ანგარიში: პოპულარული ონლაინ საცალო ვაჭრობა მომხმარებელს მსოფლიოს მონაცემების გაჟონვაში ავლენს


VpnMentor– ის კვლევითი ჯგუფის მიერ კიბერუსაფრთხოების ანალიტიკოსების ნოამ როტემისა და რან ლოკარის ხელმძღვანელობით გაჟონა მონაცემთა ბაზაში, რომელიც ეკუთვნის ონლაინ საცალო LightInTheBox- ს. მასიური მონაცემთა ბაზა ყოველდღიური ჟურნალის 1 ტბ-ზე მეტი და კომპრომეტირებულია მსოფლიოში LightInTheBox მომხმარებელთა უსაფრთხოება. არა მხოლოდ ეს არის მნიშვნელოვანი დარღვევა LightInTheBox– ის მონაცემთა უსაფრთხოების პროტოკოლებში, არამედ ის ქმნის რეალური საფრთხეები დაზარალებულთათვის.

კომპანიის შესახებ LightInTheBox

LightInTheBox არის ონლაინ საცალო ვაჭრობა, რომელიც დაფუძნებულია ჩინეთში, პეკინში და ვაჭრობა ნიუ – იორკის საფონდო ბირჟაზე, როგორც LITB. დაარსდა 2007 წელს, LightInTheBox გზავნილი საერთაშორისო დონეზე, თავისი მომხმარებლების უმეტესი ნაწილი ჩრდილოეთ ამერიკასა და ევროპაში. კომპანია ყურადღებას ამახვილებს სამ ძირითად საცალო კატეგორიაში: ტანსაცმელი, მცირე აქსესუარები და გაჯეტები, ასევე სახლი და ბაღი. LightInTheBox უზარმაზარი ბიზნესია, ყოველთვიურად 12 მილიონზე მეტ ვიზიტორს ქმნის თავის ფლაგმანურ ვებსაიტზე, რამდენიმე მცირე შვილობილი კომპანია.

აღმოჩენის დროისა და მფლობელის რეაქციის ვადები

ზოგჯერ, ცხადია მონაცემთა დარღვევის ზომა და მონაცემთა მფლობელი, და საკითხი სწრაფად მოგვარდება. მაგრამ იშვიათია ეს ჯერ. ყველაზე ხშირად, ჩვენ გვჭირდება გამოძიების დღეები, სანამ გავიგებთ, რა არის ამ ეტაპზე ან ვინ ვინ გამოაქვს მონაცემები. დარღვევის გაცნობიერებას და მის გავლენას დრო და დრო სჭირდება ყურადღებით. ჩვენ ვმუშაობთ იმისთვის, რომ გამოვაქვეყნოთ ზუსტი და სანდო ცნობები, იმის უზრუნველსაყოფად, რომ ვინც წაიკითხავს მათ, ესმის მათი სერიოზულობა.

ზოგი დაზარალებული მხარე უარყოფს ფაქტებს, ჩვენს გამოძიებას არ იშურებს ან გავლენას არ ასრულებს. ამიტომ, ჩვენ უნდა ვიყოთ საფუძვლიანი და დავრწმუნდეთ, რომ ყველაფერი, რაც ჩვენ ვიპოვნეთ, სწორი და მართალია. Ამ შემთხვევაში, LightInTheBox- ის, როგორც მონაცემთა ბაზის მფლობელის იდენტიფიცირების შემდეგ, ჩვენ დავუკავშირდით მათ ჩვენი დასკვნების წარდგენის მიზნით. სანამ კომპანიისგან პასუხი არ მიგვიღია, მონაცემთა ბაზის დარღვევა მალევე დაიხურა.

  • აღმოჩენილი თარიღი: 20/11
  • თარიღი გამყიდველები დაუკავშირდნენ: 24/11
  • მოქმედების თარიღი: დაახლოებით. 24/11/19

მონაცემთა ბაზაში შესვლის მაგალითები

LightInTheBox არ შეიცავს კონკრეტულ დეტალებს მათი მონაცემთა უსაფრთხოების და შენახვის პრაქტიკის შესახებ ან მათ მიერ განხორციელებული ზომები, რათა დაიცვან მომხმარებელთა მონაცემები. მათი კონფიდენციალურობის პოლიტიკის თანახმად, ისინი იცავს მომხმარებლის მონაცემებს:… ადმინისტრაციული პროცედურებით, თქვენი პირადი ინფორმაციის კონფიდენციალურობის უზრუნველსაყოფად, მაგალითად: * ამ საიტის საშუალებით განხორციელებული ყველა ფინანსური გარიგების დაცვა უსაფრთხო Sockets Layer (“SSL”) დაშიფვრასთან ერთად * მხოლოდ თანამშრომლების გაცემა. რომლებიც კონკრეტულ მომსახურებას აწვდიან თქვენს პერსონალურ ინფორმაციას. * მუშაობს მხოლოდ მესამე მხარის სერვისის პროვაიდერებთან, რომლებიც გვჯერა, რომ ადეკვატურად უზრუნველყონ კომპიუტერული ტექნიკა. მაშინ როდესაც ჩვენი ბიზნესი შექმნილია თქვენი პირადი ინფორმაციის გათვალისწინებით, გაითვალისწინეთ, რომ 100% უსაფრთხოება ამჟამად არსად, ინტერნეტით ან ხაზგარეშე რეჟიმში არ არსებობს.

ჩვენი გუნდის აღმოჩენის საფუძველზე, მათი ზომები არასაკმარისი იყო. დარღვეულ მონაცემთა ბაზაში მოცემულია 1.3 ტბ – ზე მეტი მონაცემი, 1,5 მილიარდზე მეტი ჩანაწერია. მონაცემთა ბაზა იყო ვებ სერვერების ჟურნალი – გვერდების მოთხოვნილების ისტორია და მომხმარებლის აქტივობა საიტზე, რომელიც დათარიღებულია 2019 წლის 9 აგვისტოდან 11 ოქტომბრამდე. LightInTheBox.com- ის გარდა, იგი ასევე შეიცავს მონაცემებს მათი შვილობილი საიტების, მათ შორის MiniInTheBox.com. მონაცემთა დარღვევამ დააზიანა მომხმარებელს მთელს მსოფლიოში, მრავალი მათგანი საერთაშორისო საიტებიდან და მრავალ ენაზე. მონაცემთა ბაზაში დაცული ვებ სერვერის ლოგების საშუალებით, ჩვენ დავინახეთ პირადი პირადი მომხმარებლის მონაცემები, რომელიც მოიცავს:

  • მომხმარებელთა IP მისამართები
  • საცხოვრებელი ქვეყნები
  • Ელექტრონული ფოსტის მისამართები
  • დანიშნულების გვერდები და მომხმარებლის აქტივობა ვებსაიტზე

შემდეგი კოდიდან ჩანს, თუ როგორ გამოიფინა 3 ცალკეული ელ.ფოსტის მისამართი:

მონაცემთა ბაზაში ასევე შედის მონაცემები LightInTheBox– ის Google– დან & Bing ads სარეკლამო კამპანიები.

მონაცემთა დარღვევის გავლენა

ამ მონაცემთა დარღვევა წარმოადგენს ძირითადი შეცდომაა LighInTheBox– ის მონაცემთა უსაფრთხოებაში. მიუხედავად იმისა, რომ ამ მონაცემების გაჟონვა არ აჩვენებს მომხმარებლის მნიშვნელოვან მონაცემებს, უსაფრთხოების ძირითადი ზომები არ განხორციელებულა. ეს არის წელი, უამრავი ონლაინ შოპინგით: შავი პარასკევი, კიბერ ორშაბათი, შობა. პირად იდენტიფიცირებადი მონაცემების დიდი გაჟონვაც კი შეიძლება საფრთხეს შეუქმნის როგორც კომპანიას, ისე მის მომხმარებლებს.

LightInTheBox რისკავს ბიზნესის დაკარგვას გადამწყვეტ დროს თუ მომხმარებლები არ თვლიან, რომ მათ შეუძლიათ ენდონ კომპანიას, რომ მონაცემები დაცული იყოს. Trustpilot- ის შესახებ LightInTheBox- ის მომხმარებლის მიმოხილვების საფუძველზე, ბევრი მომხმარებელი უკვე უკმაყოფილოა მათი გამოცდილებით ვებსაიტზე. მათი მონაცემების გამოვლენით, LightInTheBox რისკავს ბიზნესის შემდგომ დაკარგვას, რამაც შეიძლება უარყოფითად იმოქმედოს მომავალ შემოსავალებზე.

LightInTheBox მომხმარებლებისთვის

გამოვლენილი მონაცემები ხდის დაზარალებულებს დაუცველნი თაღლითობისა და ონლაინ შეტევების მრავალი ფორმისგან. მომხმარებლის ელექტრონულ ფოსტაზე წვდომის საშუალებით კიბერდანაშაულებლებმა შეიძლება შექმნან დამაჯერებელი ფიშინგური კამპანიები ელ.წერილი LightInTheBox ელექტრონული ფოსტით. ამ ელ.ფოსტით, მსხვერპლის მოტყუება შეიძლება ჩამოთვლილ იქნას ნებისმიერ შემდეგში:

  • დააჭირეთ ბმულს, რომელიც მათ მოწყობილობაზე მავნე პროგრამულ უზრუნველყოფას მოიცავს
  • მგრძნობიარე ფინანსური ან პირადი ინფორმაციის გამოვლენა
  • შესვლა სერთიფიკატების მიცემა პირადი ონლაინ ანგარიშებისთვის

გავლენა მსხვერპლზე შეიძლება დამანგრეველი იყოს. ასევე არსებობს ფიზიკური საფრთხე. ვებსაიტის მომხმარებლის IP მისამართთან, ჩვენ შევძელით მათი საცხოვრებელი ქალაქის იდენტიფიცირება. თუ კრიმინალურ ჰაკერს ამის საშუალება ჰქონდა, სხვა დანარჩენ მონაცემებთან ერთად, მათ შეეძლოთ დაზარალებული დაზარალებული საკუთარი სახლის მისამართის გამოვლენაში და მიზნად ისახავს მათ ქურდობისა და სახლის ქურდობისთვის. შემდეგ მაგალითში მოცემულია დამატებითი დამატებითი ინფორმაცია, რომლის ნახვა შეგიძლიათ ვინმეს IP მისამართის გამოყენებით: Ყველაზე უარესი, ამ მონაცემთა დარღვევა მოხდა შობამდე, როდესაც ბევრი ადამიანი ინახავს აქციების საჩუქრებს და პოტენციურად შეიძენს მათ LightInTheBox- დან.

რჩევა ექსპერტებისაგან

LightInTheBox– ს შეეძლო თავიდან აეცილებინა ეს გაჟონვა, თუ მათ მიიღეს უსაფრთხოების ძირითადი ზომები მონაცემთა ბაზის დაცვა. ეს მოიცავს, მაგრამ არ შემოიფარგლება მხოლოდ:

  1. უსაფრთხო თქვენი სერვერები.
  2. წვდომის სათანადო წესების შესრულება.
  3. არასოდეს დატოვოთ ისეთი სისტემა, რომელსაც არ მოითხოვს ავტორიზაცია ინტერნეტისთვის ღია.

ნებისმიერ კომპანიას შეუძლია იგივე ნაბიჯების განმეორება, არ აქვს მნიშვნელობა მისი ზომა. უფრო სიღრმისეული სახელმძღვანელოს შესახებ, თუ როგორ უნდა დავიცვათ თქვენი ბიზნესი, შეამოწმეთ ჩვენი სახელმძღვანელო, რომ უზრუნველყოთ თქვენი ვებ – გვერდი და ონლაინ მონაცემთა ბაზა ჰაკერებისგან..

LightInTheBox მომხმარებლებისთვის

შეგიძლიათ უშუალოდ დაუკავშირდეთ LightInTheBox და გაარკვიოთ, თუ როგორ წყვეტენ ისინი ამ საკითხს და დაგეგმეთ მომავალში თქვენი მონაცემების უკეთესად დასაცავად.. თუ თქვენ ხართ LightInTheBox მომხმარებელი და ხართ შეშფოთებული იმაზე, თუ რა გავლენა შეიძლება მოახდინოს ამ დარღვევამ თქვენზე, ან ზოგადად მონაცემთა დაუცველობაზე, წაიკითხეთ ჩვენი სრული სახელმძღვანელო ონლაინ კონფიდენციალურობის შესახებ.. ეს გიჩვენებთ მრავალი გზა, რომ კიბერდანაშაულები მიზნად ისახავს ინტერნეტ მომხმარებლებს და ის ნაბიჯები, რომელთა გადადგმაც შეგიძლიათ, რომ უსაფრთხო გახდეთ. თქვენ ასევე შეგიძლიათ გამოიყენოთ VPN, რათა დამალოთ LightInTheBox– ში გამოვლენილი ზოგიერთი მონაცემი. VPN ნიღბავს თქვენს IP მისამართს და საცხოვრებელ ქვეყანას, მოგაწვდით დაცვის დამატებით ფენას, თუ თქვენი მონაცემები გაჟონა..

როგორ და რატომ აღმოვაჩინეთ ეს დარღვევა

VpnMentor– ის კვლევის ჯგუფმა აღმოაჩინა დარღვევა LightInTheBox– ის მონაცემთა ბაზებში, როგორც უზარმაზარი ვებ – რუქის პროექტის ნაწილი.. ჩვენი მკვლევარები იყენებენ პორტის სკანირებას კონკრეტული IP ბლოკების შესამოწმებლად და სისუფთავე სისტემების ღია ხვრელების შესამოწმებლად. ისინი ამოწმებენ თითოეულ ხვრელს მონაცემების გაჟონვისთვის. მონაცემების დარღვევისას, ისინი იყენებენ ექსპერტულ ტექნიკას მონაცემთა ბაზის პირადობის დასადგენად. ამის შემდეგ ჩვენ ვაფრთხილებთ კომპანიას დარღვევის შესახებ. თუ ეს შესაძლებელია, ჩვენ ასევე შეგვაფრთხილებთ დარღვევის შედეგად დაზარალებულებს. ჩვენმა გუნდმა შეძლო ამ მონაცემთა ბაზაში წვდომა, რადგან იგი მთლიანად დაუცველი იყო და არაგნიფიცირებული. კომპანია იყენებს Elasticsearch მონაცემთა ბაზას, რომელიც, როგორც წესი, არ არის შექმნილი URL– ის გამოყენებისთვის. ამასთან, ჩვენ შევძელით მას ბრაუზერის საშუალებით წვდომა და URL ძიების კრიტერიუმების მანიპულირება მონაცემთა ბაზის სქემების გამოვლენაში. ამ ვებ – რუკების პროექტის მიზანია ინტერნეტი უსაფრთხო იყოს მომხმარებლის ყველა მომხმარებლისთვის.

როგორც ეთიკური ჰაკერები, ჩვენ ვალდებული ვართ შევატყობინოთ კომპანიას, როდესაც მათ უსაფრთხოების დაცვაში აღმოვაჩენთ ხარვეზებს. ეს განსაკუთრებით ეხება იმ შემთხვევაში, როდესაც კომპანიების მონაცემების დარღვევა შეიცავს ასეთ პირად ინფორმაციას. ამასთან, ეს ეთიკა ნიშნავს ჩვენ პასუხისმგებლობას ვაკისრებთ საზოგადოებას. LightInTheBox მომხმარებლებმა უნდა იცოდნენ მონაცემთა დარღვევა, რაც მათზე გავლენას მოახდენს.

ჩვენს შესახებ და წინა მოხსენებები

vpnMentor არის მსოფლიოს უმსხვილესი VPN მიმოხილვის ვებსაიტზე. ჩვენი კვლევის ლაბორატორია არის პრო ბონო მომსახურება, რომელიც ცდილობს ონლაინ საზოგადოებას დაეხმაროს თავი დაიცვას კიბერ საფრთხეებისაგან, ხოლო ორგანიზაციებს ვასწავლით მათი მომხმარებლების მონაცემების დაცვას. წარსულში, ბიოსტარ 2-ში აღმოვაჩინეთ დარღვევა, რამაც დაარღვია 1 მილიონზე მეტი ადამიანის ბიომეტრიული მონაცემები. ჩვენ ასევე ახლახან გავარკვიეთ, რომ კომპანიამ, რომელსაც ეკუთვნის სასტუმროების მთავარი ქსელი AccorHotels, სტუმრების მონაცემები 1 ტბბ – ზე მეტია. თქვენ ასევე შეგიძლიათ წაიკითხოთ ჩვენი VPN გაჟონვის ანგარიში და მონაცემთა კონფიდენციალურობის სტატისტიკის ანგარიში.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map