Доклад: Мобилни плащания на доставчици на данни за американски ресторант Diners Nationwide

Изследователският екип на vpnMentor, воден от Ноам Ротем и Ран Локар, наскоро беше информиран за огромен пропуск в сигурността от PayMyTab, който изложи данните на потребителите в САЩ.

PayMyTab доставя ресторанти в САЩ с картови и мобилни платежни терминали, които предлагат на клиентите и бизнеса по-рационален процес на плащане. 

Изложената база данни съдържаше високо чувствителни лични данни за клиенти (PII) за клиенти вечеря в ресторанти, които са интегрирали PayMyTab в своята услуга. 

Този теч представлява a провал в сигурността на основните данни от PayMyTab и от своя страна прави 10 000 хиляди хора уязвими за онлайн измами и атаки.

Времева линия на откриване и реакция на собственика

Докато партията, която откри изтичането на данни, поиска да остане анонимна, те обърнаха внимание на проблема чрез Хелън Фостър, партньор в Дейвис Райт Тремейн във Вашингтон, окръг Колумбия.

По този начин те се надява конкретно да привлече по-голямо внимание към този период, както и да подкани други компании от индустрията за мобилни плащания да инвестират в по-добра сигурност на данните общо взето. 

След като нашият екип получи подробна разбивка на изтичането на данни, те разследваха допълнително, за да потвърдят PayMyTab като собственик на базата данни и пълната степен на теча.

Разбирането на нарушение и потенциалното му въздействие изисква внимателно внимание и време. Нашият екип трябва да бъде задълбочен и да се уверим, че всичко, което намерим, е правилно и вярно. Понякога засегнатите фирми отричат ​​фактите, пренебрегвайки нашите изследвания или омаловажавайки въздействието му. 

В този случай, след като се свързахме с PayMyTab, за да ги информираме за нарушаването на данните и да предложим нашата помощ. 

  • Информацията за дата ни беше представена: 18/10/19
  • Дата на контакт на продавачите: 22/10/19
  • Дата на втория опит за контакт (ако е приложимо): 27/10

Пример за записи в базата данни

PayMyTab популяризира своите услуги като предоставя на потребителите „простота и сигурност, докато плащат“. 

В своята Политика за поверителност PayMyTab заявява, че:

„Поддържат [и] подходящи административни, физически и технически предпазни мерки за защита на сигурността, поверителността и целостта на [d] ата…“

Въз основа на данните, изложени в рамките на това изтичане, тези твърдения са в най-добрия случай неточни.

  Atlanta a Netflix-en van! Így nézheti meg ezt 2023-ban

От 2 юли 2023 г. до наши дни, PayMyTab хоства PII данните на потребителите на Amazon Web Services (AWS) кофа S3 – често срещана форма за съхранение в AWS. Докато кофите S3 са популярен и безопасен метод за съхранение, PayMyTab имаше не успя да спази протоколите за сигурност на Amazon, оставяйки техните незащитени. 

Кофата S3 съдържа подробни записи на всеки клиент в ресторант, използващ PayMyTab, които бяха избрали да получат имейлите им след хранене. Като предоставят имейл адреса си, те могат да видят получаването им онлайн от електронната си поща.

Ако щракнаха върху връзка, за да прегледат разписката, техният PII беше изложен на всеки, който има достъп до базата данни на кофата S3.

Включени са примери за данни за PII на клиента, които са видими:

  • Име на клиента 
  • Имейл адрес или номер на мобилен телефон
  • Последни 4 цифри от номера на платежната карта 
  • Детайли за поръчка (артикули за хранене)
  • Дата, час, местоположение и име на посетения ресторант

По-долу е разписка на вечеря, с имейл адреса и PII, редактирани от нас:

Доклад: Мобилни плащания на доставчици на данни за американски ресторант Diners Nationwide

Въздействие на нарушаването на данни

Това нарушение на данните представлява сериозен пропуск в основния протокол за сигурност за PayMyTab. Излагайки тази база данни, те рискуваше поверителността на клиентите в ресторантите на своите клиенти, самите ресторанти, както и целия бизнес на PayMyTab. 

Изложеният клиент PII прави засегнатите уязвими към много форми на онлайн атака и измами. 

С изложената в това нарушение информация, хакери и киберпрестъпници могат да започнат да изграждат профили на потенциални жертви и да ги насочват за кражби на самоличност или фишинг кампании. Последиците за тяхната финансова и лична сигурност могат да бъдат катастрофални.

За предприятията, които използват PayMyTab, те губят доверието на клиентите. Сигурността на данните е нарастваща грижа за всички потребители, независимо от това кой уебсайт, инструмент или платформа използват. Ако нямат доверие в ресторант, за да защитят своите данни, клиентите ще имат по-малка вероятност да вечерят там. 

Същите проблеми с доверието се простират и до PayMyTab. Базата данни на кофата S3 беше изложена поради основен надзор, поставя под въпрос техните по-широки протоколи за защита на данните. Дори и да разрешат този проблем, клиентите може да не са склонни да използват PayMyTab в бъдеще.

  Извештај - Кршење података Далила: 5+ милиона података корисника који су изложени од стране незаштићене апликације

накрая, дори ако PayMyTab защитава кофата S3, въпросните разписки все още могат да бъдат изложени (вижте по-долу защо). PayMyTab ще трябва напълно да преправят съхранението на данни, за да разрешат проблема.

Осигуряване на отворена кофа S3

Важно е да се отбележи това отворените, публично видими кодове S3 не са недостатък на AWS. Обикновено те са резултат от грешка от собственика на кофата. Amazon предоставя подробни инструкции на потребителите на AWS, за да им помогне да обезопасят S3 кофите и да ги запазят лични. 

В случая на PayMyTab, най-бързият начин да коригирате тази грешка е да запазите кофата „обществена“ (така че хората все още да имат достъп до разписките си чрез имейл връзката), но да премахнете определени разрешения за „списък“ от нея. Това обаче все още не е напълно ефективно. 

Ако друг хакер е получил достъп до кофата и е изтеглил файловете вътре, те все още ще имат достъп до потребителските данни на разписките. Те биха могли да използват това, за да подкопаят всички бъдещи рандомизирани мерки за сигурност, поставени върху кофата. 

Без допълнителни протоколи за удостоверяване, това прави кофата уязвима за груби атаки, които биха разкрили личните данни на бъдещите потребители. 

За да се гарантира, че това не се случва, PayMyTab ще трябва да следва най-добрите практики за достъп и удостоверяване на AWS и да добави още слоеве на защита до кофата им S3, като по този начин ограничава достъпа до нея от всяка точка на влизане.

Съвети от експертите

PayMyTab лесно би могъл да избегне това изтичане ако бяха предприели някои основни мерки за защита, за да защитят кофата S3. Тези мерки могат да бъдат приложени към всяка база данни и могат да бъдат копирани от всеки бизнес:

  1. Защитете сървърите си.
  2. Прилагайте правилни правила за достъп.
  3. Никога не оставяйте отворена за интернет система, която не изисква удостоверяване.
  Биткойн мъртъв ли е? Кога ще умре биткойн?

За по-задълбочено ръководство за това как да защитите бизнеса си, вижте нашите ръководство за осигуряване на вашия уеб сайт и онлайн база данни от хакери.

За PayMyTab Клиенти

Ако сте клиент на ресторант, използващ PayMyTab, свържете се с тях, за да се уверите, че са запознати с нарушението и как ви влияе.. 

Загрижени за това как уязвимостите на данните и киберпрестъпността като цяло могат да ви повлияят? Прочетете нашите пълно ръководство за поверителност онлайн.

Той ви показва многото начини, по които киберпрестъпниците са насочени към интернет потребителите и стъпките, които можете да предприемете, за да сте в безопасност.

Как и защо открихме нарушението

Ние бяхме уведомени за нарушението в базата данни на PayMyTab в резултат на нашият огромен проект за уеб картографиране, който търси течове на база данни в интернет. 

Човекът, който откри теча, го попита бяхме уведомени за повишаване на осведомеността. По този начин се надяваме да подканим всички компании за мобилни разплащания да преоценят своите протоколи за сигурност на данните.

Целта на този проект за уеб карти е да помогнете да направите интернет по-безопасен за всички потребители.

Като етични хакери, ние сме длъжни да уведомим компания, когато открием недостатъци в тяхната онлайн сигурност. Това е особено вярно, когато нарушението на данните на фирмите съдържа такава частна информация.

Тази етика обаче означава също, че носим отговорност пред обществото. Потребителите на PayMyTab трябва да са наясно с нарушение на данните, което също ги засяга.

За нас и предишни отчети

vpnMentor е най-големият уебсайт за преглед на VPN в света. Нашата изследователска лаборатория е про bono услуга, която се стреми да помогне на онлайн общността да се защити от кибер заплахи, като същевременно обучава организации за защита на данните на своите потребители. 

Наскоро открихме огромно нарушение на данните, засягащо 80 милиона американски домакинства. Също така разкрихме, че нарушение в Biostar 2 компрометира биометричните данни на над 1 милион души. Можете също така да прочетете нашия отчет за течове на VPN и отчет за статистиката на поверителност на данните.