O Varnostni detektivi Skupina za kibernetsko varnost je našla nezavarovan strežnik Microsoft Azure Blob Storage, ki pripada maloprodajni trgovini Raven Hengelsport (sicer znano kot Raven Fishing BV), z osebnimi podatki za več sto tisoč strank, ki so potencialno ranljive za hekerje.
Trgovina Raven, ki se nahaja predvsem na Nizozemskem, je specializirana za ribiški pribor in opremo. Iz podjetja je ušla ogromna količina podatkov, pri čemer je 450,000 dnevnikov podatkov o strankah v odprti bazi podatkov enako približno 18 GB podatkov.
Kdo je Raven Hengelsport?
Podjetje Raven, ki deluje na maloprodajnem trgu ribiškega pribora, prodaja široko paleto izdelkov strankam po vsej Nizozemski in v Evropi. Spletno mesto Raven.nl služi kot supermarket za ljubitelje ribolova, ki ponuja vse od pričakovanega blaga, kot so palice, koluti in škatle za pribor, do bolj vseobsegajočih izdelkov, kot so šotori, čolni in oblačila.
Raven Hengelsport ima sedež v Drontenu na Nizozemskem, nedaleč od nizozemske prestolnice Amsterdam. Medtem ko Raven.nl ponuja široko paleto izdelkov na spletu, ima podjetje tudi več večjih trgovin po vsej Nizozemski in preostali Evropi.
Raven je srednje veliko podjetje z več kot 100 zaposlenimi in znatnim letnim prihodkom okoli 20 milijonov dolarjev (po zoominfo).
Ravenova spletna platforma dostavlja izdelke v različne države po vsej Evropi, celo deluje kot prodajalec v Amazonovi danski trgovini. Čeprav se zdi, da se večina občutljivih informacij na nezavarovanem strežniku Azure Blob Storage nanaša predvsem na Ravenove posle, ki se izvajajo z nizozemskimi državljani.
Stranke, ki se nahajajo v različnih drugih državah EU, so prav tako vključene v zbirko podatkov, Ravenovo poslovanje pa se med drugim širi v Francijo, Belgijo in Nemčijo.
Vemo, da strežnik pripada Raven.nl, saj je v odprti shrambi Blob Storage mogoče videti iste datoteke, kot jih je mogoče identificirati na spletnem mestu Raven.nl.
Kaj je ušlo?
Ocenjuje se, da je odprti strežnik Azure Blob Storage podjetja Raven Hengelsport razkril približno 450,000 zapisov, kar ustreza približno 18 GB podatkov.
Te datoteke so vsebovale zapise, ki so bili sestavljeni iz dveh različnih nizov podatkov, podrobnosti o naročilu in dnevnikov PII, pri čemer oba razkrivata občutljive osebne podatke Ravenovih strank:
- Podrobnosti o naročilu pri Raven.n – ki vsebuje ID strank, datume dostave, popuste, stroške pošiljanja, plačila in številke za sledenje pošiljk.
- PID stranke – pricurljala so tudi imena, priimki, naslovi, spoli, telefonske številke, elektronski naslovi in celo nazivi podjetij nekaterih strank.
Bilo je približno 3,000 vrstic informacij, ki so vsebovale podrobnosti o spletnih naročilih strank, dokaze o tem pa si lahko ogledate spodaj.
Velika večina razkritih zapisov na strežniku je sestavljena iz splošnih podatkov o strankah, pri čemer je skupno ušlo 425,000 teh zapisov.
Podatki o strankah, ki omogočajo osebno prepoznavo, so pricurljali med številne vrste podatkov, od katerih so nekateri celo opisali naslove podjetij določenih strank.
Medtem ko je več kot 425,000 zapisov, ki so vsebovali splošne podatke, ki omogočajo osebno prepoznavo, ušlo poleg tisočev drugih dnevnikov, naša raziskava kaže, da niso bili vsi zapisi strank, vključeni v zbirko podatkov, edinstveni. Zato je verjetno, da je bil na odprtem strežniku shranjen več kot en dnevnik podatkov za vsako stranko. Kljub več kot 450,000 skupnim zapisom je bilo le 246,000 e-poštnih naslovov v bazi podatkov edinstvenih. Smiselno je domnevati, da je prizadetih vsaj 246 tisoč ljudi, glede na število edinstvenih e-poštnih naslovov, prikazanih na strežniku.
Strežnik se nahaja na Nizozemskem, kjer se nahaja Raven Hengelsport. Ta kršitev prizadene predvsem nizozemske državljane, katerih informacije predstavljajo večino razkritih zapisov.
Vendar so različni dnevniki vsebovali podatke evropskih državljanov iz bližnjih držav, vključno z (vendar ne omejeno na) Belgijo, Francijo, Dansko in Nemčijo.
V spodnji tabeli si lahko ogledate popolno razčlenitev kršitve podatkov Raven Hengelsport.
Število razkritih zapisov | Okoli 450k |
Število prizadetih uporabnikov | Vsaj 246k |
Velikost kršitve | 18 GB |
Lokacija strežnika | Nizozemska |
Lokacija podjetja | Nizozemska |
Ravenov odprti strežnik Azure Blob Storage je bil najden 10. marca 2021.
Takoj smo poskušali stopiti v stik z Raven, ko smo odkrili odprto bazo podatkov, vendar od Raven nismo prejeli odgovora glede kršitve.
Kasneje smo poskušali vzpostaviti stik z Raven prek funkcije klepeta v živo na njihovi spletni strani. Ob prvem poskusu, da bi dosegli Raven tukaj, je Ravenov agent za podporo strankam končal klepet v živo, ne da bi se odzval na naše sporočilo.
Pri drugem poskusu smo bili povezani z istim članom osebja, ki nam je povedal, da nam ne more dati dodatnih kontaktnih podatkov. Obveščeni smo bili, da bo naša zahteva posredovana ustreznim stranem in da nas je treba kontaktirati, če se Raven zdi primerno.
Microsoftovemu varnostno odzivnemu centru (MSRC) smo poslali tudi poročilo o kršitvi varnosti njegove stranke (Raven). Ker varnostna težava ni neposredno vplivala na Microsoftove spletne storitve ali jih zlorabljala, se je MSRC odločil, da ne bo ukrepal na odprtem strežniku.
Obrnili smo se na Microsoftovo podporo za stranke, da bi ugotovili, kdo bi nam lahko pomagal obvestiti Raven o uhajanju podatkov, čeprav tudi Microsoftova podpora za stranke na koncu ni bila v pomoč.
Nekaj mesecev kasneje, po več dodatnih poskusih, se je predstavnik Raven končno oglasil pri nas in podatki so bili zavarovani.
Vpliv kršitve podatkov
Takšna kršitev podatkov ima škodljive posledice tako za Raven Hengelsport kot za nedolžne stranke, ki so jim pricurljali podatki.
Raven bo verjetno pod drobnogledom zakonodaje EU o varstvu podatkov (GDPR), zaradi česar bi podjetje lahko dobilo kazen do 20 milijonov evrov ali 4 % letnega prometa Raven (kar je večje).
Vendar je to najvišja globa za kršitev podatkov. Mala ali srednje velika podjetja bodo verjetno prejela blažjo kazen, če se GDPR odloči za sankcije.
Kršitev pomembno vpliva tudi na del Ravenove baze strank, da ne omenjamo precejšnjega števila nizozemskega prebivalstva. Hekerji so morda dostopali do osebnih podatkov, ki so ostali nezavarovani na strežniku Raven, kar pomeni, da so lahko nekatere stranke Raven ranljive za več različnih vrst kibernetske kriminalitete.
Hekerji bi lahko sprožili prevare in goljufive napade z nečim tako preprostim, kot je e-poštni naslov ali telefonska številka, s čimer bi zgradili zaupanje žrtvine PII in jo na koncu prepričali, da preda denar ali dodatne oblike občutljivih osebnih podatkov. V podatkovni zbirki je mogoče najti tudi pasice za spletno mesto Raven, ki lahko zlobnim akterjem omogočijo ustvarjanje goljufive kopije spletne trgovine Raven.
Kibernetski kriminalci bi lahko uporabili razkrite podatke, ki omogočajo osebno prepoznavo, skupaj s podrobnostmi o naročilih/izpolnjevanju naročil, da bi se predstavili kot predstavnik Raven Hengelsport. Stranke, katerih imena podjetij so pricurljale v javnost, so lahko celo tarča prevar, prilagojenih njihovi specifični panogi ali poslovnemu področju.
Hekerji lahko tudi pošiljajo ciljana e-poštna sporočila žrtvam, s čimer spet gradijo zaupanje s PII, da bi stranko prepričali, da klikne povezavo. To se imenuje lažno predstavljanje. Ko žrtev klikne na povezavo, bo njena naprava okužena z zlonamerno programsko opremo. To hekerju omogoča nadaljnje kriminalne dejavnosti, kot sta goljufija ali vohljanje.
Kriminalci, ki so pridobili posebne podatke o naročilu, kot so datumi dostave in številke za sledenje, bi lahko uporabili te informacije v povezavi z naslovi strank, da bi dokončno ukradli poslano blago in prestregli izdelke, preden pridejo do stranke.
Korporativno vohunjenje je še en možno škodljiv rezultat za Raven Hengelsport. Konkurenčna podjetja Raven bi se lahko dokopala do podrobnosti o nakupih strank, kot so popusti, naročeni izdelki in plačila. Ta konkurenčna podjetja bi lahko uporabila telefonske številke, e-poštne naslove ali domače naslove strank Raven za zagon ciljno usmerjenih oglaševalskih kampanj, ponujanje podobnih izdelkov in nelojalno nižanje cen Ravenovih izdelkov.
Navsezadnje bi to podjetje in stranke oddaljilo od Raven Hengelsport.
Preprečevanje izpostavljenosti podatkov
Katere korake moramo torej sprejeti, da čim bolj zmanjšamo tveganje izpostavljenosti in škodljiv vpliv uhajanja podatkov?
Tukaj je nekaj nasvetov za preprečevanje izpostavljenosti podatkov:
- Podatke posredujte samo podjetjem / posameznikom, ki jih poznate ali jim lahko popolnoma zaupate.
- Prepričajte se, da je spletno mesto, na katerem ste, varno. Domene varnih spletnih mest imajo na začetku simbol 'https' in / ali simbol zaprte ključavnice.
- Ne razkrivajte informacij, ki jih je mogoče zlahka uporabiti proti vam (številke državnih osebnih dokumentov in osebne nastavitve naj ostanejo pri vas).
- Za ustvarjanje trdnih gesel uporabite črke, številke in simbole.
- Ne klikajte povezav v e-poštnih sporočilih (ali kjer koli v spletu), za katera ne morete biti prepričani, da so iz uglednega vira.
- Poskrbite, da bodo vaše nastavitve zasebnosti na spletnih mestih v družabnih medijih prikazovale vašo vsebino in osebne podatke samo zaupanja vrednim ljudem.
- Izogibajte se uporabi kreditnih kartic ali vpisovanju gesel v nezavarovanih omrežjih Wi-Fi.
- Izobražujte se o varstvu podatkov, kiber kriminalu in različnih načinih, kako se lahko izognete napadom z lažnim predstavljanjem in odkupno programsko opremo.
O nas
SafetyDetectives.com je največje spletno mesto za pregled protivirusnih programov.
Raziskovalni laboratorij SafetyDetectives je pro bono storitev, katere namen je pomagati spletni skupnosti, da se brani pred kibernetskimi grožnjami, hkrati pa izobraževa organizacije o tem, kako zaščititi podatke svojih uporabnikov. Glavni namen našega projekta spletnega kartiranja je pomagati, da postane internet varnejši kraj za vse uporabnike.
Naša prejšnja poročila so razkrila številne odmevne ranljivosti in uhajanje podatkov, vključno s približno 200+ milijoni uporabnikov, ki jih je razkrilo Kitajsko podjetje za upravljanje družbenih omrežij Socialarks, kot tudi a kršitev pri večji kozmetični znamki Avon ki je ušlo več kot 7 GB podatkov.
Za popoln pregled poročanja o kibernetski varnosti SafetyDetectives v zadnjih 3 letih sledite Skupina za kibernetsko varnost varnostnih detektivov.
Vir: https://www.safetydetectives.com/blog/raven-leak-report/
- "
- 000
- 100
- 2021
- 7
- Ukrep
- dejavnosti
- Dodatne
- Oglaševanje
- vsi
- amsterdam
- antivirus
- okoli
- Napadi
- Azure
- Belgija
- kršitev
- Building
- poslovni
- podjetja
- Kampanje
- Kapital
- mesto
- zaprto
- Oblačila
- skupnost
- podjetje
- vsebina
- države
- kredit
- kreditne kartice
- kazenska
- Pomoč strankam
- Stranke, ki so
- cyber
- kibernetski kriminaliteti
- Cybersecurity
- datum
- kršitev varnosti podatkov
- puščanje podatkov
- Varstvo podatkov
- Baze podatkov
- Termini
- dostava
- Danska
- DID
- odkril
- domen
- Nizozemski
- E-naslov
- Zaposleni
- oprema
- vohunjenja
- EU
- Evropa
- Evropski
- Feature
- izrazit
- pristojbine
- končno
- konec
- prva
- fit
- sledi
- Francija
- goljufija
- Izpolnjevanje
- polno
- GDPR
- splošno
- Nemčija
- blago
- vlada
- heker
- hekerji
- tukaj
- držite
- Domov
- Kako
- Kako
- HTTPS
- Stotine
- vpliv
- Vključno
- Podatki
- Internet
- kosilo
- Zakoni
- uhajanje
- puščanje
- light
- Limited
- LINK
- velika
- Večina
- upravljanje
- marec
- Tržna
- Stave
- mediji
- Microsoft
- milijonov
- Denar
- mesecev
- Imena
- Nizozemska
- omrežij
- številke
- ponujanje
- Ponudbe
- na spletu
- spletna trgovina
- odprite
- deluje
- Da
- Ostalo
- drugi
- gesla
- Plačila
- ljudje
- Ribarjenje
- lažni napadi
- pii
- platforma
- prebivalstvo
- Cena
- zasebnost
- za
- Izdelki
- Projekt
- zaščito
- zaščita
- nakup
- območje
- izsiljevalska
- evidence
- poročilo
- Poročila
- Raziskave
- Odgovor
- REST
- Trgovina na drobno
- prihodki
- pregleda
- Tveganje
- Tekmec
- Sankcije
- prevare
- varnost
- Storitve
- Dostava
- Enostavno
- Spletna mesta
- majhna
- socialna
- družbeni mediji
- Software
- shranjevanje
- trgovina
- trgovine
- predložen
- podpora
- Nizozemska
- grožnje
- nasveti
- na dotik
- Sledenje
- trgovini
- Zaupajte
- us
- Uporabniki
- Ranljivosti
- Ranljivi
- web
- Spletna stran
- WHO
- Wi-fi
- v
- let