ანგარიში: მობილური გადახდების მიმწოდებელმა გაჟონა აშშ – ს რესტორნების სასადილოების მონაცემები მთელს მსოფლიოში

vpnMentor– ის კვლევითი გუნდის ხელმძღვანელობამ ნოამ როტემ და რან ლოკარმა ახლახანს მიიღეს ინფორმაცია PayMyTab- ის უსაფრთხოების უზარმაზარმა შეცდომამ, რომელიც გამოავლინა მომხმარებელთა მონაცემები აშშ – ში.

PayMyTab აწვდის რესტორნებს აშშ – ში ბარათის და მობილური გადახდის ტერმინალები, რომლებიც მომხმარებელსა და ბიზნესს სთავაზობენ გადახდის უფრო მარტივ პროცესს. 

გამოფენილი მონაცემთა ბაზა შეიცავდა მომხმარებლისთვის განსაკუთრებით მგრძნობიარე პერსონალურად იდენტიფიცირების (PII) მონაცემებს სასადილოები რესტორნებში, რომლებმაც PayMyTab შეიტანეს თავიანთი მომსახურება. 

ეს გაჟონვა წარმოადგენს ა PayMyTab– ის მონაცემების ძირითადი უსაფრთხოების არარსებობა თავის მხრივ, 10,000 ადამიანს უბიძგებს ონლაინ თაღლითობებისა და თავდასხმების მიმართ.

აღმოჩენის დროისა და მფლობელის რეაქციის ვადები

მიუხედავად იმისა, რომ მხარე, რომელმაც აღმოაჩინა მონაცემთა გაჟონვა, სთხოვა ანონიმური დარჩენილიყო, მათ ეს საკითხი ჩვენს ყურადღების ცენტრში მოიტანეს ჰელენ ფოსტერის მეშვეობით, პარტნიორთან დევის რაიტმა ტრამინმა ვაშინგტონში, DC..

ამით ისინი იმედოვნებდა, რომ უფრო დიდ ყურადღებას აქცევს ამ პერიოდს, და ასევე აიძულა მობილური კომპანიების გადახდის სხვა ინდუსტრიის სხვა კომპანიებმა ინვესტიცია განახორციელონ მონაცემთა უკეთეს უსაფრთხოებაში ზოგადად. 

მას შემდეგ რაც ჩვენს გუნდმა მიიღო მონაცემების გაჟონვის დეტალური აღწერა, მათ გამოიძიეს შემდგომი დადასტურება PayMyTab– ის, როგორც მონაცემთა ბაზის მფლობელის და გაჟონვის სრული მოცულობის შესახებ..

დარღვევის გაცნობიერება და მისი პოტენციური გავლენის მოხდენა ყურადღებით ყურადღებას და დროს მოითხოვს. ჩვენი გუნდი უნდა იყოს საფუძვლიანი და დარწმუნდეს, რომ ყველაფერი, რაც ჩვენ ვიპოვით, სწორი და მართალია. ზოგჯერ დაზარალებული ბიზნესები უარყოფენ ფაქტებს, უგულებელყოფენ ჩვენს კვლევებს ან არ ასაბუთებენ მის გავლენას. 

ამ შემთხვევაში, მას შემდეგ რაც ჩვენ დაუკავშირდით PayMyTab- ს, რომ მათ მივაწოდოთ ინფორმაცია მონაცემთა დარღვევის შესახებ და შემოგთავაზოთ ჩვენი დახმარება. 

  • ინფორმაცია ჩვენთვის იქნა წარმოდგენილი: 18/10/19
  • თარიღი გამყიდველები დაუკავშირდნენ: 22/10/19
  • მე -2 კონტაქტის მცდელობის თარიღი (საჭიროების შემთხვევაში): 27/10

მონაცემთა ბაზაში შესვლის მაგალითები

PayMyTab ხელს უწყობს თავის მომსახურებას, როგორც მომხმარებლებს სთავაზობს „სიმარტივეს და უსაფრთხოებას გადახდის დროს“. 

კონფიდენციალურობის პოლიტიკის შესახებ, PayMyTab აცხადებს, რომ იგი:

”შეინარჩუნოს სათანადო ადმინისტრაციული, ფიზიკური და ტექნიკური გარანტიები [d] Ata უსაფრთხოების, კონფიდენციალურობის და მთლიანობის დაცვის მიზნით…”

ამ გაჟონვის შედეგად გამოვლენილი მონაცემების საფუძველზე, ეს განცხადებები საუკეთესოა.

2018 წლის 2 ივლისიდან დღემდე, PayMyTab- მა მომხმარებელთა PII მონაცემები უმასპინძლა Amazon Web Services (AWS) S3 თაიგულზე – შენახვის ჩვეულებრივი ფორმა AWS- ზე. მიუხედავად იმისა, რომ S3 თაიგულების შენახვის პოპულარული და უსაფრთხო მეთოდია, PayMyTab– ს ჰქონდა ვერ შეასრულა Amazon– ის უსაფრთხოების ოქმები, რის გამოც მათ დაუცველები დატოვეს. 

S3 თაიგული შეიცავდა ნებისმიერი მომხმარებლის ნებისმიერი ჩანაწერს რესტორანში, რომელიც იყენებს PayMyTab– ს, რომლებმაც გადაწყვიტეს, რომ მათი მიღება ელ.ფოსტით გამოეგზავნათ მათთვის, ჭამის შემდეგ. მათი ელექტრონული ფოსტის მისამართის მიწოდების საშუალებით, მათ შეეძლოთ მათი ქვითრის ნახვა ონლაინ რეჟიმში მათი ელექტრონული ფოსტის ყუთში.

თუ დააჭირეთ ბმულს ქვითრის სანახავად, მათი PII ექვემდებარება ყველას, ვისაც S3 თაიგულების მონაცემთა ბაზაში წვდომა აქვს.

მომხმარებლის PII მონაცემების მაგალითები, რომლებიც სანახავი იყო, მოიცავდა:

  • მომხმარებლის სახელი 
  • ელ.ფოსტის მისამართი ან მობილური ტელეფონის ნომერი
  • გადახდის ბარათის ნომრის ბოლო 4 ციფრი 
  • შეუკვეთეთ დეტალები (კვების ობიექტები)
  • რესტორნის თარიღი, დრო, ადგილმდებარეობა და სახელი ეწვია

ქვემოთ მოცემულია სასადილოების ქვითარი, მათი ელ.ფოსტის მისამართით და PII ჩვენს მიერ გამოსწორებულია:

მონაცემთა დარღვევის გავლენა

ამ მონაცემთა დარღვევა წარმოადგენს PayMyTab– ის უსაფრთხოების ძირითადი პროტოკოლის სერიოზული შეცდომაა. ამ მონაცემთა ბაზის გამოვლენით, ისინი საფრთხეს უქმნიდა მომხმარებლების კონფიდენციალურობას თავიანთი კლიენტის რესტორნებში, თავად რესტორნებში, ისევე როგორც PayMyTab– ის მთელ საქმიანობაში. 

გამოფენილი მომხმარებელი PII ხდის დაზარალებულებს დაუცველია ონლაინ შეტევისა და თაღლითობის მრავალი ფორმის მიმართ. 

ამ დარღვევით გამოვლენილი ინფორმაციით, ჰაკერებსა და კიბერდანაშაულებს შეეძლოთ დაიწყონ პოტენციური მსხვერპლის პროფილების შექმნა და მიზნად ისახავდნენ პირადობის ქურდობას ან ფიშინგს. მათი ფინანსური და პირადი უსაფრთხოების შედეგები შეიძლება დამანგრეველი იყოს.

ბიზნესისათვის, ვინც PayMyTab იყენებს, ისინი კარგავენ მომხმარებელთა ნდობას. მონაცემთა უსაფრთხოება მზარდი შეშფოთებაა ყველა მომხმარებლისთვის, იმისდა მიუხედავად, რა ვებსაიტს, ხელსაწყოს ან პლატფორმას იყენებენ. თუ ისინი არ ენდობიან რესტორანს, რომ დაიცვან თავიანთი მონაცემები, მომხმარებლებს ნაკლებად შეეძლებათ ვახშამი. 

იგივე ნდობის საკითხები ვრცელდება PayMyTab– ზე. S3 თაიგულების მონაცემთა ბაზა გამოიფინა ძირითადი ზედამხედველობის გამო, მათი უსაფრთხოების ფართო პროტოკოლები ეჭვქვეშ დააყენებს. მაშინაც კი, თუ ისინი ამ პრობლემას გადაწყვეტენ, კლიენტები შეიძლება მომავალში უარი თქვან PayMyTab.

ბოლოს, მაშინაც კი, თუ PayMyTab უზრუნველყოფს S3 თაიგულს, ამ ქვითრები მაინც გამოდგება (იხ. ქვემოთ). PayMyTab უნდა პრობლემის გადასაჭრელად მთლიანად გადააკეთეს მათი მონაცემთა შენახვა.

უსაფრთხო S3 თაიგულის უზრუნველყოფა

მნიშვნელოვანია აღინიშნოს ეს ღია, საჯაროდ ხილული S3 თაიგულები არ არის AWS- ს ხარვეზი. ეს, როგორც წესი, ეს არის bucket- ის მფლობელის მიერ შეცდომის შედეგი. Amazon უზრუნველყოფს დეტალური ინსტრუქციები AWS მომხმარებლებს, რათა მათ დაეხმარონ S3 თაიგულების უსაფრთხოებასა და შენახვაში. 

PayMyTab- ის შემთხვევაში, ამ შეცდომის გამოსწორების ყველაზე სწრაფი გზა არის bucket “საჯაროდ” შენახვა (ასე რომ ადამიანებს შეუძლიათ კვლავ მიიღონ თავიანთი ქვითრები ელექტრონული ფოსტის ბმულის საშუალებით), მაგრამ ამოიღეთ გარკვეული “სიიდან” ნებართვები. თუმცა, ეს ჯერ კიდევ არ არის ბოლომდე ეფექტური. 

თუ კიდევ ერთი ჰაკერი წვდებოდა ბუკეტს და ჩამოტვირთავდა ფაილებს შიგნით, მათ კვლავ ექნებოდათ წვდომა მომხმარებლის შესახებ მონაცემებზე ქვითრების შესახებ. მათ შეეძლოთ ეს გამოიყენონ, რათა შეაფასონ bucket- ზე განთავსებული უსაფრთხოების ნებისმიერი მომავალი შემთხვევითი ზომები. 

შემდგომი ავტორიზაციის ოქმების გარეშე, ეს ქმნის bucket დაუცველებს უხეში ძალების შეტევებისგან, რომლებიც გამოიკვეთება მომავალი მომხმარებლების პირადი მონაცემების შესახებ. 

ამის უზრუნველსაყოფად არ ხდება, PayMyTab- ს დასჭირდება AWS წვდომის და ავთენტიფიკაციის საუკეთესო პრაქტიკის გატარება და დაცვის მეტი ფენის დამატება მათი S3 bucket- ში, ამით შეიზღუდავს თუ ვის შეუძლია შესვლა მის ყველა წერტილში.

რჩევა ექსპერტებისაგან

PayMyTab- ს შეეძლო თავიდან აეცილებინა ეს გაჟონვა თუ მათ მიიღეს უსაფრთხოების ძირითადი ზომები S3 bucket- ის დასაცავად. ეს ზომები შეიძლება გამოყენებულ იქნას ნებისმიერ მონაცემთა ბაზაში და მათი ასახვა შეიძლება ნებისმიერი ბიზნესის მიერ:

  1. უსაფრთხო თქვენი სერვერები.
  2. წვდომის სათანადო წესების შესრულება.
  3. არასოდეს დატოვოთ ისეთი სისტემა, რომელსაც არ მოითხოვს ავტორიზაცია ინტერნეტისთვის ღია.

უფრო სიღრმისეული სახელმძღვანელოსთვის, თუ როგორ უნდა დაიცვათ თქვენი ბიზნესი, შეამოწმეთ ჩვენი სახელმძღვანელო ჰაკერებისგან თქვენი ვებგვერდის და ონლაინ მონაცემთა ბაზის უზრუნველსაყოფად.

PayMyTab– ისთვის მომხმარებლები

თუ რესტორნის მომხმარებელი ხართ PayMyTab– ით, დაუკავშირდით მათ, რომ მათ იცოდნენ დარღვევა და რა გავლენას ახდენს თქვენზე. 

დაინტერესებული ხართ, თუ როგორ შეიძლება გავლენა იქონიოს თქვენზე მონაცემების დაუცველობამ და ზოგადად კიბერდანაშაულმა? წაიკითხეთ ჩვენი სრული სახელმძღვანელო ონლაინ კონფიდენციალურობის შესახებ.

ეს გიჩვენებთ მრავალი გზა, რომლითაც კიბერდანაშაულები მიზნად ისახავს ინტერნეტ მომხმარებლებს და ის ნაბიჯები, რომელთა გადადგმაც შეგიძლიათ, რომ უსაფრთხო გახდეთ.

როგორ და რატომ აღმოვაჩინეთ ეს დარღვევა

შეგვატყობინეს PayMyTab– ის მონაცემთა ბაზაში დარღვევის შესახებ ჩვენი უზარმაზარი ვებ რუკების პროექტი, რომელიც ეძებს მონაცემთა ბაზაში გაჟონვას ინტერნეტით. 

ადამიანი, რომელმაც გაჟონვა აღმოაჩინა, ჰკითხა ჩვენ შეგვატყობინეს ცნობიერების ამაღლების მიზნით. ამით, ჩვენ ვიმედოვნებთ, რომ მობილური ტელეფონების გადახდის ყველა კომპანიას მოუწოდებენ, გადახედონ მონაცემების უსაფრთხოების პროტოკოლებს.

ვებ – რუკების ამ პროექტის მიზანია დაეხმარება ინტერნეტი უსაფრთხო იყოს ყველა მომხმარებლისთვის.

როგორც ეთიკური ჰაკერები, ჩვენ ვალდებული ვართ შევატყობინოთ კომპანიას ხარვეზების აღმოჩენისას მათ ონლაინ უსაფრთხოებაში. ეს განსაკუთრებით ეხება იმ შემთხვევაში, როდესაც კომპანიების მონაცემების დარღვევა შეიცავს ასეთ პირად ინფორმაციას.

ამასთან, ეს ეთიკა იმას ნიშნავს, რომ ჩვენ პასუხისმგებლობას ვკისრებთ საზოგადოებას. PayMyTab მომხმარებლებმა უნდა იცოდნენ მონაცემთა დარღვევა, რაც მათზე გავლენას მოახდენს.

ჩვენს შესახებ და წინა მოხსენებები

vpnMentor არის მსოფლიოს უდიდესი VPN მიმოხილვის ვებ – გვერდი. ჩვენი კვლევის ლაბორატორია არის პრო ბონო მომსახურება, რომელიც ცდილობს ონლაინ საზოგადოებას დაეხმაროს თავი დაიცვას კიბერ საფრთხეებისაგან, ხოლო ორგანიზაციებს ატარებს საკუთარი მომხმარებლების მონაცემების დაცვაში.. 

ჩვენ ცოტა ხნის წინ აღმოვაჩინეთ მონაცემთა უზარმაზარი დარღვევა, რაც გავლენას ახდენს 80 მილიონი აშშ-ს ოჯახზე. ჩვენ ასევე აღმოვაჩინეთ, რომ ბიოსტარ 2-ში დარღვეულმა ზიზღმა გამოიწვია 1 მილიონზე მეტი ადამიანის ბიომეტრიული მონაცემები. თქვენ ასევე შეგიძლიათ წაიკითხოთ ჩვენი VPN გაჟონვის ანგარიში და მონაცემთა კონფიდენციალურობის სტატისტიკის ანგარიში.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me