ფოსტის ყუთში მათ შეაფასეთ მნიშვნელოვანი ინფორმაცია. ეს შეიძლება შეიცავდეს პირადი ანგარიშის შესვლებს, საკრედიტო ბარათის დეტალებს ან რაიმე სასარგებლო ინფორმაციას.

მიღებული ინფორმაციით, მსხვერპლის ექსპლუატაცია შესაძლებელია სხვადასხვა კრიმინალურ სქემაში, საკრედიტო ბარათის თაღლითობიდან, პირადობის ქურდობის დასრულებამდე. ჰაკერებს შეუძლიათ გაყიდეთ PII ყველაზე მაღალ ტენდერში მუქი ქსელში და დააკავშიროთ იგი თავდასხმის სხვა ფორმებთან კრიმინალები, რომლებიც მონაცემებს არასაკმარისად იყენებენ.

ალტერნატიულად, იქნება ფიშინგის ელ ჩაშენებულია malware ან ransomware, იყენებდნენ მსხვერპლის ჯაშუშობას ან გამოძალვას.

Option Way მომხმარებლებისთვის PII და სამგზავრო გეგმები წვდომას საშუალებას აძლევს ჰაკერებს შექმნან ეფექტური ფიშინგის ელ, ვარიანტის, ავიაკომპანიების და მრავალი სხვა არამომგებიანი ბიზნესის მიბაძვა.  

ბილეთის ანგარიშის აღება

მონაცემების დარღვევით ასევე გამოიკვეთა მომხმარებლების უნიკალური PNR ნომრები, რომლებიც თან ერთვის მათ რეზერვაციას. მომხმარებელთა სახელებთან ერთად, ჰაკერებს შეეძლოთ ესარგებლათ ავიაკომპანიის დაჯავშნით, Option Way- ით გაკეთებული. მათ შეეძლოთ ფრენების გაუქმება ან შეცვლა, მსხვერპლებმა მხოლოდ ამის შემდეგ გაარკვიეს ავიაკომპანიის მიერ.

ყაჩაღობა

ამ მონაცემთა ბაზით, ჰაკერებმა და ქურდებმა ზუსტად იციან, როდესაც Option Way მომხმარებლები შვებულებაში არიან. მათ იციან მათი სახლის მისამართი. მათ შეუძლიათ ელ.ფოსტით გამოძახება ან დაურეკონ მომხმარებლები, რომ დაადასტურონ მათი არარსებობა ხანგრძლივი პერიოდის განმავლობაში.

მათ შეუძლიათ შემდეგ დაგეგმოთ საშინაო ძარცვები, დაჭერის ბევრად ნაკლები რისკის გამო. Option Way- ზე დაჯავშნული ფრენების ფასის გამოყენებით, ქურდებს შეუძლიათ განსაჯეთ მომხმარებლების წმინდა ღირებულება და შეარჩიეთ მათი მიზნები პოტენციური გაძარცვის საფუძველზე.

რისკები ვარიანტი გზა

ამ მონაცემთა გაჟონვას აქვს ბევრი უარყოფითი გავლენა ვარიანტი გზაზე. მონაცემთა ბაზის დაუშიფრებელი და დაუცველი დატოვებით, ისინი ასევე არიან თაღლითობისა და სხვა რისკების მიმართ დაუცველი. 

საკრედიტო ბარათის თაღლითობა

მონაცემთა ბაზაში, ჩვენმა გუნდმა მოიპოვა Option Way კომპანიის საკრედიტო ბარათი, ფრენების დაჯავშნა იყო პლატფორმაზე. ხშირად, ონლაინ სამოგზაურო აგენტებისთვის ერთადერთი გზა, როგორიცაა ვარიანტი ვარიანტი, რომ მიიღოთ დაბალფასიანი ბილეთებით სარგებლობა, არის გადახდა მათთვის კომპანიის საკრედიტო ბარათებით და ცალკე დააკისროს მომხმარებლის ბარათები.

თუ დანაშაულებრივმა ან მავნე ჰაკერმა მიიღო ეს მოიპოვეთ წვდომა ნებისმიერ თანხებზე Option Way– ის საბანკო ანგარიშებში, განახორციელეთ შესყიდვები და შეასრულეთ უზარმაზარი დავალიანება კომპანიის სახელით.

ეს შეიძლება იყოს ფინანსურად და ოპერაციულად დამანგრეველი ვარიანტი გზა. ეს არამარტო მათ დავალიანებას, არამედ იურიდიულ საფრთხეს შეუქმნის.

კომპანიის საკრედიტო ბარათის გარდა, მონაცემთა გაჟონვა ასევე აჩვენებს Option Way- ს თანამშრომლის დეტალებს. ეს მათ დაუცველს ხდის თავდასხმის იგივე ფორმებს, როგორც კომპანიის მომხმარებლები.

მათი ბიზნესის მოდელის კომპრომეტირება

მონაცემთა ბაზის გაჟონვას იძლევა ფასდაუდებელი წარმოდგენა იმისა, თუ როგორ მოქმედებს ვარიანტი გზა და გამოიმუშავებს შემოსავალს. ეს ინფორმაცია, როგორც წესი, დაცულია მთლიანად კონფიდენციალურად, იმალება კონკურენტებისგან. 

ამ მონაცემთა ბაზაში განთავსებული ინფორმაციის ნავიგაციის გზით, კონკურენტ კომპანიას შეეძლო უპირატესობა მოიპოვა Option Way- ზე, გაიმეორეთ თავიანთი ბიზნეს მოდელი და დაიმალეთ. Ეს შეიძლება გამოიწვევს შემოსავლის დაკარგვას ამის აღდგენა რთული იქნებოდა. 

რეპუტაციური ზიანი

როგორ დაზარალდნენ მომხმარებლები ამ გაჟონვისგან, რომ ენდონ Option Way- ს თავიანთი მონაცემებით? თუ მავნე ჰაკერმა შეძლო ამ მონაცემთა ბაზაში შესვლა – რომელსაც მხოლოდ ბრაუზერში იღებს – ვინ იცის რას აკეთებენ ისინი გაყიდვადი ინფორმაციით..

ეს იქნება შეშფოთება ბევრი მომხმარებლების გონების გონებაში მონაცემების დარღვევის შესახებ წაკითხვის შემდეგ.

ეს ჩვენი არჩევანის გზა იქნება, რომ ჩვენი მომხმარებლების ნდობა დაიბრუნოს და ახალი მოიზიდოს.

რჩევა ექსპერტებისაგან

Option Way- ს მფლობელებს შეეძლოთ თავიდან აეცილებინათ ეს გაჟონვა, თუ მათ მიიღეს უსაფრთხოების ძირითადი ზომები. მიუხედავად იმისა, რომ ჩვენ მიერ მოპოვებული ინფორმაცია შეიძლება კვლავ გახდეს კრიმინალური ჰაკერების ხელში ჩაგდება, შემდეგ ვარიანტს ვთავაზობთ Option Way- ს:

  1. თქვენი სერვერების უსაფრთხოება უკეთეს ზომებზე.
  2. თქვენს მონაცემთა ბაზებზე დაშვების სათანადო წესების შესრულება.
  3. არასოდეს დატოვოთ ისეთი სისტემა, რომელსაც არ მოითხოვს ავტორიზაცია ინტერნეტისთვის ღია.

უფრო სიღრმისეული სახელმძღვანელოს შესახებ, თუ როგორ უნდა დაიცვათ თქვენი ბიზნესი, შეამოწმეთ როგორ უნდა უზრუნველყოთ თქვენი ვებ – გვერდი და ონლაინ მონაცემთა ბაზა ჰაკერებისგან.

თუ თქვენ ხართ Option Way მომხმარებელი და ხართ შეშფოთებული იმაზე, თუ რა გავლენა შეიძლება მოახდინოს კონკრეტულად ამ დარღვევამ, ან ზოგადად მონაცემების დაუცველობამ, თქვენს საიტზე ან ბიზნესზე, წაიკითხეთ ჩვენი სრული სახელმძღვანელო ონლაინ კონფიდენციალურობის შესახებ.

ეს გიჩვენებთ მრავალი გზა, რომლითაც კიბერდანაშაულები მიზნად ისახავს ინტერნეტ მომხმარებლებს და ნაბიჯები, რომელთა გადადგმაც შეგიძლიათ უსაფრთხოდ.

როგორ და რატომ აღმოვაჩინეთ ეს დარღვევა

vpnMentor– ის კვლევის ჯგუფმა აღმოაჩინა ამ მონაცემთა დარღვევა ვებსაიტების უზარმაზარი მიმდინარე პროექტი. ნოემ და რანის ხელმძღვანელობით გუნდი სკანირებას უკეთებს პორტებს, რომლებიც ეძებენ ნაცნობ IP ბლოკებს და იყენებენ ამ ბლოკებს კომპანიის ვებ – სისტემაში არსებული ხვრელების მოსაძებნად. ამ ხვრელების ნახვის შემდეგ, გუნდი ეძებს დაუცველებს, რაც მათ მონაცემების დარღვევაში მიგვიყვანს.

გუნდმა აღმოაჩინა ეს უზარმაზარი Option Way- ის მონაცემთა ბაზის ნაწილები არის მთლიანად დაუცველი და არაინსტრირებული. კომპანია იყენებს Elasticsearch მონაცემთა ბაზას, რომელიც ჩვეულებრივ არ არის შექმნილი URL– ის გამოყენებისთვის. თუმცა, ჩვენ შევძელით წვდომა ბრაუზერის საშუალებით და მოახდინეთ URL ძიების კრიტერიუმების მანიპულირება მონაცემთა უზარმაზარი რაოდენობით გამოვლენაში.

მათი ექსპერტიზის გამოყენებით, ჩვენმა ჯგუფმა ასევე შეამოწმა მონაცემთა ბაზა, რომ დაადასტუროს მისი ვინაობა.

როგორც ეთიკური ჰაკერები, ჩვენ ვალდებულნი ვართ ვუკავშირდებით ვებსაიტებს, როდესაც უსაფრთხოების ნაკლოვანებებს აღმოვაჩენთ.

ეს ეთიკა ნიშნავს ჩვენ პასუხისმგებლობას ვაკისრებთ საზოგადოებას. თუ ეს შესაძლებელია, ჩვენ ასევე ვაფრთხილებთ დარღვევის შედეგად დაზარალებულ სხვა მხარეებს, როგორებიცაა მომხმარებლები, კლიენტები ან ვებსაიტის მომხმარებლები.

Option Way მომხმარებლებმა და ავიაკომპანიამ თავიანთ პლატფორმაზე უნდა იცოდნენ იმ რისკების შესახებ, რომელსაც ისინი იღებენ ტექნოლოგიის გამოყენებისას, რაც ამდენი ძალისხმევაა დაიცვას საკუთარი მომხმარებლები..

სავარჯიშო მიზანია ინტერნეტი ყველასთვის უფრო უსაფრთხო გახადოთ.

ჩვენს შესახებ და წინა მოხსენებები

vpnMentor არის მსოფლიოს უდიდესი VPN მიმოხილვის ვებ – გვერდი. ჩვენი კვლევის ლაბორატორია არის პრო ბონო მომსახურება, რომელიც ცდილობს ონლაინ საზოგადოებას დაეხმაროს თავი დაიცვას კიბერ საფრთხეებისაგან, ხოლო ორგანიზაციებს ატარებს საკუთარი მომხმარებლების მონაცემების დაცვაში.. 

ჩვენ ცოტა ხნის წინ აღმოვაჩინეთ მონაცემთა უზარმაზარი დარღვევა, რაც გავლენას ახდენს 80 მილიონი აშშ-ს ოჯახზე. ჩვენ ასევე აღმოვაჩინეთ, რომ ბიოსტარ 2-ში დარღვეულმა ზიზღმა გამოიწვია 1 მილიონზე მეტი ადამიანის ბიომეტრიული მონაცემები. თქვენ ასევე შეგიძლიათ წაიკითხოთ ჩვენი VPN გაჟონვის ანგარიში და მონაცემთა კონფიდენციალურობის სტატისტიკის ანგარიში.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map