Ataskaita: Skrydžių užsakymo platforma atskleidžia klientų duomenis

Neseniai „vpnMentor“ komanda, vadovaujama interneto privatumo tyrinėtojų Noamo Rotemo ir Ran Locaro didžiulis duomenų pažeidimas skrydžių užsakymo svetainėje „Option Way“. 

Prancūzijoje įsikūrusi tarptautinių klientų bazė „Option Way“ padeda vartotojams rasti skrydžių pasiūlymus į ir iš paskirties vietų visame pasaulyje. 

Duomenų pažeidimas paviešino asmeninę klientų informaciją, sukurdami išsamų profilį, taip pat išsamią informaciją apie jų skrydžius ir kelionių planus. Iš viso mūsų komanda turėjo priėjimą daugiau nei 100 GB duomenų, kenkia „Option Way“ ir jo vartotojų privatumui ir saugumui. 

Atradimo laikas ir savininko reakcija

• Atradimo data: 19/08/2023

• Susisiekimo su pardavėjais data: 2023 08 25

• Atsakymo data ir nutekėjimas uždarytas: 2023 08 29

Įrašų duomenų bazėje pavyzdys

Savo svetainėje „Option Way“ tvirtina:

“THE  www.Opti Way.com svetainė yra apsaugota SSL sertifikatu. 

Kai įvedate savo asmeninius duomenis, jie užšifruojami ir saugomi, kad galėtumėte atlikti operacijas. Jūsų asmens duomenys yra tvarkomi laikantis CNIL (Prancūzijos duomenų apsaugos institucijos) pateiktų rekomendacijų. “

Tačiau tai nėra tiesa. 

Mūsų komanda galėjo pasiekti daugiau nei 100 GB duomenų, didelis klientų nešifruotos asmeniškai identifikuojamos informacijos (PII) kiekis.

Asmeninės informacijos, kurią apžiūrėjome, pavyzdžiai: 

• Klientų vardai
• Gimimo data
• Lytis
• Pašto adresai
• Telefono numeriai  
• Namų adresas & pašto kodas
• Skrydžio išvykimo ir grįžimo datos 
• Paskirties vietos 
• Skrydžių kainos

Žemiau pateiktas duomenų, rodančių kliento el. Pašto adresą, pavyzdys:

Tai yra duomenų, kuriuose pateikiama išsami kliento asmeninė informacija, pavyzdys:

Pasirinkimo būdas vartotojų el. pašto adresai taip pat buvo pasiekiami dėl „neteisingo slaptažodžio“ nustatymo nuorodų. Šis pažeidžiamumas atskleidė plačią duomenų bazę, kurioje yra potencialių įsilaužimų ir „Option Way“ vartotojų prie daugybės galimų sukčiavimų.

Nutekėjusi duomenų bazė paveikė „Option Way“ klientus daugelyje šalių. Greitai peržiūrėję failus, mes peržiūrėjome išsamią informaciją apie vartotojus iš šalių, kuriose yra:

• Prancūzijoje
• Belgija
• Alžyras
• Šveicarija
• Austrijoje

Neabejojame, kad atlikus papildomą tyrimą šis sąrašas būtų daug ilgesnis.

Sujungus visus šiuos duomenis sukuriamas išsamus „Option Way“ klientų vartotojo profilis, sukuriant juos pažeidžiami įvairių elektroninių nusikaltimų ir sukčiavimo formų.

Pasirinkimo būdas Įmonės informacija

Išskyrus jų vartotojus, duomenų pažeidimas taip pat pakenkė „Option Way“ atskleidžiant informaciją apie darbuotojus ir įmones.

Mes sugebėjome peržiūrėti personalo PII kurie naudojo platformą skrydžiams rezervuoti.

Mūsų tyrimo metu, taip pat nustatėme, kad įmonės kreditinės kortelės informacija yra atmesta ir matoma visiems, turintiems prieigą prie duomenų bazės. Tai buvo naudojama užsakymams darbuotojams ir klientams, kuriant didžiulė „Option Way“ rizika.

Neapsaugodami įmonės kreditinės kortelės, „Option Way“ daro save pažeidžiamą niokojančio finansinio sukčiavimo.

Duomenų pažeidimo poveikis

Ši atvira duomenų bazė yra aukso kasykla tapatybės vagims ir kiti užpuolikai.

Sudėjus visus nutekėjimo duomenis, visų rūšių nusikaltėliai galėjo naudoti šią informaciją įvairioms neteisėtoms ir pavojingoms veikoms.

Sukčiavimas & Sukčiavimas

Sukčiavimo kampanija apima kuriant teisėto verslo el. laiškus ar organizacijos. Jie siunčiami į aukos el. Pašto dėžutę apgauti juos teikiant vertingą asmeninę informaciją. Tai gali būti asmeninių paskyrų prisijungimai, kreditinės kortelės informacija arba bet kokia naudinga informacija.

Turint šią informaciją, auka gali būti išnaudojama įvairiose baudžiamosiose schemose, pradedant nuo kreditinių kortelių sukčiavimo ir baigiant tapatybės vagyste. Piratai gali parduokite asmeninį įsiskolinimą didžiausio kainos pasiūlymo teikėjui tamsiajame internete ir derinkite jį su kitomis išpuolių formomis nusikaltėliai, nesinaudojantys duomenimis, neatsekiami.

Arba bus sukčiavimo el. Laiškas įterpta kenkėjiška ar išpirkos programine įranga, naudojamas aukai šnipinėti ar spausti.

Prieiga prie „Option Way“ naudotojų asmeninių duomenų ir kelionių planų leidžia įsilaužėliams sukurti veiksmingus sukčiavimo el. Laiškus, imituojančios „Option Way“, oro linijas ir daugelį kitų nesusijusių verslų.  

Bilietų sąskaitos perėmimas

Taip pat pažeidžiant duomenis buvo užregistruoti unikalūs klientų PNR numeriai. Kartu su kliento vardais įsilaužėliai gali juos naudoti norėdami perimti rezervaciją oro linijų bendrovėje, kurią sudarė „Option Way“. Jie galėjo atšaukti ar pakeisti skrydžius, o aukos sužinojo tik po to, kai apie tai pranešė oro linijų bendrovė.

Plėšimas

Su šia duomenų baze, įsilaužėliai ir vagys tiksliai žino, kada „Option Way“ klientai atostogauja. Jie žino savo namų adresą. Jie gali siųsti el. Laišką arba paskambinti klientams, kad patvirtintų, jog ilgą laiką nėra.

Tada jie gali planuoti efektyvius namų apiplėšimus, su daug mažesne rizika būti sugautam. Pasinaudodami „Option Way“ užsakytų skrydžių kaina, vagys gali įvertinkite klientų grynąją vertę ir rinkitės jų tikslus remiantis galimu plėšikavimu.

Pasirinkimo būdo rizika

Šis duomenų nutekėjimas turi daug neigiamų padarinių taip pat ir „Option Way“. Palikdami duomenų bazę nešifruotą ir neapsaugotą, jie taip pat yra pažeidžiami sukčiavimo ir kitos rizikos. 

Kreditinės kortelės sukčiavimas

Duomenų bazėje, mūsų komanda rado „Option Way“ įmonės kreditinę kortelę, naudojamas rezervuoti skrydžius platformoje. Dažnai internetinių kelionių agentų, tokių kaip „Option Way“, būdas užsidirbti iš pigių bilietų, vienintelis būdas yra sumokėti už juos savo įmonės kreditinėmis kortelėmis ir atskirai apmokestinti vartotojo korteles..

Jei nusikalstamas ar klastingas įsilaužėlis tai gautų, jie to padarytų gauti prieigą prie bet kokių lėšų „Option Way“ banko sąskaitose, apsipirkti ir surinkti didžiulę skolą įmonės vardu.

Taip gali būti finansiškai ir operatyviai žlugdo „Option Way“. Tai ne tik sukeltų skolą, bet ir kiltų teisinė grėsmė.

Be įmonės kreditinės kortelės, duomenų nutekėjimas taip pat atskleidžia „Option Way“ darbuotojo duomenis. Tai daro juos pažeidžiamus tų pačių išpuolių formų, kaip ir įmonės klientai.

Kompromituojantis jų verslo modelis

Duomenų bazės nutekėjimas suteikia neįkainojama įžvalga apie „Option Way“ veiklą ir pajamų gavimą. Paprastai ši informacija yra visiškai konfidenciali, paslėpta nuo konkurentų. 

Naršydami šioje duomenų bazėje esančioje informacijoje, konkuruojanti įmonė galėtų įgyti aukštesnę poziciją pasirinkdama „Way Way“, atkartoti jų verslo modelį ir jį sumažinti. Tai gali gali prarasti pajamas kad iš to būtų sunku atsigauti. 

Žala reputacijai

Kaip klientai patiria šį nutekėjimą, kad vėl galėtų pasitikėti „Option Way“ savo duomenimis? Jei kenkėjiškas įsilaužėlis gavo prieigą prie šios duomenų bazės, kuri naudoja tik interneto naršyklę, kas žino, ką jie daro su parduodama informacija.

Tai bus nerimauja dėl daugelio „Option Way“ klientų minčių perskaičius apie duomenų pažeidimą.

Tai bus „Option Way“ būdas susigrąžinti klientų pasitikėjimą ir pritraukti naujų klientų, atsižvelgiant į mūsų atradimą.

Ekspertų patarimai

„Option Way“ savininkai būtų galėję išvengti šio nutekėjimo, jei būtų ėmęsi kai kurių pagrindinių atsargumo priemonių. Nors mūsų surasta informacija vis tiek galėjo patekti į nusikalstamų įsilaužėlių rankas, „Option Way“ siūlome tai padaryti:

1. Apsaugokite savo serverius geresnėmis apsaugos priemonėmis.
2. Įdiekite tinkamas prieigos taisykles savo duomenų bazėse.
3. Niekada nepalikite internete atviros sistemos, kuriai nereikia autentifikavimo.

Norėdami gauti išsamesnį vadovą, kaip apsaugoti savo verslą, skaitykite, kaip apsaugoti svetainę ir internetinę duomenų bazę nuo įsilaužėlių.

Jei esate „Option Way“ klientas ir nerimaujate, kaip konkrečiai šis pažeidimas ar apskritai duomenų pažeidžiamumas gali paveikti jūsų svetainę ar verslą, skaityti mūsų pilnas internetinio privatumo vadovas.

Tai parodo daugybę būdų, kaip internetiniai nusikaltėliai nukreipti į interneto vartotojus ir veiksmus, kuriuos galite atlikti, kad būtumėte saugūs.

Kaip ir kodėl mes nustatėme pažeidimą

„vpnMentor“ tyrimų komanda nustatė šį duomenų pažeidimą didžiulį vykdomą interneto žemėlapių projektą. Vadovaujama „Noam“ ir „Ran“, komanda nuskaito uostus ieškodama pažįstamų IP blokų ir naudoja šiuos blokus norėdami rasti skyles įmonės žiniatinklio sistemoje. Kai šios skylės bus rastos, komanda ieško pažeidžiamumų, dėl kurių jie galėtų būti pažeisti duomenų.

Komanda atrado tą didžiulę „Option Way“ duomenų bazės dalys yra visiškai neapsaugotos ir nešifruotos. Bendrovė naudoja Elasticsearch duomenų bazę, kuri paprastai nėra skirta naudoti URL. Vis dėlto mes sugebėjome pasiekite jį naudodamiesi naršykle ir manipuliuodami URL paieškos kriterijais galite atskleisti didžiulį duomenų kiekį.

Pasinaudodami jų kompetencija, mūsų komanda taip pat ištyrė duomenų bazę, kad patvirtintų jos tapatumą.

Kaip etiniai įsilaužėliai, mes privalome kreiptis į svetaines, kai aptinkame saugumo trūkumų.

Ši etika taip pat reiškia mes prisiimame atsakomybę prieš visuomenę. Jei įmanoma, įspėjame ir visas kitas pažeidimo paveiktas šalis, tokias kaip klientai, klientai ar svetainės vartotojai.

Pasirinkimo būdas: klientai ir jų platformoje esančios oro linijos turi žinoti apie riziką, kurią jie patiria naudodamiesi technologija, kuri deda tiek mažai pastangų, kad apsaugotų savo vartotojus..

Pratimų tikslas – padėti visiems naudotis internetu.

Apie mus ir ankstesnės ataskaitos

vpnMentor yra didžiausia pasaulyje VPN apžvalgų svetainė. Mūsų tyrimų laboratorija yra pro bono paslauga, kuria siekiama padėti internetinei bendruomenei apsiginti nuo kibernetinių grėsmių, kartu mokant organizacijas apsaugoti savo vartotojų duomenis.. 

Neseniai aptikome didžiulį duomenų pažeidimą, paveikiantį 80 milijonų JAV namų ūkių. Mes taip pat atskleidėme, kad „Biostar 2“ pažeidimas pakenkė daugiau nei 1 milijono žmonių biometriniams duomenims. Taip pat galbūt norėsite perskaityti mūsų VPN nutekėjimo ataskaitą ir duomenų privatumo statistikos ataskaitą.