ანგარიში: საველე სამუშაოების პროგრამული უზრუნველყოფა გაჟონა მომხმარებელთა მგრძნობიარე მონაცემებმა


vpnMentor– ის კვლევის ჯგუფმა აღმოაჩინა გაჟონვა Fieldwork პროგრამის მონაცემთა ბაზაში.

ნოამ როტემი და რან ლოკარ, ჩვენი კიბერუსაფრთხოების კვლევის ჯგუფის ხელმძღვანელები იპოვნეს საველე სამუშაოების მიკუთვნებული მონაცემთა ბაზა. საველე სამუშაოები გთავაზობთ მცირე ბიზნესის პროგრამულ უზრუნველყოფას მათი ოპერაციების ეფექტურად მართვისთვის.

დარღვევაში აღმოვაჩინეთ დიდი რაოდენობით გამოვლენილი მონაცემები. ეს მოიცავდა მომხმარებლის სახელები, მისამართები, ტელეფონის ნომრები, ელ.ფოსტის მისამართი, განგაშის კოდი, ხელმოწერები, კლიენტის ინფორმაცია, საკრედიტო ბარათის დეტალები, ფოტოები, და სხვა დეტალური კომენტარები. რაც ყველაზე მნიშვნელოვანია, აღმოვაჩინეთ ავტომატური შესვლის ბმულები, რომლებიც წვდომას მისცემენ მომხმარებლის საველე სამუშაოების სერვისის პორტალზე. ამ დარღვევის შედეგები არის ვრცელი.

ჩვენ დავუკავშირდით საველე სამუშაოებს, როდესაც აღმოვაჩინეთ გაჟონვა. Ისინი იყვნენ პროფესიონალური და ეფექტური ჩვენი ელ.ფოსტის მიღების შემდეგ. საველე სამუშაოებმა მათთან საუბრის დასრულებიდან 20 წუთის განმავლობაში დახურა.

მონაცემთა ბაზაში შესვლის მაგალითები

საველე სამუშაოები არის ბიზნესის მართვის პლატფორმა, რომელიც ბაზარზე მყოფი მავნებლების კონტროლის, გაზონის მოვლის, აუზების დასუფთავებისა და საოჯახო მომსახურების სხვა დარგების მიმართულებით არის ბაზარზე. ანტარის მფლობელობაში, რომელიც აწარმოებს მავნებლების კონტროლის პროდუქტებს, პროგრამული უზრუნველყოფა ეხმარება თვალყური ადევნოს თანამშრომლებს, რომლებიც სახლს უწოდებენ. მომხმარებელთა პორტალი ასევე მოიცავს ინვოისის შაბლონებს, ინტერფეისის დაგეგმვისა და პროდუქტის თვალყურის დევნებისთვის.

მონაცემთა ბაზაში გაჟონა ინფორმაცია:

  • ავტომატური შესვლის ბმულები
  • მომხმარებლების ელ.ფოსტის მისამართები
  • მათი მომხმარებლების ელ.ფოსტის მისამართები
  • სრული სახელები
  • მომხმარებლების ტელეფონის ნომრები
  • მისამართები
  • GPS მდებარეობები
  • IP მისამართები
  • მომხმარებლებს ან მომხმარებელს გაუგზავნეს ელ.წერილი და ტექსტები
  • Ბილინგის დეტალები
  • საკრედიტო ბარათის სრული დეტალები
  • გაფილტრული პაროლები
  • ხელმოწერები
  • სამუშაო საიტების სურათები
  • კომენტარები ან მითითებები

მონაცემთა ბაზაში აღმოვაჩინეთ ყველაზე გავლენიანი ინფორმაცია ავტომატური შესვლის ბმულით, რომელიც ვინმეს აძლევდა პირდაპირ კომპანიის წვდომის სისტემას. ჩანაწერებში მოცემულია დეტალური და მგრძნობიარე ინფორმაცია კლიენტის შესახებ, ასევე კომპანიის ადმინისტრაციული ინფრასტრუქტურის დიდი რაოდენობა.

მონაცემთა დიდი ნაწილი ასევე იყო მონაცემთა ბაზაში; თუმცა, ბოლო 30 დღის განმავლობაში მხოლოდ ჩანაწერები ვიხილეთ. მონაცემთა კონფიგურაციიდან გამომდინარე, მონაცემთა ბაზაში ჩანანახები ინახავდნენ არაუმეტეს 30 დღისა, სანამ მათ სხვა სისტემაში გადაეგზავნებოდნენ დამუშავებას ან ანალიზს..

ეს შესაძლებელია მონაცემთა ბაზაში არსებული სხვა ინფორმაციის საფუძველზე, რომ შეიძლებოდა წვდომის შოვნაზე წვდომა. ასეც რომ ყოფილიყო, ეს უფრო რთული პროექტი იქნებოდა.

ეს არის ელ.ფოსტის შაბლონი, საველე სამუშაოების პორტალზე შესვლის შესახებ. მონაცემების ამ ნაწილში შედის ელ.ფოსტის მისამართები, რომლებიც საჯაროდ ხელმისაწვდომი არ არის კლიენტების სანახავად. მიუხედავად იმისა, რომ პაროლი არ არის მოცემული აშკარად, მან დატოვა შესაძლებლობა მონაცემთა ბაზის სხვა ნაწილებში იპოვოთ შესაბამისი ინფორმაცია..

ვპოვნეთ ვრცელი ოდენობა დეტალური კომუნიკაცია მონაცემთა ჟურნალებში. ეს ელ.ფოსტა გამოიყურება, როგორც გაგზავნილი მავნებლების კონტროლის კომპანიისგან, რომელიც იყენებს Fieldwork პროგრამას კომპანიის კლიენტთან. კლიენტმა გაამჟღავნა მათი ანგარიშის საკრედიტო ბარათის ბოლო ოთხი ციფრი.

ეს არის სტანდარტული გადამოწმების პროცესი, რამაც შეიძლება უარყოფითი გავლენა მოახდინოს სხვა მონაცემების სპეციფიკიდან გამომდინარე. ცუდი მსახიობი შეეძლო ეს მათი სასარგებლოდ გამოეყენებინა.

ეს ჟურნალი აჩვენებს, რომ ასევე არსებობს მონაცემებში ხელმისაწვდომი ფოტოები. მან ასევე გამოავლინა მომხმარებლის მომხმარებელი IP მისამართი.

ეს ფოტო იყო დაკავშირებული ღია Amazon bucket რაც მონაცემებში აღმოვაჩინეთ.

საკომუნიკაციო ჟურნალი არა მხოლოდ ამბობს რა დანიშვნის დრო, არამედ მოიცავს სპეციფიკური ინსტრუქცია შენობაში მისაღებად. ეს მოიცავს მრავალჯერადი განგაშის კოდები, დაბლოკვის ყუთების კოდები და პაროლები რაც კლიენტმა გაამჟღავნა. ჩვენ აღმოვაჩინეთ სხვა ჟურნალი, რომელშიც შედიოდა კომენტარები, სადაც კლიენტებმა დამალეს მათი კლავიშები.

ბევრ კომპანიას, რომლებიც იყენებენ საველე სამუშაოებს, აქვთ საჯარო მისამართები, მაგრამ ეს მონაცემები ასევე იძლევა ინფორმაცია მათი კლიენტების შესახებ რომ კომპანიები არ გაამჟღავნებდნენ საზოგადოებას. ასევე მოცემულია კომპანიის ლიცენზიის ნომერი.

ამ ჟურნალის პაროლი მალავენ პაროლს, მაგრამ ეს ცხადყოფს ელექტრონული ფოსტის მისამართები ასოცირდება ანგარიშთან. სხვა ჩანაწერებზე დაყრდნობით, შესაძლებელია, რომ ცუდი მსახიობი კვლავ ჰქონდეს დაკარგული სერთიფიკატების წვდომას.

მომხმარებელთა იდენტიფიკაციის გარეშეც კი საკრედიტო ბარათის სრული ნომერი, ან ვადის გასვლის თარიღი და ა CVV ნომერი ხილული იყო.

მონაცემთა დარღვევის გავლენა

Იყო მოიცავდა ფართო ინფორმაციას მონაცემებში, მაშინაც კი, თუ მხოლოდ 30 დღის ჟურნალი იყო ხელმისაწვდომი. მიუხედავად იმისა, რომ საველე სამუშაოებმა ზოგიერთ ადგილას დააკოპირა პაროლები, ჩვენ მიერ განხილულმა შაბლონებმა მოგვცა დეტალური ინფორმაცია ანგარიშის სერთიფიკატების მოძიების შესახებ. ჩვენ ასევე თავისუფალი შესვლა გვქონდა ავტომატური შესვლის ბმული ეს იყო მონაცემთა ბაზაში. ეს საშუალებას აძლევდა მომხმარებელთა პორტალზე წვდომას.

პორტალზე შესვლა არის a განსაკუთრებით საშიში ინფორმაცია. ცუდი მსახიობი შეიძლება ისარგებლოს ამ დაშვებით არა მხოლოდ დეტალური კლიენტისა და იქ ინახება ადმინისტრაციული ჩანაწერების გამოყენებით. მათაც შეეძლოთ ჩაკეტეთ კომპანია ანგარიშიდან ფონზე ცვლილებების შეტანის გზით. მაშინაც კი, თუ იყო ავტორიზაციის ნაბიჯები, რომლებიც ჩართული იყო შესვლის ინფორმაციის შეცვლასთან დაკავშირებით, შესაძლებელია, რომ ამ ინფორმაციის ზოგიერთი ნაწილი იმყოფებოდა ღია მონაცემთა ბაზაში.

გარდა ამისა, თუ შესასვლელი ბმულები მარტივი იყო ორგანიზებული, მავნე განზრახვის მქონე ადამიანი ადვილად შეძლებდა მათ შენახვას. ამ შემთხვევაში, არ აქვს მნიშვნელობა მონაცემთა ბაზის დახურვა. მათ მაინც ექნებოდათ პირდაპირი წვდომა დიდ ანგარიშებზე. მონაცემთა ბაზაში სხვა ანგარიშის სერთიფიკატების შენახვა ყოველთვის იყო, მაგრამ ეს უფრო შრომატევადი და რთული ამოცანა იქნებოდა. უკანა პორტალზე წვდომა ნიშნავს ვინმეს გახსენით კომპანიის ჩანაწერები ნებისმიერ დროს, საველე სამუშაოების შემდეგ დაფიქსირდა დარღვევა.

მნიშვნელოვანი რაოდენობაა მდებარეობის მონაცემები შედის მონაცემთა ბაზაში, რომელიც პორტალთან წვდომასთან ერთად, მძიმე შედეგებს იწვევს. ეს ხსნის შესაძლებლობას პერსონალური ქურდობა ან თავდასხმები. ჩვენ არა მხოლოდ გვაქვს ბიზნესის მისამართები და GPS კოორდინატები, არამედ გვაქვს დეტალური აღწერა, თუ როგორ უნდა შეხვიდეთ შენობაში ან ოფისში. იმის გამო, რომ კლიენტებმა ღიად გაამჟღავნეს განგაშის კოდები ან როგორ უნდა დააკონტროლონ ისინი კლავიშებს, შეიძლება არსებობდეს დაზღვევის შედეგები როგორც. სადაზღვევო კომპანიებს შეეძლოთ გაუქმდეს პოლიტიკა თუ პოლის მფლობელის დაუდევრობა იწვევდა შესვენებას.

ამაზონის ამომავალი სურათების სანახავ ფოტოებს შეეძლოთ ადგილმდებარეობის შემდგომი დადასტურება. მათ ასევე შეიძლება ჰქონდეთ გაამჟღავნა, რომ კლიენტს ჰქონდა ძვირფასი ინვენტარი. მდებარეობის ინფორმაციით, ქურდს შეეძლო დაარღვიე უშეცდომოდ და შეაფასე კლიენტის მარაგთან.

თუ რომელიმე ეს შეტევა მოხდა მონაცემთა დარღვევის საფუძველზე, ეს ღრმად იქნებოდა გავლენა იქონიონ იმ კომპანიებზე, რომლებიც ეყრდნობოდნენ საველე სამუშაოებს მათი ბიზნესის მშენებლობისთვის. დამწყებთათვის, დარღვევას შეეძლო ძირს უთხრის მათ კლიენტების ნდობა. ამან შეიძლება გამოიწვიოს კონკურენტ კომპანიაში დასაქმებული კლიენტები, რომლებმაც არ გამოიყენეს გაჟონვის პროგრამები, რომ უკეთესად დაიცვან თავი.

გაფილტრული საკრედიტო ბარათის ინფორმაცია მონაცემთა ბაზაში და პორტალში შესული, მავნე მოთამაშისთვის ეს ძალიან ადვილია თაღლითობის ბრალდებით აღძრა ამ საკრედიტო ბარათებზე. საკრედიტო ბარათების კომპანიები მოითხოვს მგრძნობიარე ბარათების მონაცემების მკაცრად დაშიფვრას, ხოლო CVV ნომერი არ უნდა ინახებოდეს ავტორიზაციის შემდეგ, როგორც PCI დებულება. ჩვენ გვქონდა წვდომა ყველა საჭირო სერთიფიკატის მისაღებად, რომელიც საჭიროა შესყიდვის ან თუნდაც ბარათის ასლის ჩასატარებლად. ჩვენს მიერ მოძიებული მონაცემებით, გაურკვეველია, ეკუთვნის თუ არა ამ ბარათის ნომრები კომპანია, რომლებიც იყენებდნენ საველე სამუშაოებს ან მათ კლიენტებს. ამასთან, პორტალზე წვდომის დადგენა მარტივია.

უშუალოდ პორტალზე წვდომის მიღმა, ჩვენს მიერ გაკეთებულ სერთიფიკატს შეეძლო გავლენა მოეხდინა საველე სამუშაოების ანგარიშის გარეთ. სერთიფიკატები ერთი ანგარიშიდან ხშირად შეიძლება გამოყენებულ იქნას სხვა ანგარიშზე წვდომისათვის. როდესაც ჩვენ გვაქვს სრული სახელები და მისამართები, ჩვენ შეგვიძლია შევქმნათ მომხმარებლის სურათი. ცუდი მსახიობი შეიძლება მიიღოს ეს ინფორმაცია მეტი მონაცემების შეგროვების მიზნით. მათ შემდეგ შეეძლოთ ამ ინფორმაციის გამოყენება პიროვნების ვინაობის ქურდობისთვის. ზოგს შეუძლია ახალი ანგარიშის გახსნა თუნდაც მომხმარებლის სახელით.

ელ.ფოსტის მისამართების გამოვლენის ერთი საშიშროება მოიცავს მავნე მოთამაშეებს მათი გამოყენება ფიშინგზე თავდასხმებისთვის. თუ კომპანიის კლიენტთა სიის ნახვა შეგიძლიათ კომპანიის ელ.ფოსტის მისამართთან ერთად, კიდევ უფრო ადვილია შეცოდეთ კლიენტები ელექტრონული ფოსტის გახსნისას, რომელიც მოიცავს მავნე პროგრამას. Ამას შეუძლია მისცეს ჰაკერებს პირდაპირი წვდომა სისტემას, რომელსაც არ ჰქონდა კავშირი ამ ღია მონაცემთა ბაზასთან. კომპანიებს აქვთ მორალური ვალდებულება დაიცვან თავიანთი კლიენტების მონაცემები. ამ შემთხვევაში, რომელიმე კომპანია, რომელიც იყენებს Fieldwork– ს, არ დაიჭრა ეს.

როდესაც ჰაკერებს შეუძლიათ შეაღწიონ სისტემაში, მათთვის უამრავი ვარიანტია გახსნილი. ოპერაციების დახურვა კომპანიას მნიშვნელოვანი თანხა დაუჯდება. ჰაკერს ასევე შეუძლია მოპარული მონაცემების გაყიდვა კონკურენტ კომპანიას. საველე სამუშაოები თავის პროდუქტებს ყიდის მცირე ბიზნესებს, რომლებსაც ნაკლები ფინანსური რესურსი აქვთ, თუ ისინი დახურულია ხაკუნის საშუალებით.

დაბოლოს, მონაცემებში ხელმოწერები აღმოვაჩინეთ. მიერ ხელმოწერის ფორმის კოპირება, ცუდი მსახიობი კიდევ ერთი ინსტრუმენტია განახორციელოს პირადობის ქურდობა ყალბი გზით. ციფრული ხელმოწერების უმეტესობა უკავშირდება IP მისამართს. ამასთან, თუ ჩვენ გვაქვს მომხმარებლის ყველა სერთიფიკატი, მათ შორის საკრედიტო ბარათის ნომერი, IP მისამართი და ხელმოწერა, ყალბი საქმის წარმოება გამარტივებულია.

რჩევა ექსპერტებისაგან

Არიან, იმყოფებიან რამდენიმე მარტივი ნაბიჯი საველე სამუშაოებს თავიდანვე შეეძლო მონაცემთა ბაზის დასაცავად. აქ არის რამდენიმე ექსპერტი რჩევები, რომ არ მოხდეს დარღვევის თავიდან ასაცილებლად ან შევსება მონაცემთა ბაზაში.

  1. უსაფრთხო თქვენი სერვერები.
  2. წვდომის სათანადო წესების შესრულება.
  3. არასოდეს დატოვოთ ისეთი სისტემა, რომელსაც არ მოითხოვს ავტორიზაცია ინტერნეტისთვის ღია.

უფრო სიღრმისეული სახელმძღვანელოს შესახებ, თუ როგორ უნდა დაიცვათ თქვენი ბიზნესი, შეამოწმეთ როგორ უნდა უზრუნველყოთ თქვენი ვებ – გვერდი და ონლაინ მონაცემთა ბაზა ჰაკერებისგან.

როგორ აღმოვაჩინეთ დარღვევა

ჩვენი კვლევითი ჯგუფის მიერ აღმოჩენილია ამ მონაცემების გაჟონვა ჩვენს ვრცლად ვებ – რუქის პროექტი. რანისა და ნოამის მეთაურობით, ისინი პორტებს ათვალიერებენ ცნობილი IP ბლოკები. იქიდან, გუნდს შეუძლია მოძებნოს გახსნა სისტემაში. გაჟონვის აღმოჩენის შემდეგ, ისინი იყენებენ კიბერუსაფრთხოების მნიშვნელოვან ცოდნას დაადასტურეთ მონაცემთა ბაზის პირადობა.

ყოველ ჯერზე, თუ დარღვევას აღმოაჩენთ, ჩვენ დაუკავშირდით მფლობელს მონაცემთა ბაზაში, რათა მათ გაფრთხილება მოახდინონ გადინების მონაცემებზე. თუ ეს შესაძლებელია, ჩვენ ასევე შევატყობინებთ სისტემაში გახსნილ ზემოქმედებას. ჩვენი პროექტი ამ პროექტის შექმნით არის უფრო უსაფრთხო და უსაფრთხო ინტერნეტი მომხმარებლებისთვის ყველგან.

ჩვენს შესახებ და წინა მოხსენებები

vpnMentor არის მსოფლიოს უმსხვილესი VPN მიმოხილვის ვებსაიტზე. ჩვენი კვლევის ლაბორატორია არის პრო ბონო მომსახურება, რომლისკენაც ისწრაფვის დაეხმარეთ ონლაინ საზოგადოების დაცვას კიბერ საფრთხეების წინააღმდეგ, ხოლო ორგანიზაციებს ასწავლიან თავიანთი მომხმარებლების მონაცემების დაცვას.

ჩვენ ცოტა ხნის წინ აღმოვაჩინეთ მონაცემების მასიური დარღვევა, რომლებმაც გავლენა მოახდინეს 78 000 პაციენტზე, რომლებიც იღებდნენ Vascepa- ს. ჩვენ ასევე აღმოვაჩინეთ, რომ xSocialMedia განიცდიდა მონაცემთა ფართო გავრცელებას. თქვენ ასევე შეგიძლიათ წაიკითხოთ ჩვენი VPN გაჟონვის ანგარიში და მონაცემთა კონფიდენციალურობის სტატისტიკის ანგარიში.

გთხოვთ გაუზიარეთ ეს მოხსენება Facebook- ზე ან ტვიტირება.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map