ანგარიში: VEED.io პერსონალურ მომხმარებლებს აჩვენებს მონაცემთა გაჟონვაში

vpnMentor– ის კვლევითი გუნდი, რომელსაც ცნობილი ანალიტიკოსები ნოამ როტემი და რან ლოკარი ხელმძღვანელობენ, ცოტა ხნის წინ აღმოაჩინეს უსაფრთხოების დარღვევა მონაცემთა ბაზაში, რომელიც ეკუთვნის VEED.io რედაქტირების პლატფორმას.

ლონდონში განთავსებული VEED მომხმარებლებს საშუალებას აძლევს, ისარგებლონ ატვირთეთ ვიდეო და ოპტიმიზაცია მოახდინეთ მათ სოციალურ მედიაში გაზიარებისთვის. ზევით მსოფლიოს მასშტაბით 50,000 მომხმარებელი, მათი მომხმარებელთა ბაზა მოიცავს კრეატივებს, გავლენებს, კორპორატიულ ბიზნესს, და რეგულარული სოციალური მედიის მომხმარებლები. 

დარღვეული მონაცემთა ბაზა კომპრომეტირებულია თითოეული VEED მომხმარებლის კონფიდენციალურობა, პლატფორმაზე ატვირთვის ყველა შინაარსის გამოვლენა მისი ნედლეული, დაუცველი ფორმით. ამაში შედიოდა ძალიან მგრძნობიარე ხასიათის პირადი ვიდეო. 

აღმოჩენის დროისა და მფლობელის რეაქციის ვადები

ზოგჯერ, მონაცემების დარღვევის ზომა და მონაცემთა ბაზის მფლობელი აშკარაა, და საკითხი სწრაფად მოგვარდება. მაგრამ იშვიათია ეს ჯერ. ყველაზე ხშირად, ჩვენ გვჭირდება გამოძიების დღეები, სანამ გავიგებთ, რა არის ამ ეტაპზე ან ვინ ვინ გამოაქვს მონაცემები.

დარღვევის გაცნობიერება და მისი პოტენციური გავლენის მოხდენა ყურადღებით ყურადღებას და დროს მოითხოვს. ჩვენი გუნდი უნდა იყოს საფუძვლიანი და დარწმუნდეს, რომ ყველაფერი, რაც ჩვენ ვიპოვით, სწორი და მართალია. ზოგჯერ, დაზარალებული მხარეები უარყოფენ ფაქტებს, უგულებელყოფენ ჩვენს კვლევებს ან არ ასაბუთებენ მის გავლენას. 

საბედნიეროდ, გუნდის გარშემო ამჯერად სწრაფად დაასახელა VEED, როგორც მონაცემთა მფლობელები. ამაზონის ვებ – სერვისებზე (AWS) მასპინძლობს, მონაცემთა ბაზა იყო S3 Bucket – საერთო შენახვის ფორმა AWS. 

ჩვენ დაუკავშირდით კომპანიას, რათა მათ სიფხიზლის შესახებ მივაყენოთ ინფორმაცია, თუმცა პასუხი მივიღეთ რამდენიმე კვირით ადრე. იმავდროულად, ჩვენ ასევე დავუკავშირდით AWS- ს პირდაპირ, რომ მათ ამ საკითხის შესახებ მივაწოდოთ ინფორმაცია. AWS– მა VEED– ს მიაღწია, დარღვევა დაიხურა. 

  • აღმოჩენილი თარიღი: 12/10
  • თარიღი გამყიდველები დაუკავშირდნენ: 15/10
  • კონტაქტის თარიღი AWS: 27/10
  • პასუხის თარიღი AWS– დან: 29/10
  • მოქმედების თარიღი: დაახლ. 05/11
  • პასუხის თარიღი VEED– დან: 21/11/19

მონაცემთა ბაზაში შესვლის მაგალითები

AWS ბუკეტი შეიცავდა 10,000-იან ვიდეოს როგორც ნედლი, ისე რედაქტირებული ფორმით. ესენი იყო VEED მომხმარებლების მიერ ატვირთა მთელს მსოფლიოში და მოიცავდა მარკეტინგის მასალებს, ოჯახურ ვიდეოებს და სახლის პირობებში პორნოგრაფიასაც კი. 

ისიც ზოგიერთ ვიდეოში შესაძლებელი იყო უკანონო შინაარსის სხვადასხვა ფორმა.

ჩვენი მკვლევარები იყვნენ თეორიულად შეეძლოთ წვდომა და ნახვა, VEED– ზე ატვირთვის ნებისმიერი შინაარსით, მიუხედავად იმისა, გაკეთდა ეს პირადი ან საზოგადოებრივი სანახავად. 

მონაცემთა დარღვევის გავლენა

ამ მონაცემთა დარღვევა წარმოადგენს VEED– ის უსაფრთხოების ძირითადი პროტოკოლის სერიოზული შეცდომა. მომხმარებლის მიერ წარმოქმნილი შინაარსის მთელი მონაცემთა ბაზის გამოკვეთით, ისინი საფრთხეს უქმნიდნენ თავიანთი მომხმარებლების კონფიდენციალურობას, ისევე როგორც მათ მთლიან საქმიანობას. 

მონაცემთა უსაფრთხოება მზარდი შეშფოთებაა ინტერნეტის ყველა მომხმარებლისთვის იმისდა მიუხედავად, რა ვებსაიტს, ხელსაწყოს ან პლატფორმას იყენებენ. VEED– ის მარკეტინგული და სარეკლამო მიზნებისათვის გამოყენებული ბიზნესი ეხება მათ პირადი შინაარსის გახსნა საზოგადოებისთვის ღია იყო, სანამ მათ გამოქვეყნებდნენ, რაც შეიძლება გამოიწვიოს კლიენტების დაკარგვა ან კორპორატიული სამართლებრივი მოქმედება.

ანალოგიურად, თუ ზოგი ვიდეო შეიცავს უკანონო შინაარსს, ეს შეიძლება გახდეს პასუხისმგებლობა დაეკისრა იურიდიულ მოქმედებას. 

ცალკეული მომხმარებლებისთვის, გამოვლენილმა მონაცემთა ბაზამ ისინი პირადად დააკოპირა. გაურკვეველი იყო, თუ რომელი ვიდეო ფაილები იყო პირადი გამოყენებისთვის და რომლებიც განკუთვნილი იყო სოციალურ მედიაში ატვირთვისთვის. 

მაგალითად მიიღეთ, პორნოგრაფიული მასალა. 

ამ ვიდეორგოლის შემქმნელთა დასაბუთება არასასიამოვნო იქნებოდა მათთვის, რომ საზოგადოებისთვის ხელმისაწვდომი ყოფილიყო. Ეს არის უფრო სერიოზული, ვიდრე მხოლოდ პოტენციურად გამწვავება: პირადი, ინტიმური, საშინაო პორნოგრაფია მნიშვნელოვანი შანტაჟი და გამოძალვაა. 

კრიმინალებსა და მავნე ჰაკერებს შეეძლოთ ეს ვიდეო თავიანთი შემქმნელების წინააღმდეგ მათი სამიზნე სხვადასხვა გზით, დამანგრეველი შედეგებით, პირადად და ფინანსურად.

რჩევა ექსპერტებისაგან

VEED– ს შეეძლო თავიდან აეცილებინა ეს გაჟონვა, თუ მათ მიიღეს უსაფრთხოების ძირითადი ზომები S3 bucket- ის დასაცავად. ნებისმიერ კომპანიას შეუძლია განმეორდეს შემდეგი ნაბიჯები, მიუხედავად მისი ზომისა:

  1. უსაფრთხო თქვენი სერვერები.
  2. წვდომის სათანადო წესების შესრულება.
  3. არასოდეს დატოვოთ ისეთი სისტემა, რომელსაც არ მოითხოვს ავტორიზაცია ინტერნეტისთვის ღია.

უფრო სიღრმისეული სახელმძღვანელოს შესახებ, თუ როგორ უნდა დავიცვათ თქვენი ბიზნესი, შეამოწმეთ ჩვენი სახელმძღვანელო, რომ უზრუნველყოთ თქვენი ვებ – გვერდი და ონლაინ მონაცემთა ბაზა ჰაკერებისგან..

VEED– ისთვის მომხმარებლები

განსხვავებული მონაცემების გაჟონვისგან განსხვავებით, ჩვენ ვიპოვით და ანალიზს, თქვენი ანგარიშის შესვლის დეტალების შეცვლა აქ არავითარ მნიშვნელობას არ გამოიწვევს. გაჟონვის შედეგად გაჟონა ვიდეომასალამ, რომელიც ატვირთა VEED- ს, მომხმარებლის შესვლის დეტალების მოთხოვნის გარეშე.

Ამ მიზეზით, VEED– ს გადადება აქვს დარღვევის დახურვა და ვიდეოების დაცვა გარე მხარეებისგან. 

თუ თქვენ VEED მომხმარებელი ხართ და ხართ შეშფოთებული იმაზე, თუ რა გავლენა მოახდინა ამ დარღვევამ თქვენზე, დაუკავშირდით მათ და იკითხეთ რა ნაბიჯებს დგამენ. 

გაეცნონ ზოგადად მონაცემების დაუცველობებს და როგორ დავიცვათ თქვენი დაცვა გაჟონვისგან, წაიკითხეთ ჩვენი სრული სახელმძღვანელო ონლაინ კონფიდენციალურობის შესახებ.

ეს გიჩვენებთ მრავალი გზა, რომლითაც კიბერდანაშაულები მიზნად ისახავს ინტერნეტ მომხმარებლებს და ნაბიჯები, რომელთა გადადგმაც შეგიძლიათ უსაფრთხოდ.

როგორ და რატომ აღმოვაჩინეთ ეს დარღვევა

VpnMentor– ის კვლევის ჯგუფმა დაარღვია დარღვევა VEED– ის მონაცემთა ბაზებში, როგორც ნაწილი დიდი ვებ – რუქის პროექტი. ჩვენი ჰაკერები იყენებენ პორტის სკანირებას კონკრეტული IP ბლოკების შესამოწმებლად და სისუფთავე სისტემების ღია ხვრელების შესამოწმებლად. ისინი ამოწმებენ თითოეულ ხვრელს მონაცემების გაჟონვისთვის. 

როდესაც ისინი ხედავენ მონაცემთა დარღვევას, ისინი იყენებენ ექსპერტულ ტექნიკას მონაცემთა ბაზის პირადობის დასადგენად. ამის შემდეგ ჩვენ ვაფრთხილებთ კომპანიას დარღვევის შესახებ. თუ ეს შესაძლებელია, ჩვენ ასევე შეგვაფრთხილებთ დარღვევის შედეგად დაზარალებულებს.

VEED იყენებდა AWS– ს ღია S3 Bucket მონაცემთა ბაზას, რომელსაც მათ სწორად ვერ უზრუნველყოფდნენ. მიუხედავად იმისა, რომ AWS უზრუნველყოფს ინსტრუმენტების დასუფთავებას თაიგულებისგან, მათი გარეგნობისთვის მიუწვდომელი გახდება, მათ მომხმარებლებზე უნდა გამოიყენონ ისინი. 

ჩვენ შევძელით წვდომა VEED– ის S3 Bucket– ში, რადგან ეს იყო სრულიად დაუცველი და დაშიფრული. ვებ – ბრაუზერის გამოყენებით, გუნდს შეეძლო მონაცემთა ბაზაში განთავსებულ ყველა ფაილზე წვდომა.

ამ ვებ – რუკების პროექტის მიზანია ინტერნეტი უსაფრთხო იყოს მომხმარებლის ყველა მომხმარებლისთვის. 

როგორც ეთიკური ჰაკერები, ჩვენ ვალდებული ვართ შევატყობინოთ კომპანიას როდესაც ჩვენ ვპოულობთ ხარვეზებს მათ ონლაინ უსაფრთხოებაში. ეს განსაკუთრებით ეხება იმ შემთხვევაში, როდესაც კომპანიის მონაცემების დარღვევა შეიცავს ასეთ მგრძნობიარე და მავნე ინფორმაციას.

ეს ეთიკა ნიშნავს ჩვენ პასუხისმგებლობას ვაკისრებთ საზოგადოებას. VEED მომხმარებლებმა უნდა იცოდნენ მონაცემთა დარღვევაზე, რაც მათზე გავლენას მოახდენს.

ჩვენს შესახებ და წინა მოხსენებები

vpnMentor არის მსოფლიოს უდიდესი VPN მიმოხილვის ვებ – გვერდი. ჩვენი კვლევის ლაბორატორია არის პრო ბონო მომსახურება, რომელიც ცდილობს ონლაინ საზოგადოებას დაეხმაროს თავი დაიცვას კიბერ საფრთხეებისაგან, ხოლო ორგანიზაციებს ატარებს საკუთარი მომხმარებლების მონაცემების დაცვაში.. 

ჩვენ ცოტა ხნის წინ აღმოვაჩინეთ მონაცემთა უზარმაზარი დარღვევა, რაც გავლენას ახდენს 80 მილიონი აშშ-ს ოჯახზე. ჩვენ ასევე აღმოვაჩინეთ, რომ ბიოსტარ 2-ში დარღვეულმა ზიზღმა გამოიწვია 1 მილიონზე მეტი ადამიანის ბიომეტრიული მონაცემები. თქვენ ასევე შეგიძლიათ წაიკითხოთ ჩვენი VPN გაჟონვის ანგარიში და მონაცემთა კონფიდენციალურობის სტატისტიკის ანგარიში.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me