گزارش: داده های ارائه دهنده پرداختهای تلفن همراه اطلاعات ناهارخوران رستورانهای ایالات متحده را در سراسر کشور نشان می دهد

اخیراً از تیم تحقیقاتی vpnMentor به سرپرستی Noam Rotem و Ran Locar مطلع شد PayMyTab امنیت زیادی را از بین برد و داده های مصرف کنندگان را در سراسر ایالات متحده آمریکا افشا کرد.

PayMyTab رستوران ها را در سراسر ایالات متحده با آنها تهیه می کند پایانه های پرداخت کارت و موبایل که فرآیند پرداخت ساده تر به مشتریان و مشاغل ارائه می دهند. 

پایگاه داده در معرض حاوی اطلاعات شناسایی شخصی (PII) بسیار حساس برای مشتریان است ناهار خوری در رستورانهایی که PayMyTab را در خدمت خود قرار داده اند. 

این نشت نشان دهنده a عدم موفقیت در امنیت داده های اولیه توسط PayMyTab و به نوبه خود ، باعث می شود 1000000 نفر از مردم در برابر تقلب و حملات آنلاین آسیب پذیر باشند.

جدول زمانی کشف و واکنش صاحب

در حالی که طرفی که اطلاعات نشت داده را خواسته است ناشناس بماند ، آنها این موضوع را از طریق هلن فاستر ، شریک زندگی در دیویس رایت ترمین در واشنگتن دی سی مورد توجه ما قرار دادند..

با انجام این کار ، آنها اميدوار بود كه به طور خاص به اين شكست توجه بيشتري كند ، و همچنين شركت هاي ديگري را كه در صنعت پرداخت هاي تلفن همراه وجود دارند ، سرمايه گذاري كنند. بطور کلی. 

هنگامی که تیم ما یک تفصیل از نشت داده ها را دریافت کرد ، آنها برای تأیید PayMyTab به عنوان مالک دیتابیس و میزان کامل نشت اطلاعات بیشتر تحقیق کردند..

درک یک نقض و تأثیر احتمالی آن توجه و زمان زیادی را به خود می گیرد. تیم ما باید کاملاً دقیق باشد و اطمینان حاصل کند که همه چیزهایی که می یابیم صحیح و درست است. گاهی اوقات ، مشاغل تحت تأثیر واقعیت ها را رد می کنند ، بی اعتنا به تحقیقات ما یا نقش آن را کم می کنند. 

در این حالت ، بعد از اینکه با PayMyTab تماس گرفتیم تا آنها را از نقض داده ها آگاه سازیم و کمک خود را ارائه دهیم. 

• اطلاعات تاریخ به ما ارائه شد: 18/10/19
• فروشندگان تاریخ با شما تماس گرفتند: 22/10/19
• تاریخ تلاش 2 مخاطب (در صورت لزوم): 27/10

نمونه ورود به بانک اطلاعاتی

PayMyTab خدمات خود را به عنوان فراهم آوردن مصرف کنندگان “سادگی و امنیت در هنگام پرداخت” تبلیغ می کند. 

در مورد خط مشی رازداری ، PayMyTab اظهار داشت که:

“حفظ [های] اداری ، فیزیکی و فنی مناسب برای محافظت از امنیت ، محرمانه بودن و یکپارچگی امنیت [د] …”

بر اساس داده های در معرض این نشت, این اظهارات در بهترین حالت نادرست است.

از 2 ژوئیه 2023 تا امروز شروع می شود, PayMyTab داده PII مصرف کنندگان را در یک سطل S3 خدمات وب آمازون (AWS) A3 – یک نوع معمول ذخیره سازی در AWS میزبان کرد.. در حالی که سطل های S3 یک روش ذخیره سازی محبوب و ایمن است ، PayMyTab داشت نتوانست از پروتکل های امنیتی آمازون پیروی کند و آنها را ناامن کند. 

سطل S3 شامل سوابق مفصل هر مشتری در یک رستوران با استفاده از PayMyTab, که پس از صرف غذا وعده خود را برایشان ایمیل ارسال کرده بودند. با ارائه آدرس ایمیل خود ، آنها می توانند رسید خود را بصورت آنلاین از صندوق ورودی ایمیل خود مشاهده کنند.

اگر آنها برای مشاهده رسید ، روی پیوند کلیک کردند, PII آنها با دسترسی به پایگاه داده S3 سطل در معرض هر کسی قرار گرفت.

نمونه هایی از داده های PII مشتری که قابل مشاهده است شامل می شود:

• نام مشتری 
• آدرس ایمیل یا شماره تلفن همراه
• آخرین 4 رقم شماره کارت پرداخت 
• جزئیات سفارش (آیتم های غذایی)
• تاریخ ، زمان ، مکان و نام رستوران بازدید شده است

در زیر رسید یک شام ، با آدرس ایمیل آنها و PII توسط ما حذف شده است:

تأثیر نقض داده

این نقض اطلاعات نشان دهنده آن است یک افت جدی در پروتکل امنیتی اولیه برای PayMyTab. آنها با افشای این بانک اطلاعاتی حفظ حریم خصوصی مشتریان در رستوران های مشتری ، رستوران ها و همچنین کل تجارت PayMyTab را به خطر انداخت. 

PII مشتری در معرض آسیب دیدگی قرار می دهد در برابر بسیاری از انواع حمله و کلاهبرداری آنلاین آسیب پذیر است. 

با اطلاعات در معرض این نقض, هکرها و مجرمان سایبری می توانند ساخت پروفایل قربانیان بالقوه را آغاز کرده و آنها را به سرقت هویت یا کمپین های فیشینگ هدف قرار دهند. پیامدهای امنیت مالی و شخصی آنها می تواند فاجعه بار باشد.

آنها برای کسب و کارهایی که از PayMyTab استفاده می کنند ، اعتماد خود را از دست می دهند. امنیت داده بدون توجه به اینکه از چه وب سایتی ، ابزاری یا پلتفرمی استفاده می کنند نگرانی فزاینده ای برای همه مصرف کنندگان است. اگر برای محافظت از داده های خود به یک رستوران اعتماد نکنند ، مشتریان کمتر در آنجا غذا می خورند. 

همین مسائل مربوط به اعتماد به PayMyTab گسترش می یابد. بانک اطلاعاتی سطل S3 به دلیل نظارت اساسی در معرض دید قرار گرفت, پروتکل های امنیتی گسترده تر داده های آنها را زیر سوال می برد. حتی اگر این مشکل را برطرف کنند ، ممکن است مشتری در آینده تمایلی به استفاده از PayMyTab نداشته باشد.

سرانجام, حتی اگر PayMyTab سطل S3 را ایمن کند ، رسیدهای مورد نظر هنوز هم می توانند در معرض دید قرار بگیرند (به زیر مراجعه کنید چرا) PayMyTab نیاز دارد به طور کامل تعمیر و نگهداری داده های آنها برای حل این مشکل.

تهیه سطل باز S3

مهم است که توجه داشته باشید سطل های S3 با باز و در معرض دید عمومی عیب AWS نیست. آنها معمولاً نتیجه خطا توسط صاحب سطل هستند. آمازون دستورالعمل های مفصلی را در اختیار کاربران AWS قرار می دهد تا به آنها کمک کند تا سطل های S3 را ایمن کرده و آنها را به صورت خصوصی حفظ کنند. 

در مورد PayMyTab ، سریعترین راه برای رفع این خطا “عمومی نگه داشتن سطل” است (بنابراین مردم هنوز می توانند از طریق لینک ایمیل به رسیدهای خود دسترسی پیدا کنند) اما مجوزهای “لیست” خاصی را از آن حذف کنید. با این حال ، این هنوز کاملاً مؤثر نیست. 

اگر هکر دیگری به سطل دسترسی پیدا کرده بود و پرونده ها را در داخل آن بارگیری می کرد ، بازهم به اطلاعات مصرف کننده روی رسیدها دسترسی پیدا می کردند. آنها می توانند از این طریق برای تضعیف هرگونه اقدامات امنیتی تصادفی آینده در سطل استفاده کنند. 

بدون پروتکل احراز هویت بیشتر, این باعث می شود سطل در برابر حملات بی رحمانه که اطلاعات خصوصی مصرف کنندگان آینده را افشا می کند ، آسیب پذیر باشد. 

برای اطمینان از این اتفاق نمی افتد, PayMyTab باید بهترین روشهای دسترسی و احراز هویت AWS را دنبال کند و لایه های محافظت بیشتری را اضافه کند به سطل S3 خود ، در نتیجه محدود کردن کسانی که می توانند از هر نقطه ورود به آن دسترسی پیدا کنند.

مشاوره از کارشناسان

PayMyTab می توانست به راحتی از این نشت اجتناب کند اگر آنها برخی اقدامات امنیتی اولیه را برای محافظت از سطل S3 اتخاذ کرده بودند. این اقدامات می تواند برای هر بانک اطلاعاتی اعمال شود و می تواند توسط هر شغلی تکرار شود:

1. سرورهای خود را ایمن کنید.
2. قوانین دسترسی مناسب را اجرا کنید.
3. هرگز سیستمی را که نیاز به تأیید اعتبار برای اینترنت نداشته باشد ، ترک نکنید.

برای یک راهنمای عمیق تر درباره نحوه محافظت از مشاغل خود, ما را بررسی کنید راهنمای تأمین وب سایت و پایگاه داده آنلاین از هکرها.

برای PayMyTab مشتریان

اگر مشتری یک رستوران هستید که از PayMyTab استفاده می کنید ، با آنها تماس بگیرید تا از تخلف و چگونگی تأثیر آن در شما آگاه باشند.. 

در مورد چگونگی آسیب پذیری داده ها و به طور کلی جرم سایبری ممکن است بر شما تأثیر بگذارد? ما را بخوانید راهنمای کامل برای حفظ حریم خصوصی آنلاین.

این روش های مختلفی را برای شما نشان می دهد که مجرمان سایبری کاربران اینترنت را هدف قرار می دهند و مراحلی که می توانید برای ایمن ماندن بردارید.

چگونه و چرا ما نقض آن را کشف کردیم

ما به دلیل نقض در پایگاه داده PayMyTab مطلع شدیم پروژه عظیم نقشه برداری وب ما که به دنبال نشت بانک اطلاعاتی در اینترنت است. 

شخصی که این نشت را کشف کرد از آن سؤال کرد ما برای افزایش آگاهی به ما اطلاع داده شد. با انجام این کار ، ما امیدواریم که همه شرکتهای پرداخت تلفن همراه را مجبور به ارزیابی مجدد پروتکل های امنیت داده های خود کنند.

هدف از این پروژه نقشه برداری وب است کمک به امنیت اینترنت برای همه کاربران.

به عنوان هکرهای اخلاقی, ما هنگام کشف نقص ها ، موظف هستیم به یک شرکت اطلاع دهیم در امنیت آنلاین خود این امر به ویژه در مورد نقض اطلاعات شرکتها حاوی چنین اطلاعات خصوصی است.

با این حال ، این اخلاق همچنین به معنای این است که ما مسئولیت وظیفه را برعهده مردم می گذاریم. کاربران PayMyTab باید از نقض داده ای که بر آنها تأثیر می گذارد آگاه باشند.

درباره ما و گزارش های قبلی

vpnMentor بزرگترین وب سایت بررسی VPN در جهان است. آزمایشگاه تحقیق ما یک سرویس طرفدار پاداش است که می کوشد به جامعه آنلاین کمک کند در حالی که به سازمانهایی برای محافظت از داده های کاربران خود آموزش می دهد در برابر تهدیدات سایبری دفاع کند.. 

ما اخیراً یک نقض بزرگ داده را کشف کردیم که 80 میلیون خانوار آمریکایی را تحت تأثیر قرار داد. ما همچنین فاش کردیم که نقض در بیوستار 2 داده های بیومتریک بیش از 1 میلیون نفر را به خطر انداخت. همچنین ممکن است بخواهید گزارش نشت VPN ما و گزارش آمار حفظ حریم خصوصی داده ها را بخوانید.