Ziņojums: Mobilo norēķinu pakalpojumu sniedzēja noplūdes dati par ASV restorānu pusdienotājiem visā valstī

Nesen par to tika informēta vpnMentor pētniecības grupa, kuru vadīja Noam Rotem un Ran Locar milzīgs PayMyTab drošības zaudējums, kas atklāja patērētāju datus visā ASV.

PayMyTab piegādā restorānus visā ASV ar karšu un mobilo maksājumu termināļi, kas klientiem un uzņēmumiem piedāvā pilnveidotāku maksājumu procesu. 

Atklātā datu bāze saturēja ļoti sensitīvus klientu identificējošas informācijas (PII) datus pusdienas restorānos, kas savā pakalpojumā ir integrējuši PayMyTab. 

Šī noplūde apzīmē a PayMyTab kļūda pamata datu drošībā un, savukārt, padara 10 000 cilvēku neaizsargātu pret krāpšanu un uzbrukumiem tiešsaistē.

Atklāšanas laika grafiks un īpašnieka reakcija

Kaut arī puse, kas atklāja datu noplūdi, ir lūgusi palikt anonīma, viņi pievērsa mums šo uzmanību caur Helen Foster, Davis Wright Tremaine partneri Vašingtonā.

To darot, viņi cerēja pievērst lielāku uzmanību šim zaudējumam, kā arī pamudināt citus uzņēmumus mobilo maksājumu nozarē investēt labākā datu drošībā vispār. 

Kad mūsu komanda saņēma detalizētu datu noplūdes sadalījumu, viņi turpināja izmeklēšanu, lai apstiprinātu PayMyTab kā datu bāzes īpašnieku un pilnu noplūdes apmēru..

Izpratne par pārkāpumu un tā iespējamo ietekmi prasa īpašu uzmanību un laiku. Mūsu komandai jābūt pamatīgai un jāpārliecinās, ka viss, ko atrodam, ir pareizs un patiess. Reizēm skartie uzņēmumi noliedz faktus, neņemot vērā mūsu pētījumu vai mazinot tā ietekmi. 

Šajā gadījumā pēc tam, kad esam sazinājušies ar PayMyTab, lai informētu viņus par datu pārkāpumiem un piedāvātu mūsu palīdzību. 

• Informācijas iesniegšanas datums: 18/10/19
• Datums, kad pārdevēji sazinājās: 22/10/19
• Otrā kontakta mēģinājuma datums (ja attiecināms): 27/10

Ierakstu piemērs datu bāzē

PayMyTab reklamē savus pakalpojumus, nodrošinot patērētājus ar “vienkāršību un drošību norēķinoties”. 

Savā privātuma politikā PayMyTab norāda, ka:

“Uzturēt [s] atbilstošus administratīvos, fiziskos un tehniskos aizsardzības pasākumus, lai aizsargātu [d] ata drošību, konfidencialitāti un integritāti…”

Balstoties uz datiem, kas pakļauti šai noplūdei, šie paziņojumi labākajā gadījumā ir neprecīzi.

Sākot no 2023. gada 2. jūlija līdz mūsdienām, PayMyTab mitināja patērētāju PII datus Amazon Web Services (AWS) S3 spainī – izplatītā veidā glabāšanai AWS. Kaut arī S3 spaiņi ir populāra un droša glabāšanas metode, PayMyTab bija neievēroja Amazon drošības protokolus, atstājot savus nenodrošinātus. 

S3 kauss saturēja detalizētus ierakstus par visiem klientiem restorānā, izmantojot PayMyTab, kuri bija izvēlējušies saņemt čeku pa e-pastu viņiem pēc ēšanas. Norādot savu e-pasta adresi, viņi tiešsaistē varēja apskatīt saņemšanu no savas e-pasta iesūtnes.

Ja viņi noklikšķināja uz saites, lai apskatītu kvīti, viņu PII tika pakļauts jebkuram, kam bija piekļuve S3 kausa datu bāzei.

Ieskatāmi klientu PII datu piemēri:

• Klienta vārds 
• E-pasta adrese vai mobilā telefona numurs
• Maksājumu kartes numura pēdējie 4 cipari 
• Pasūtījuma informācija (maltītes)
• Apmeklētā restorāna datums, laiks, vieta un nosaukums

Zemāk ir pusdienotāja kvīts ar mūsu rediģētu e-pasta adresi un PII:

Datu pārkāpumu ietekme

Šis datu pārkāpums ir nopietns PayMyTab drošības protokola darbības pārtraukums. Atklājot šo datu bāzi, viņi riskēja ar klientu privātumu klientu privātos restorānos, pašos restorānos, kā arī visā PayMyTab biznesā. 

Atklātais klienta PII padara tos skartos neaizsargāti pret daudziem tiešsaistes uzbrukumu un krāpšanas veidiem. 

Ar informāciju, kas atklāta šajā pārkāpumā, hakeri un kibernoziedznieki varētu sākt veidot potenciālo upuru profilus un mērķēt viņus uz identitātes zādzībām vai pikšķerēšanas kampaņām. Ietekme uz viņu finansiālo un personīgo drošību var būt postoša.

Uzņēmumiem, kas izmanto PayMyTab, viņi zaudē klientu uzticību. Datu drošība rada arvien lielākas bažas visiem patērētājiem neatkarīgi no tā, kuru vietni, rīku vai platformu viņi izmanto. Ja viņi neuzticas restorānam, lai aizsargātu savus datus, klienti, visticamāk, tajā pusdienos. 

Tās pašas uzticēšanās problēmas attiecas arī uz PayMyTab. S3 kausa datu bāze tika pakļauta pamata pārraudzības dēļ, apšaubot viņu plašākos datu drošības protokolus. Pat ja viņi atrisinās šo problēmu, klienti nākotnē var nevēlēties izmantot PayMyTab.

Visbeidzot, pat ja PayMyTab nodrošina S3 spaini, attiecīgie ieņēmumi joprojām var tikt atklāti (skat. zemāk kāpēc). PayMyTab būs nepieciešams pilnībā atjaunojiet viņu datu glabāšanu, lai atrisinātu problēmu.

Atvērtā S3 kausa nostiprināšana

Ir svarīgi to atzīmēt atvērti, publiski skatāmi S3 spaiņi nav AWS trūkumi. Parasti tie ir spaiņa īpašnieka kļūdas rezultāts. Amazon sniedz detalizētus norādījumus AWS lietotājiem, lai palīdzētu viņiem nodrošināt S3 spaiņus un uzturēt tos privātus. 

PayMyTab gadījumā ātrākais veids, kā novērst šo kļūdu, ir saglabāt spaini “publisku” (lai cilvēki joprojām varētu piekļūt saviem ieņēmumiem, izmantojot e-pasta saiti), bet noņemt no tā noteiktas “saraksta” atļaujas. Tomēr tas joprojām nav pilnībā efektīvs. 

Ja cits hakeris būtu piekļuvis spainim un lejupielādējis tajā esošos failus, viņiem joprojām būtu piekļuve patērētāja datiem par čekiem. Viņi to varēja izmantot, lai mazinātu turpmākos nejaušinātos drošības pasākumus, kas izvietoti uz kausa. 

Bez papildu autentifikācijas protokoliem, tas padara kausu neaizsargātu pret brutālu spēku uzbrukumiem, kas atklātu nākamo patērētāju privātos datus. 

Lai nodrošinātu, ka tas nenotiek, PayMyTab būs jāievēro AWS piekļuves un autentifikācijas paraugprakse un jāpievieno vairāk aizsardzības slāņu uz viņu S3 kausu, tādējādi ierobežojot, kurš tam var piekļūt no katra ieejas punkta.

Ekspertu ieteikumi

PayMyTab varēja viegli izvairīties no šīs noplūdes ja viņi būtu veikuši dažus pamata drošības pasākumus, lai aizsargātu S3 kausu. Šos pasākumus var piemērot jebkurai datu bāzei, un tos var atkārtot jebkurš uzņēmums:

1. Nostipriniet savus serverus.
2. Ieviesiet atbilstošus piekļuves noteikumus.
3. Nekad neatstājiet internetam atvērtu sistēmu, kurai nav nepieciešama autentifikācija.

Lai iegūtu padziļinātu ceļvedi, kā aizsargāt savu biznesu, apskatiet mūsu ceļvedis, kā nodrošināt jūsu vietni un tiešsaistes datu bāzi no hakeriem.

Vietnei PayMyTab Klienti

Ja esat restorāna klients, kas izmanto PayMyTab, sazinieties ar viņu, lai pārliecinātos, ka viņi zina par pārkāpumu un kā tas ietekmē jūs. 

Bažas par to, kā jūs varētu ietekmēt datu neaizsargātība un kibernoziedzība kopumā? Izlasiet mūsu pilnīgs tiešsaistes privātuma ceļvedis.

Tas parāda daudzos veidus, kā kibernoziedznieki mērķē uz interneta lietotājiem, un darbības, kuras varat veikt, lai saglabātu drošību.

Kā un kāpēc mēs atklājām pārkāpumu

Mums tika paziņots par pārkāpumu PayMyTab datu bāzē, kā rezultātā mūsu milzīgais tīmekļa kartēšanas projekts, kas meklē datu bāzes noplūdes internetā. 

Persona, kas atklāja noplūdi, to jautāja mums tika paziņots, lai palielinātu izpratni. To darot, mēs ceram pamudināt visus mobilo maksājumu uzņēmumus pārvērtēt savus datu drošības protokolus.

Šī tīmekļa kartēšanas projekta mērķis ir palīdzēs padarīt internetu drošāku visiem lietotājiem.

Kā ētiski hakeri, mums ir pienākums informēt uzņēmumu, ja atklājam trūkumus viņu tiešsaistes drošībā. Tas jo īpaši attiecas uz gadījumiem, kad uzņēmumu datu pārkāpumos ir šāda privāta informācija.

Tomēr šī ētika nozīmē arī to, ka mēs uzņemamies atbildību sabiedrības priekšā. PayMyTab lietotājiem jāzina par datu pārkāpumiem, kas ietekmē arī viņus.

Par mums un iepriekšējie ziņojumi

vpnMentor ir pasaulē lielākā VPN pārskatu vietne. Mūsu pētījumu laboratorija ir pro bono pakalpojums, kura mērķis ir palīdzēt tiešsaistes kopienai aizstāvēties pret kiberdraudiem, vienlaikus izglītojot organizācijas par savu lietotāju datu aizsardzību. 

Nesen mēs atklājām milzīgu datu pārkāpumu, kas skāra 80 miljonus ASV mājsaimniecību. Mēs arī atklājām, ka Biostar 2 pārkāpums apdraudēja vairāk nekā 1 miljona cilvēku biometriskos datus. Varat arī izlasīt mūsu ziņojumu par VPN noplūdi un datu privātuma statistiku.