8 millió brit vásárlási rekord került nyilvánosságra az interneten, az ügyfelek személyes adatai kiszivárogtak
Az EU-ban kiskereskedők által használt szoftvergyártó közel 8 millió értékesítési rekordot tartalmazó adatbázist tett közzé az interneten, anélkül, hogy jelszót vagy bármilyen más hitelesítést igényelne a hozzáférés. A dokumentumok értékesítési nyilvántartásokat tartalmaztak, beleértvevásárlók nevei, e-mail címei, szállítási címei, vásárlásai és hitelkártyaszámának utolsó négy számjegye, többek között. Bárki megtalálhatja és hozzáférhetett az adatokhoz.
A szállító alkalmazása értékesítési rekordokat gyűjtött be a piacterek és a fizetési rendszer API-kból, mint példáulAmazon UK, Shopify, PayPal és Stripea kiskereskedők eladási adatainak összesítése és a hozzáadottérték-adó kiszámítása a különböző EU-országokra vonatkozóan. Jelenleg nem tudjuk az érintett kiskereskedők vagy vásárlók pontos számát.
A Comparitech biztonsági kutatócsoportja Bob Diachenko vezetésével 2020. február 3-án fedezte fel a MongoDB adatbázist tartalmazó Amazon Web Services szervert.
Diacsenko lépéseket tett annak érdekében, hogy a lehető leggyorsabban nyilvánosságra hozzák az adatok nyilvánosságát, de időközben más illetéktelen személyek is hozzáférhettek volna az információhoz. Az adatokat a rossz szereplők felhasználhatják arra, hogy célzott üzenetekkel adathalászatot hajtsanak végre vagy átverjék az ügyfeleket.
Az Amazon szóvivője válaszolt a Comparitech megjegyzéskérésére, mondván, hogy az illetékes hatóságok tudomást szereztek az incidensről, és az adatkészlet nem tartalmaz jelszavakat vagy teljes fizetési információt:
„Felhívtak bennünket egy problémára egy harmadik fél fejlesztővel (aki számos Amazon-eladóval dolgozik együtt), aki úgy tűnik, hogy több különböző cégtől, köztük az Amazontól származó információkat tartalmazó adatbázist vezetett. Az adatbázis nagyon rövid ideig volt elérhető az interneten. Amint tudomásunkra jutott, gondoskodtunk arról, hogy a harmadik fél fejlesztő azonnal intézkedjen az adatbázis eltávolítása és az adatok biztonsága érdekében. Az Amazon rendszereinek biztonsága semmilyen módon nem sérült.”
A Comparitech felvette a kapcsolatot a PayPal-lal, a Stripe-pal és a Shopify-val is, de egyikük sem kommentálta a feljegyzést az incidensről.
Az expozíció idővonala
A rosszul konfigurált MongoDB adatbázis felfedezésekor nem derült ki azonnal, hogy kié volt. Diachenko először értesítette az Amazont, amely a szervert és az IP-címet tárolta, ahol az adatokat tárolták.
'[Amazon] elég gyors volt ahhoz, hogy 24 órán belül visszatérjen hozzám, és megkezdte a saját vizsgálatát' - mondja Diachenko. 'Itt az idő volt a lényeg, mivel az Egyesült Királyságban vásárlók millióinak személyes, fizetési és szállítási információi voltak veszélyben, ezért elkezdtem elemezni az adatbázis tartalmát, és néhány nap múlva felvettem a kapcsolatot a végső tulajdonossal.'
- 2020. február 2.: A MongoDB adatbázist először indexelték a keresőmotorok.
- 2020. február 3.: Diachenko felfedezte az adatbázist, és azonnal értesítette az Amazont, amely 24 órán belül válaszolt, és megkezdte saját vizsgálatát.
- 2020. február 8.: Az adatok további vizsgálata után Diachenko azonosította a tulajdonost. Felvette a kapcsolatot a céggel, amely egy órán belül válaszolt, és leállította az adatbázist.
Összességében az adatokat körülbelül öt napig tették közzé. Így a kevésbé körültekintő adattolvajoknak bőven lenne ideje megtalálni és ellopni az adatokat, de nem tudjuk biztosan, hogy más illetéktelen személyek hozzáfértek-e.
Milyen adatok kerültek nyilvánosságra?
Az adatok az Amazon UK-n, az Ebay-en, a Shopify-on és néhány más piactéren történt vásárlásokból származó eladási rekordok formájában jelentek meg. A vásárlási rekordok nagy részét olyan fizetési rendszerekről gyűjtötték össze, mint a PayPal és a Stripe.
Az Amazon szóvivője azt mondta a Comparitechnek, hogy az e-mail címeket és a hitelkártyaadatokat (utolsó négy számjegy) nem tette közzé az Amazon, és az MWS nem árul ilyen információkat.
Néhány Ebay-vásárlás érintett, de ezek az adatok nem közvetlenül az Ebay-től származtak - mondta az Ebay szóvivője a Comparitechnek. 'Kivizsgáltuk, és megállapítottuk, hogy egyetlen eBay-rendszer sem került veszélybe, és nem vettek át adatokat az eBay-ről' - mondta a szóvivő. 'Úgy tűnik, hogy az incidens egy PayPal API-hoz kapcsolódik, amely független ellenőrzés alatt áll, és nem az eBay kezeli.'
A nyilvántartások túlnyomó többsége személyesen azonosította az ügyfeleket az Egyesült Királyságban, beleértve:
- Ügyfelek nevei
- Szállítási címek
- Email címek
- Telefonszámok
- Megrendelések (vásárolt termékek)
- Kifizetések
- Megváltozott hitelkártyaszámok (utolsó négy számjegy)
- Tranzakció- és rendelésazonosítók
- Hivatkozások a Stripe és a Shopify számláihoz
Bár tudjuk, hogy összesen körülbelül 8 millió rekordot tettek közzé, ez nem jelenti azt, hogy 8 millió embert érintett. Minden rekord egyedi értékesítés, de egy ügyfél több értékesítést is elszámolhat.
Az adatbázis több százezer Amazon Marketplace Web Services (MWS) lekérdezést, MWS hitelesítési tokent, AWS hozzáférési kulcs azonosítót és titkos kulcsot is tartalmazott.
Az adatok nyilvánosságra kerülésének veszélyei az ügyfelek számára
Több millió uniós ügyfél személyazonosításra alkalmas adatait a bűnözők felhasználhatják célzott adathalászatra és csalásokra. Ha a tolvajoknak sikerült ellopniuk az adatokat azelőtt, hogy a hozzáférés biztosított lett volna, értékesítéssel kapcsolatos üzeneteket küldhettek PayPalnak, Amazonnak vagy más piactereknek és fizetési rendszereknek, amelyekkel az alkalmazás működik.
Tekintettel arra, hogy a tolvajok részletes információkat tudnak a vásárlókról és vásárlásaikról, ezek az üzenetek meglehetősen meggyőzőek lehetnek. Például célzott adathalász e-mailekkel és hamis webhelyekkel rávehetik az áldozatokat, hogy jelszavakat vagy fizetési információkat adjanak át.Az Amazon egyesült királyságbeli PayPal-t használó ügyfeleinek különösen óvatosnak kell lenniük a csaló üzenetekkel.
Ez a leleplezés azt példázza, hogy amikor személyes és fizetési adatokat adunk át egy vállalatnak online, az információ gyakran áthalad a különböző harmadik felek kezén, akiknek a feldolgozására, rendszerezésére és elemzésére szerződött. Ritkán végeznek ilyen feladatokat kizárólag házon belül.
Bár az adatbázisért egy harmadik féltől származó szoftvergyártó volt a felelős, az érintett ügyfelek valószínűleg az azt használó szállítókat és azokat a piacokat fogják hibáztatni, ahol vásároltak.
Az Amazon MWS lekérdezések és bejelentkezési adatok felhasználhatók az MWS API lekérdezésére, és konkrét rekordok lekérésére a szállítók Amazon MWS értékesítési adatbázisaiból. A szállítóknak azonnal meg kell változtatniuk MWS jelszavaikat és titkos kulcsaikat.
Az API-król
Az online piacterek és fizetési rendszerek, például az Amazon és a PayPal lehetővé teszik a külső szoftverfejlesztők számára, hogy olyan alkalmazásokat hozzanak létre, amelyeket a kereskedők használhatnak az értékesítési adatok eléréséhez és kezeléséhez. Ebben az esetben az eladó segített a kereskedőknek több piacról származó értékesítési és visszatérítési adatok összesítésében, valamint az EU-n belüli határokon átnyúló értékesítések hozzáadottérték-adójának (áfa) kiszámításában.
A fejlesztők kötelesek megfelelően védeni az adatokat átvételkor, tároláskor, felhasználáskor és átvitelkor. be nem tartása adatvédelmi irányelvek az API-hozzáférés felfüggesztését vagy megszüntetését eredményezheti.
Az egyik lépés, amelyet a Stripe megtesz, hogy segítse a felhasználókat a biztonsági incidensek enyhítésében, az, hogy átvizsgálja a nyilvános kódtárakat, kereskedői alkalmazásokat és más webhelyeket titkos API kulcsok . Ha egy adott felhasználó titkos kulcsát látja valahol nyilvánosan, a Stripe automatikusan elküldi neki e-mailben a leírást arról, hogy hol láttuk, például URL-t vagy sorszámot. Úgy tűnik azonban, hogy ez nem akadályozta volna meg ezt az esetet.
A Comparitech úgy döntött, hogy nem hozza nyilvánosságra az adatbázisért felelős szállító nevét, mert ez egy legitim kisvállalkozás. Célunk az, hogy felhívjuk a figyelmet és mérsékeljük az érintett ügyfeleket ért károkat, nem pedig a hibák büntetése. Tekintettel arra, hogy a vásárlók túlnyomó többsége valószínűleg nincs tudatában annak, hogy adatai valaha is átmentek az eladó kezébe, nem hisszük, hogy sokat nyerhetünk ezek nyilvánosságra hozatalával.
Hogyan és miért fedeztük fel ezt az esetet
A Comparitech és Bob Diachenko biztonsági kutató együttműködik az interneten közzétett, nem biztonságos személyes adatok feltárásában. A nyilvánosságra hozott személyes adatok észlelésekor haladéktalanul lépéseket teszünk a felelősök azonosítása és értesítése érdekében.
A felelősségteljes nyilvánosságra hozatalt követően megvizsgáljuk az adatokat, hogy megtudjuk, ki érintett és milyen személyes adatok szivárogtak ki. Az adatok biztonságba helyezése után egy ehhez hasonló jelentést teszünk közzé, hogy felhívjuk a nyilvánosság figyelmét és megfékezzük a végfelhasználókat érő esetleges károkat.
Célunk, hogy megakadályozzunk minden olyan rosszindulatú támadást, amely személyes adatokat hasznosít, mint például a személyazonosság-lopás és az adathalászat.
Korábbi jelentések
A Comparitech és Diachenko több millió embert érintő adatincidens jelentés elkészítésében dolgozott együtt, többek között:
- 250 millió Microsoft ügyfélszolgálati és támogatási rekord került nyilvánosságra
- 267 millió Facebook felhasználói azonosító és telefonszám került nyilvánosságra az interneten
- 2,7 milliárd e-mail címet tettek közzé főleg kínai domainekről, amelyek közül 1 millió tartalmazott jelszavakat
- 188 millió ember részletes személyes adatait találták kitéve az interneten
- 7 millió diákrekordot tett közzé a K12.com
- A MedicareSupplement.com-hoz tartozó 5 millió személyes rekord került nyilvánosságra
- 2,8 millió CenturyLink ügyfélrekord került nyilvánosságra
- 700 000 Choice Hotels ügyfélrekordok szivárogtak ki
' Amazon Egyesült Királyság alatti licenccel Sean MacEntee CC BY 2.0