ანგარიში: საფრანგეთის საფოსტო სამსახურის აპლიკაცია მონაცემების გაჟონვაში მცირე ბიზნესის მფლობელებს ავლენს

VpnMentor- ის სამეცნიერო ჯგუფმა აღმოაჩინა ნოამ როტემ და რან ლოკარმა დარღვევა მონაცემთა ბაზაში, რომელიც ეკუთვნის Genius- ს, Android- ის აპლიკაციას, რომელიც აშენდა ფრანგული საფოსტო სამსახურის La Poste- ს მიერ. Genius არის აპლიკაციაზე დაფუძნებული სალარო, რომელიც აერთიანებს მრავალფეროვან პროცესს მცირე მაღაზიების მფლობელების დასახმარებლად. მოცემული მონაცემთა ბაზა ძირითადად დაკავშირებულია აპლიკაციის საშუალებით განხორციელებულ გადახდებთან. თან 23 მილიონზე მეტი ჩანაწერი, ეს მონაცემების უსაფრთხოების უზარმაზარი დარღვევაა და გენიოსის მომხმარებლებს მთელს საფრანგეთში დაუცველს ხდის. თუ მავნე ჰაკერებმა აღმოაჩინეს ეს მონაცემთა ბაზა, შედეგები შეიძლება დამანგრეველი იყოს გამოვლენილთათვის.

კომპანიის სახელი La Poste

La Poste არის ძირითადი საფოსტო მომსახურება საფრანგეთში, საფრანგეთის მთავრობის უმრავლესობა, რომელიც ასევე მოქმედებს საზღვარგარეთის ტერიტორიებზე, რომლებიც ტრადიციულად უკავშირდება ქვეყანას. ეს არის მეორე უმსხვილესი დამსაქმებელი საფრანგეთში და ისევე როგორც მრავალი საფოსტო მომსახურება მთელს მსოფლიოში, გაფართოვდა საფოსტო გზავნილის მიღმა. მათ ოპერაციებში შედის დაზღვევა, ბანკი, ვებ – ჰოსტინგი და მრავალი სხვა მომსახურება კერძო მოქალაქეებისთვის. კომპანია ასევე გთავაზობთ მცირე და საშუალო ბიზნესის (SMBs) მომსახურება საფრანგეთში. ეს მოიცავს Genius, სალარო აპარატს. მომხმარებელთაგან გადახდების დამუშავების გარდა, გენიოსი ეხმარება SMB- ს ინვენტარიზაციის მენეჯმენტში, მონაცემთა ანგარიშგების და ანალიზის, აღრიცხვისა და მრავალი სხვა მნიშვნელოვანი პროცესის გამოყენებით.. გენიოსი SMB– ს გადაეცემა, როგორც ”მოდულარული გადაწყვეტა, რომელიც ადაპტირდება ყველა თქვენს საჭიროებასთან… და თქვენი ბიუჯეტი!”

აღმოჩენის დროისა და მფლობელის რეაქციის ვადები

ზოგჯერ, ცხადია მონაცემთა დარღვევის ზომა და მონაცემთა მფლობელი, და საკითხი სწრაფად მოგვარდება. მაგრამ იშვიათია ეს ჯერ. ყველაზე ხშირად, ჩვენ გვჭირდება გამოძიების დღეები, სანამ გავიგებთ, რა არის ამ ეტაპზე ან ვინ ვინ გამოაქვს მონაცემები. დარღვევის გაცნობიერებას და რაზეა საუბარი, ფრთხილად ყურადღებას და დროს მოითხოვს. ჩვენ ვმუშაობთ იმისთვის, რომ გამოვაქვეყნოთ ზუსტი და სანდო ცნობები, იმის უზრუნველსაყოფად, რომ ვინც წაიკითხავს მათ, ესმის მათი სერიოზულობა. ზოგი დაზარალებული მხარე უარყოფს ფაქტებს, ჩვენს გამოძიებას არ იშურებს ან გავლენას არ ასრულებს. ამიტომ, ჩვენ უნდა ვიყოთ საფუძვლიანი და დავრწმუნდეთ, რომ ყველაფერი, რაც ჩვენ ვიპოვნეთ, სწორი და მართალია. ამ შემთხვევაში, La Poste- ს მონაცემთა ბაზის მფლობელად დანიშვნისთანავე, ჩვენ მივაღწიეთ მათ ჩვენს აღმოჩენებს. მიუხედავად იმისა, რომ ველოდეთ პასუხს La Poste- დან, 18 ნოემბერს ჩვენ ასევე მოვიპოვეთ მათი მასპინძელი კომპანია და The Nationale de l’informatique et des libertés (CNIL), საფრანგეთის დამოუკიდებელი მარეგულირებელი ორგანო მონაცემთა კონფიდენციალურობისთვის. მონაცემთა ბაზა დაიხურა თითქმის სამი კვირის შემდეგ, რაც ჩვენი პირველი კონტაქტი მოხდა ფრანგულ CNIL– თან.

  • აღმოჩენილი თარიღი: 11/11
  • თარიღი გამყიდველები დაუკავშირდნენ: 13/11
  • კონტაქტის თარიღი CNIL: 18/11
  • მოქმედების თარიღი: დაახლ. 8/12

მონაცემთა ბაზაში შესვლის მაგალითები

გენიოსისთვის მომსახურების პირობების თანახმად, La Poste ვალდებულია: ”განახორციელოს აუცილებელი ზომები პერსონალური მონაცემების დასაცავად შემთხვევითი ან უკანონო განადგურებისგან, შემთხვევითი ზარალისგან, შეცვლის, გამჟღავნების ან უნებართვო წვდომისგან;” ”შეატყობინეთ მომხმარებელს, პერსონალური მონაცემების დარღვევის შესახებ, 48 საათში. (ფრანგულიდან თარგმნა) თუმცა, ჩვენი კვლევის საფუძველზე, დაცული მონაცემთა ბაზა არ იყო საკმარისად დაცული. ეს იყო მგრძნობიარე ინფორმაციის გაჟონვა, რომელიც კრიმინალებისა და მავნე ჰაკერების ოქროს ოქროს მოპოვება იქნებოდა. ჩვენმა გუნდმა აღმოაჩინა 15GB ზე მეტი მგრძნობიარე ინფორმაცია, საიდანაც 23 მილიონი ჩანაწერი წარმოიშვა SMB– დან მთელს საფრანგეთში, ბელგიაში, შვეიცარიაში, იტალიაში, ესპანეთში და, შესაძლოა, მეტი.. მონაცემთა ბაზაში ჩანაწერები იყო უკავშირდება გენიოსის საშუალებით მომხმარებელთა მიერ გადახდილ გადახდებს და სხვა ფუნქციებს შესრულებულია აპლიკაციაში. თითოეული ჩანაწერი შეიცავს მონაცემთა სხვადასხვა ფორმას, მომხმარებლის მოქმედებიდან გამომდინარე. მათში შედიოდა პირადად იდენტიფიცირებადი ინფორმაციის (PII) მონაცემები როგორც გენიოსის მომხმარებლების, ასევე მათი მომხმარებლების შესახებ, ასევე მგრძნობიარე ინფორმაციას ბიზნესის ფინანსებისა და ოპერაციების შესახებ. მონაცემთა ბაზაში სანახავი მომხმარებლის მონაცემების მაგალითებია:

  • აპლიკაციის მსურველთა სრული სახელები, ელ.ფოსტის მისამართები, ტელეფონის ნომრები და დაბადების თარიღები
  • საქმიანი რეზიდენციის ქალაქი და მომხმარებლების საფოსტო კოდი
  • ინფორმაცია გაიყიდა პროდუქციის (ეტიკეტი, ფასი, შტრიხ კოდი და ა.შ.) და გენიოსის საშუალებით განხორციელებული ოპერაციების შესახებ
  • ინფორმაცია გამყიდველების შესახებ (სახელი, ელ.ფოსტა, ტელეფონის ნომერი)
  • გადასახადები, რომლებიც გაგზავნილია მომხმარებლებთან და მომწოდებლებთან
  • ბიზნესის ინვენტარიზაცია
  • როგორც ტესტის, ასევე პროდუქციის ნამდვილი მნიშვნელობები გენიოსზე
  • იმ მომხმარებლების ელ.ფოსტის მისამართები, რომლებმაც მიიღეს ანგარიში გენიოსის საშუალებით
  • გენიუსის მეშვეობით განხორციელებული ბიზნესის გარიგების სრული ღირებულებები
  • ბიზნესის პირადული ნომერი (ფრანგული ბიზნესის რეგისტრაციისთვის)
  • Გაცილებით მეტი

ქვემოთ მოცემულია გენიოსის მომხმარებელი, რომელიც აკეთებს დღის ბოლოსთვის შერიგებას აპლიკაციაზე (ვალუტის ღირებულებები მოცემულია როგორც მთლიანი ცენტი. მაგალითად, “10150” = 101,50 €). Ეს არის მხოლოდ ერთი მაგალითი იმისა, თუ როგორ ხდება ბიზნესის მგრძნობიარე მონაცემებისა და ფინანსური ჩანაწერების გაჟღენთება: შემდეგ მაგალითში, ვრცელდება მონაცემები, რომლებიც ეკუთვნის ბიზნესს და მის ერთ-ერთ თანამშრომელს Genius- ის აპიკზე კიდევ ერთი მოქმედების შესრულებისას: ამ საბოლოო მაგალითში, კლიენტის PII ექვემდებარება:გენიოსს იყენებენ SMB– ები საფრანგეთის მასშტაბით, ისევე როგორც ევროპის სხვა ქვეყნებში მათ შორის საფრანგეთი, ბელგია, შვეიცარია, იტალია და ესპანეთი. როგორც ასეთი, მონაცემთა ბაზაში განთავსებულია ჩანაწერები გენიუსის მომხმარებლის ბაზიდან, სხვადასხვა ინდუსტრიაში თითოეულ ამ ქვეყანაში და მრავალი სხვა. ექსკლუზიური ბიზნესის ზოგიერთი მაგალითი მოიცავს:

  • ნილაჩი – საიუველირო მაღაზია პარიზში
  • By164 – საიუველირო მაღაზია პარიზში
  • ლოვატი&მწვანე – ესპანეთის ბილბაოში მდებარე უნიისაქსის მოდის საცალო ვაჭრობა
  • Manta – ფრანგული საჩუქრების მაღაზია, რომელიც გადაგზავნილია ევროპის ბევრ ქვეყანაში
  • Louisette – ფრანგული ოჯახის საჩუქრების მაღაზია
  • MHD Restauration – პატარა, დამოუკიდებელი რესტორანი

* შენიშვნა: ლუსიეტა და MHD იყვნენ ვებსაიტზე მოყვანილი გენიოსის მომხმარებლები, რომლებიც დადებით ჩვენებებს უწოდებდნენ ამ მომსახურებას. გარდა მათი პროგრამის კლიენტის მომხმარებლების, მონაცემთა ბაზის გამოვლენის გარდა ასევე უნებურად La Poste- ს თანამშრომლები დაუცველებად აქცია. კვლევის დროს, ჩვენმა ჯგუფმა დაათვალიერა La Poste- ს თანამშრომლების PII მონაცემები, როგორებიცაა მათი სახელები, ელ.ფოსტის მისამართები და ტელეფონის ნომრები, ასევე პროგრამის პროდუქტების ‘ტესტის მნიშვნელობებთან’ ერთად. ეს, სავარაუდოდ, დაზარალებული თანამშრომლების მიერ შემოწმდა შიდა პროგრამის გამო.

მონაცემთა დარღვევის გავლენა

ამ მონაცემთა გაჟონვა წარმოადგენს მონაცემთა უსაფრთხოების ოქმების სერიოზულ დარღვევას La Poste- ს და Genius- ის აპლიკაციის შემქმნელებისთვის. მიუხედავად იმისა, რომ La Poste შეიძლება შეაქო მათი გამჭვირვალობისთვის მათი მომხმარებლების მონაცემების დაცვასთან დაკავშირებით, ჩვენი გუნდის აღმოჩენამ ეს მიუთითებს მათ არ გადადგით საკმარისი ზომები აღნიშნული მონაცემების დასაცავად. კრიმინალებს ან მავნე ჰაკერებს რომ ჰქონდეთ ამ მონაცემებზე წვდომა სერიოზულ გავლენას ახდენს ყველა დაზარალებულის კონფიდენციალურობასა და უსაფრთხოებაზე.

La Poste- ს და Genius- ისთვის

ბუნების გაჟონვა დააყენეთ კითხვები La Poste– ს შესახებ მონაცემთა უსაფრთხოების შესახებ, არა მხოლოდ Genius აპი, მაგრამ მათი ფართო ოპერაციების და შვილობილი ბიზნესის ქსელის მასშტაბით. სანამ ჩვენ ვმუშაობთ ამ გაჟონვის მოსაგვარებლად, Genius– ის მომავალ მომხმარებლებმა შეიძლება უარი განაცხადონ აპლიკაციის მიღებაზე მათ საქმიან ოპერაციებში. La Poste შეიძლება იბრძოლოს SMB– ს ნდობის შესანარჩუნებლად ჩვენი აღმოჩენის შემდეგ, საფრანგეთის ბიზნეს საზოგადოებებში მათ რეპუტაციასთან ერთად. როგორც საფრანგეთის უმსხვილესი საფოსტო მომსახურება, მომხმარებლებთან მთელ ევროპაში, La Poste არის ევროკავშირის და GDPR- ის იურისდიქციის ფარგლებში. La Poste კი ცნობს GDPR- ს, თუმცა არა სახელით, მათი მომსახურების პირობებში. გენიოსის მომხმარებლებისა და მათი მომხმარებლების პირადი მონაცემების დაცვით, La Poste შეიძლება იყოს პასუხისმგებელი სამართლებრივი ქმედების ან ჯარიმებისთვის შესაბამისი მარეგულირებელი ორგანოების მიერ.

გენიალური მომხმარებლებისთვის

ამ მონაცემთა ბაზაში გამოვლენილი მგრძნობიარე მონაცემები ხდის გენიალური მომხმარებლები და მათი ბიზნესი დაუცველი არიან სხვადასხვა თავდასხმისა და თაღლითობის სქემების მიმართ. მაგალითად, მიერ PII– ს, ბიზნესისა და ფინანსური მონაცემების გამოყენებით, კრიმინალებს შეეძლოთ ეფექტური ფიშინგური კამპანიების შექმნა. ფიშინგის კამპანია მოიცავს თაღლითობის ელ.ფოსტის შექმნას ლეგიტიმური ბიზნესის და სამთავრობო ორგანოების იმიტაცია, სამიზნეების გასაგრილებლად გამოიყენებოდა რომელიმე რომელიმე შემდეგიდან:

  • დამატებით ინფორმაციას, როგორიცაა პაროლები და სახელები, პირადი ონლაინ ანგარიშებისა და ელ.ფოსტის ჰოსტინგის შესახებ
  • მიეცით ფინანსური ანგარიშები, როგორიცაა საკრედიტო ბარათები ან ონლაინ ბანკინგი
  • დააჭირეთ ბმულს, რომელიც მოიცავს მავნე პროგრამას, როგორიცაა malware, ransomware, spyware და virus

თუ ჰაკერმა დაათვალიერა გამოვლენილი მონაცემები, შეძლო გამოვთვალოთ გენიოსზე გარიგების საშუალო ფასეულობები, მათ შეეძლოთ შეიმუშავონ მეთოდები, მომხმარებლის მომხმარებლისგან მცირე, დამატებითი თანხების მოპარვაში, ან მთლიანი ერთჯერადი თანხები.. ამ მოპარული თანხების აღდგენა შეიძლება იყოს გრძელი, რთული და წარუმატებელი პროცესი – SMB– ის მრავალი მფლობელის შესაძლებლობების მიღმა. გაჟონვამ ასევე შექმნა პოტენციურად უფრო ტრავმული ფიზიკური საფრთხე მაღაზიის მფლობელებისთვის. დღის ბოლოს შერიგება მომხმარებლების მიერ გენიოსის საშუალებით გამოავლინეს ფიზიკური ფულადი თანხის ოდენობა თავიანთ შენობაში, ბიზნესთან ახლოს. ეს საშუალებას აძლევს პოტენციურ ქურდებს საუკეთესო დრო გაიტაცონ ან დაარღვიონ მაღაზიაში და ფულადი სახსრების მოპარვა პირდაპირ შენობიდან. ყველა ჩამოთვლილი ვალუტის ტოტალში, შემდეგი კოდიდან, კოდი ”10150” უდრის 101.50-ს მომხმარებლის ვალუტაში..

გარდა ამისა, იმის გამო, რომ გაჟონა მონაცემებმა ამ ბიზნესების მომხმარებლებმაც დააზიანეს, მათ მეპატრონეებს შეიძლება შეექმნათ ისეთი მომხმარებლების დაკარგვა, რომლებიც აღარ ენდობიან Genius- ის გამოყენებით გამოყენებულ ბიზნესს, რომ მათი მონაცემები უსაფრთხო იყოს. დაბოლოს, გენიოსის მომხმარებლები შეიძლება დაუცველები იყვნენ კონკურენტების მხრიდან უპატიო ქმედებების მიმართ. გაყიდვებთან წვდომის და ფასების მონაცემთა ანალიზის შესასრულებლად, კონკურენტმა შეიძლება შეაფასოს მომხმარებელი კონკურენტ შეთავაზებებით. ამან შესაძლოა მომხმარებლებმა გააშუქოს გენიალური მომხმარებლის მომხმარებელი.

რჩევა ექსპერტებისაგან

La Poste- ს და Genius- ის დეველოპერებს შეეძლოთ თავიდან აიცილოთ ეს გაჟონვა თუ მათ მიიღეს უსაფრთხოების რამდენიმე ძირითადი ზომა მონაცემთა ბაზის დასაცავად. ეს მოიცავს, მაგრამ არ შემოიფარგლება მხოლოდ:

  1. უსაფრთხო თქვენი სერვერები.
  2. წვდომის სათანადო წესების შესრულება.
  3. არასოდეს დატოვოთ ისეთი სისტემა, რომელსაც არ მოითხოვს ავტორიზაცია ინტერნეტისთვის ღია.

ნებისმიერ კომპანიას შეუძლია იგივე ნაბიჯების განმეორება, მიუხედავად მისი ზომისა. უფრო სიღრმისეული სახელმძღვანელოს შესახებ, თუ როგორ უნდა დავიცვათ თქვენი ბიზნესი, შეამოწმეთ ჩვენი სახელმძღვანელო, რომ უზრუნველყოთ თქვენი ვებ – გვერდი და ონლაინ მონაცემთა ბაზა ჰაკერებისგან..

გენიალური მომხმარებლებისთვის

მათი მომსახურების პირობების შესაბამისად, La Poste ვალდებულია 48 საათის განმავლობაში აცნობოს მომხმარებლებს “პირადი მონაცემების დარღვევის შესახებ”: ”ამ კონტექსტში, [ჩვენ] მომხმარებელს ვუკავშირებთ ყველა ინფორმაციას [გვაქვს] პერსონალური მონაცემების ამ დარღვევის პირობებთან დაკავშირებით.” იმედია, ისინი შეასრულებენ ამ ვალდებულებას და აცნობებენ გაჟონვის შედეგად დაზარალებულ ნებისმიერ მხარეს. თუ La Poste Genius- ის მომხმარებელი ხართ და ხართ შეშფოთებული იმაზე, თუ რა გავლენა შეიძლება მოახდინოს ამ დარღვევამ თქვენზე, La Poste ასევე გთავაზობთ მითითებებს გარე მხარეებთან დაკავშირებით თქვენი შეშფოთების გაზრდისთვის: ”როგორც La Poste– ს პირადი მონაცემების დაცვის პოლიტიკის ნაწილი, შეგიძლიათ დაუკავშირდეთ მონაცემთა დაცვის ოფიცერს, CP C703, 9 Rue Colonel Pierre Avia, 75015 PARIS. თქვენი პერსონალური მონაცემების მენეჯმენტის სირთულის შემთხვევაში, შეგიძლიათ შეიტანოთ საჩივარი CNIL. “

SMB მფლობელებისთვის

თუ თქვენ ფლობს SMB და შეშფოთებულია იმის შესახებ, თუ როგორ შეიძლება გავლენა მოახდინოს მონაცემების დაუცველობამ და ქურდობამ თქვენს საქმიანობასა და მომხმარებლებზე, წაიკითხეთ ჩვენი სრული სახელმძღვანელო ონლაინ კონფიდენციალურობისთვის SMB– სთვის. ეს გიჩვენებთ მრავალი გზა, რომ კიბერდანაშაულები მიზნად ისახავს მცირე ბიზნესს და ის ნაბიჯები, რომელთა გადადგმაც შეგიძლიათ, რომ უსაფრთხო გახდეთ.

როგორ და რატომ აღმოვაჩინეთ ეს დარღვევა

VpnMentor– ის კვლევის ჯგუფმა დაარღვია დარღვევა La Poste– ს მონაცემთა ბაზებში, როგორც დიდი ვებ – რუქის პროექტის ნაწილი. ჩვენი მკვლევარები იყენებენ პორტის სკანირებას კონკრეტული IP ბლოკების შესამოწმებლად და სისუფთავე სისტემების ღია ხვრელების შესამოწმებლად. ისინი ამოწმებენ თითოეულ ხვრელს მონაცემების გაჟონვისთვის. როდესაც ისინი ხედავენ მონაცემთა დარღვევას, ისინი იყენებენ საექსპერტო ტექნიკას მონაცემთა ბაზის პირადობის, ისევე როგორც მისი მფლობელის გადასამოწმებლად. ამის შემდეგ ჩვენ ვაფრთხილებთ კომპანიას დარღვევის შესახებ. თუ ეს შესაძლებელია, ჩვენ ასევე შეგვაფრთხილებთ დარღვევის შედეგად დაზარალებულ სხვა მხარეებს. ჩვენმა გუნდმა შეძლო ამ მონაცემთა ბაზაში წვდომა, რადგან იგი მთლიანად დაუცველი იყო და არაგნიფიცირებული. La Poste იყენებს Elasticsearch მონაცემთა ბაზას, რომელიც ჩვეულებრივ არ არის შექმნილი URL– ის გამოყენებისთვის. ამასთან, ჩვენ შევძელით მას ბრაუზერის საშუალებით წვდომა და URL ძიების კრიტერიუმების მანიპულირება სქემების განსახილველად. ამ ვებ – რუკების პროექტის მიზანია ინტერნეტი უსაფრთხო იყოს მომხმარებლის ყველა მომხმარებლისთვის. როგორც ეთიკური ჰაკერები, ჩვენ ვალდებული ვართ შევატყობინოთ კომპანიას, როდესაც მათ უსაფრთხოების დაცვაში აღმოვაჩენთ ხარვეზებს. ეს განსაკუთრებით ეხება იმ შემთხვევაში, როდესაც კომპანიების მონაცემების დარღვევა შეიცავს ასეთ პირად ინფორმაციას. ეს ეთიკა ასევე ნიშნავს, რომ ჩვენ პასუხისმგებლობას ვაკისრებთ საზოგადოებას. გენიოსის მომხმარებლებმა უნდა იცოდნენ, თუ რა გავლენას ახდენს მონაცემთა გაჟონვა მათზე.

ჩვენს შესახებ და წინა მოხსენებები

vpnMentor არის მსოფლიოს უმსხვილესი VPN მიმოხილვის ვებსაიტზე. ჩვენი კვლევის ლაბორატორია არის პრო ბონო მომსახურება, რომელიც ცდილობს ონლაინ საზოგადოებას დაეხმაროს თავი დაიცვას კიბერ საფრთხეებისაგან, ხოლო ორგანიზაციებს ვასწავლით მათი მომხმარებლების მონაცემების დაცვას. წარსულში, ჩვენ აღმოვაჩინეთ უზარმაზარი დარღვევა, რაც მომხმარებელთა მონაცემებს ექვემდებარება AccorHotels- ის კუთვნილ ფრანგულ სასტუმროების ჯგუფში. ჩვენ ასევე გამოავლინა მონაცემები, რომელიც გააკეთა ფრანგული ფრენის დაჯავშნის პლატფორმის Option Way- მა, რაც ართმევს თავს მომხმარებელთა კონფიდენციალურობას. თქვენ ასევე შეგიძლიათ წაიკითხოთ ჩვენი VPN გაჟონვის ანგარიში და მონაცემთა კონფიდენციალურობის სტატისტიკის ანგარიში.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me