Отчет: африканские пользователи мобильного интернета подверглись огромной утечке данных

Исследовательская группа vpnMentor обнаружила, что под руководством аналитиков кибербезопасности Ноама Ротема и Рана Локара нарушение данных в базе данных, принадлежащей южноафриканской компании ИКТ, Conor. Взломанная база данных содержала ежедневные журналы активности пользователей клиентами интернет-провайдеров с использованием программного обеспечения веб-фильтрации, созданного Conor. Он разоблачил весь интернет-трафик и активность этих пользователей, вместе с их данными PII. Это включено высокочувствительная и частная деятельность, в том числе порнографии, Conor не только подвергает пользователей смущению, раскрывая такую ​​активность просмотра, но они также скомпрометированы конфиденциальность и безопасность людей во многих странах.

Профиль компании Конор

Базируется в Южной Африке, Conor – это компания, занимающаяся информационными и коммуникационными технологиями, которая разрабатывает программные продукты для клиентов в Африке и Южной Америке.. Они создают ряд решений для предприятий во многих отраслях, включая финансы, мобильный интернет, МСП и монетизацию данных.. Конор может похвастаться 80 миллионами мобильных абонентов на свои продукты, с некоторыми известными клиентами, включая Vodafone и Telkom.

Хронология открытия и реакции владельца

Иногда степень нарушения данных и владелец данных очевидны, и проблема быстро решается. Но эти времена редки. Чаще всего нам нужны дни расследования, чтобы понять, что поставлено на карту или кто утечка данных. Понимание нарушения и его потенциального воздействия требует тщательного внимания и времени. Мы прилагаем все усилия, чтобы публиковать точные и заслуживающие доверия отчеты, чтобы каждый, кто их читает, понимал их серьезность. Некоторые пострадавшие стороны отрицают факты, игнорируя наше исследование или преуменьшая его влияние. Таким образом, мы должны быть тщательными и убедиться, что все, что мы находим, правильно и верно. В этом случае веб-сканер нашей команды забрал базу данных 12 ноября. Было ясно, что база данных содержит огромное количество данных из разных источников в разных странах.. Тем не менее, функция базы данных изначально не была ясна, как и ее связь с различными провайдерами и Конором. База данных была позже рассмотрена и лучше понята, наряду с его подключение к приложению веб-фильтра, созданного Conor. Затем мы обратились в компанию, чтобы предложить нашу помощь.

Пример записей в базе данных

Conor заявляет в своей политике конфиденциальности относительно безопасности данных: Мы ценим ваше доверие в предоставлении нам вашей личной информации, поэтому мы стремимся использовать коммерчески приемлемые способы ее защиты. Но помните, что ни один метод передачи через Интернет или метод электронного хранения не является на 100% безопасным и надежным, и мы не можем гарантировать его абсолютную безопасность.. Исходя из того, что наша команда обнаружила эту базу данных, коммерчески приемлемых средств Conor оказалось недостаточно, чтобы скрыть эти личные данные пользователя.. Наша команда смогла получить доступ к этой базе данных, потому что она была полностью незащищенной и незашифрованной. Смотрели постоянно обновляемые журналы активности пользователей за последние 2 месяца от клиентов многочисленных интернет-провайдеров из стран Африки и Южной Америки. В общей сложности это привело к 890+ ГБ данных и более 1 миллиона записей. База данных принадлежала проприетарное программное обеспечение, разработанное Conor, а не сами провайдеры. Программное обеспечение, казалось, было Веб-фильтр, разработанный для интернет-клиентов для ограничения доступа к определенным веб-сайтам и типам онлайн-контента.. Мы нашли записи из пользователей, просматривающих порно, например, а также их социальные счета средств массовой информации. Помимо посещенных сайтов, это позволило нашей команде просматривать ряд личных личных данных пользователя каждый раз, когда кто-то входил в систему. Это включало:

• Названия индекса: позволяют легко идентифицировать ежедневную активность
• MSISDN: код, который идентифицирует пользователя мобильного телефона в сети их провайдера по номеру телефона
• айпи адрес
• Продолжительность подключения или посещения веб-сайта
• Объем данных (в байтах), переданных за сеанс
• Полный URL сайта
• Если сайт был заблокирован фильтром или нет

Некоторые из них можно увидеть в следующем примере:

Поскольку база данных предоставила доступ к полной записи активности каждого пользователя в сеансе, наша команда смогла просмотреть каждый веб-сайт, который они посетили или пытались посетить. Мы также могли бы идентифицировать каждого пользователя. Интернет-просмотр человека всегда является личным и ожидается, что он будет приватным. Однако в данном случае это было не так. В следующем примере, наша команда была в состоянии просмотреть активность пользователя на порно сайт. Это было обычным явлением в записях по всей базе данных, скомпрометировать конфиденциальность пострадавших пользователей самым интимным образом.

В другом примере на следующую запись, имя пользователя хорошо видно С помощью быстрого поиска в Facebook мы нашли личный профиль этого человека, наряду с дополнительной личной информацией, раскрытой в их биографии.

Наша команда просмотрела записи данных с многочисленные мобильные интернет-провайдеры, такие как Tshimedzwa Cellular и Flickswitch в Южной Африке, MTN в Кении и другие. Были также записи из стран Южной Америки, например, следующий пример из Боливии:

Также в базе данных были определены используемые приложения, например:

• ICloud
• Приложения Google (Карты, Аккаунт и т. Д.)
• Приложения Microsoft (Outlook)
• facebook
• Whatsapp

Это можно увидеть в следующих двух примерах кода:

Влияние нарушения данных

Нарушение данных такого размера и характера – раскрытие такого большого количества данных об активности пользователей и идентичности – имело серьезные последствия для всех участников.

Конор Решения

Для компании по разработке ИКТ и программного обеспечения не защищать эти данные невероятно небрежно. Ошибка Конора в области безопасности данных может создать реальные проблемы для людей, подвергшихся воздействию. Хотя Конор не будет уязвим для атак или мошенничества, они могут понести значительный ущерб репутации и потерю доверия в своей отрасли. Другие компании, работающие в сфере ИКТ, могут не захотеть заключать контракты с Conor в будущем, в то время как нынешние клиенты могут требовать от них действий или компенсации. Нарушенная база данных также раскрыл, как работает веб-фильтр Конора и его правила блокировки контента. Люди могут использовать эти знания для обхода фильтра, что делает его неэффективным и избыточным. Оба результата может привести к потере бизнеса для Конор и снижению доходов, от потери клиентов, которые больше не доверяют своему программному обеспечению или ценному предложению.

Клиенты Конора

Хотя Конор разработал программное обеспечение для веб-фильтрации, связанное с этой базой данных, оно их интернет-клиенты, которые будут испытывать большую часть негативной реакции. Клиенты интернет-провайдеров, скомпрометированные в результате этой утечки, скорее всего, будут преследовать интернет-провайдеров за критику и компенсацию, что также приведет к серьезным проблемам с репутацией и доверием у интернет-провайдеров. Кроме того, они могут быть уязвимы для потери бизнеса или судебных исков. Также вероятно, что интернет-провайдеры рекламировали программное обеспечение веб-фильтра как ценное предложение для клиентов и взимали с них плату за него. Если бы люди могли использовать открытую базу данных для обхода веб-фильтра, интернет-провайдеры были бы в еще большей потери, их предложение больше не было бы эффективным рекламным инструментом..

Клиенты затронутых интернет-провайдеров

Наибольший риск в этом нарушении для людей, чьи данные были раскрыты. База данных содержала журналы трафика всех их онлайн-операций, а также PII пользователей.. Это означает, что для пострадавших нет никакой конфиденциальности. Утечка сделала их уязвимыми для широкого спектра онлайн-атак и мошенничества. Это может иметь разрушительные последствия, как лично, так и в финансовом отношении. Как уже упоминалось ранее, наша команда смогла не только просматривать онлайн-активность пользователя, но и с помощью PII, отображаемой в базе данных., мы смогли найти их аккаунты в социальных сетях. Это известно как доксирование: использование известных данных о человеке для выявления и раскрытия его личности. Доксирование часто совершается со злым умыслом, а подвергшийся риску человек подвергается преследованиям и преследованиям.. Имея доступ к порно истории человека, хакеры и киберпреступники могут преследовать их за издевательства или, что еще хуже, за шантаж и вымогательство. Многие люди были бы глубоко смущен их поиска порно истории, и киберпреступники знают это. По угрожая разоблачить онлайн порно активности жертвы их семей или коллег по работе, преступники могут вымогать у них крупные суммы денег. В случае Венесуэлы, страна, которая Коноры работают, порно является незаконным. Пока мы не видим каких-либо записей из Венесуэлы, если провайдер должен был выявить нелегальное просмотр порно пользователем, они были бы еще более уязвимыми. Жертва может столкнуться с юридическими последствиями со стороны правительства или более серьезным шантажом и вымогательством.

Совет от экспертов

Конор мог бы легко избежать этой утечки, если бы они приняли некоторые основные меры безопасности для защиты базы данных. Они включают, но не ограничиваются:

1. Защитите свои серверы.
2. Реализуйте правильные правила доступа.
3. Никогда не оставляйте систему, не требующую аутентификации, открытой для интернета..

Любая компания может повторить те же шаги, независимо от ее размера.

Для клиентов Конор

Мы рекомендуем пересмотреть или проверить ваши собственные протоколы безопасности и конфиденциальности данных.. Вы также должны тщательно проверять любые сторонние приложения, которые вы принимаете или подрядчиков, которых вы нанимаете, чтобы они следовали современным рекомендациям по безопасности данных. Тем временем, свяжитесь с Конором напрямую, чтобы узнать, как они устранили эту утечку данных и какие шаги они предпринимают, чтобы гарантировать, что нечто подобное больше не повторится. Более подробное руководство о том, как защитить свой бизнес, можно найти в нашем руководстве по защите вашего веб-сайта и онлайновой базы данных от хакеров..

Для клиентов затронутых интернет-провайдеров

Если вы обеспокоены тем, что вы подвергались этой утечке данных, обратитесь к своему интернет-провайдеру, чтобы узнать, заключили ли они контракт с Conor на создание программного обеспечения для них в прошлом. Они должны быть в состоянии предоставить вам любую информацию, касающуюся этой утечки и того, были ли вы потенциально подвержены. Наиболее эффективное действие, которое вы можете предпринять, чтобы гарантировать, что вы скомпрометированы в этой или любой другой утечке, – это загрузить VPN. Взломанная база данных содержала журналы всей интернет-активности пользователя. Единственный способ предотвратить это снова – это использовать VPN. Подключение к Интернету через VPN шифрует ваши данные и скрывает вашу активность даже от вашего интернет-провайдера. Он также скрывает ваше местоположение и IP-адрес, поэтому хакеры почти не имеют никакой информации о вас. Это означает, что даже если ваш интернет-провайдер или любая другая сторона утечка данных своих клиентов, вы все равно будете скрыты и защищены от хакеров и киберпреступников. Если вы беспокоитесь о безопасности данных и уязвимостях, прочитайте наше полное руководство по конфиденциальности в Интернете. Он показывает вам, как киберпреступники нацелены на интернет-пользователей, и шаги, которые вы можете предпринять, чтобы быть в безопасности..

Как и почему мы обнаружили нарушение

Исследовательская группа vpnMentor обнаружила нарушение в базах данных Conor как часть огромного веб-картографического проекта. Наши исследователи используют сканирование портов, чтобы исследовать определенные блоки IP и тестировать открытые дыры в системах на наличие слабых мест. Они проверяют каждую дыру на предмет утечки данных. Когда они находят нарушение данных, они используют экспертные методы для проверки подлинности базы данных. Затем мы предупреждаем компанию о нарушении. Если возможно, мы также будем предупреждать тех, кто пострадал от нарушения. Наша команда смогла получить доступ к этой базе данных, потому что она была полностью незащищенной и незашифрованной. Конор использовал базу данных Elasticsearch, которая обычно не предназначена для использования URL. Тем не менее, мы смогли получить к нему доступ через браузер и манипулировать критериями поиска URL, чтобы показать схемы базы данных.. Цель этого веб-картографического проекта – сделать Интернет безопаснее для всех пользователей.. Как этические хакеры, мы обязаны сообщать компании, когда обнаруживаем недостатки в их онлайн-безопасности. Это особенно актуально, когда взлом данных компании содержит так много личной и ценной пользовательской информации. Однако эти этика также означает, что мы несем ответственность перед обществом.. Пользователи программного обеспечения Conor также должны знать о взломе данных, который влияет на них.

О нас и предыдущих отчетах

vpnMentor является крупнейшим в мире веб-сайтом обзоров VPN. Наша исследовательская лаборатория является бесплатной службой, которая стремится помочь интернет-сообществу защитить себя от киберугроз, одновременно обучая организации защите данных своих пользователей. В прошлом мы обнаружили огромное нарушение данных, разоблачающее данные миллионов эквадорских граждан. Мы также обнаружили, что нарушение Biostar 2 поставило под угрозу биометрические данные более 1 миллиона человек. Вы также можете прочитать наш отчет об утечке VPN и отчет о конфиденциальности данных.