به رهبری نوام روتم و ران لوکار ، vpnMentor's تیم تحقیقاتی یک نقض را در بانک اطلاعاتی متعلق به Genius کشف کرد ، یک برنامه Android که توسط سرویس پستی فرانسه La Poste ساخته شده است.
Genius صندوق پول مبتنی بر برنامه که چندین فرآیند مختلف را برای کمک به صاحبان مغازه های کوچک ادغام می کند. بانک اطلاعاتی مورد نظر بیشتر مربوط به پرداخت های انجام شده از طریق برنامه است.
با [بیش از 23 میلیون پرونده] ، این یک نقض بزرگ در امنیت داده ها است و کاربران نابغه را در سراسر فرانسه آسیب پذیر می کند.
اگر هکرهای مخرب این بانک اطلاعاتی را کشف کرده بودند ، عواقب می تواند برای افراد در معرض ویرانگر باشد.
نمایه شرکت La Poste
La Poste اصلی ترین خدمات پستی در فرانسه است ، که اکثریت آن متعلق به دولت فرانسه است ، و همچنین در سرزمین های برون مرزی که به طور سنتی با این کشور پیوند دارند ، فعالیت می کند.
بزرگترین کارفرمای فرانسه و مانند بسیاری از خدمات پستی در سراسر جهان ، فراتر از تحویل نامه پستی است. عملیات آنها شامل بیمه ، بانکداری ، میزبانی وب و بسیاری از خدمات دیگر برای شهروندان خصوصی است.
این شرکت همچنین [فرانسه خدماتی را برای مشاغل کوچک و متوسط (SMB) در فرانسه ارائه می دهد. این موارد شامل Genius ، برنامه صندوق پول است. گذشته از پردازش پرداخت از مشتری ، Genius به SMB ها کمک می کند تا با مدیریت موجودی ، گزارش داده ها و تجزیه و تحلیل داده ها ، حسابداری و بسیاری از فرآیندهای مهم دیگر مدیریت کنند.
نبوغ به SMB ها به عنوان "راه حل مدولار متناسب با تمام نیازهای شما … و بودجه شما!"
Timeline of Discovery and Reaction Owner
بعضاً میزان نقض داده ها و صاحب داده ها واضح است ، و این مسئله به سرعت برطرف شد. اما این اوقات نادر است. بیشتر اوقات ، ما به روزهای تحقیق نیاز داریم تا بدانیم چه چیزی در معرض خطر است یا چه کسی اطلاعات را فاش می کند.
درک یک نقض و آنچه در معرض خطر است ، دقت و زمان زیادی را مورد توجه قرار می دهد. ما برای انتشار گزارش های دقیق و قابل اعتماد تلاش می کنیم ، و اطمینان می دهیم که هر کسی که آنها را می خواند ، جدی بودن خود را می فهمد.
برخی از طرف های تحت تأثیر این حقایق را انکار می کنند ، به تحقیقات ما بی اعتنایی می کنند و یا تأثیر آن را کم نمی کنند. بنابراین ، ما باید کاملاً دقیق باشیم و مطمئن شویم که هرچه پیدا کردیم صحیح و درست است.
در این مورد ، پس از شناسایی La Poste به عنوان صاحب پایگاه داده ، با یافته های خود به آنها رسیدیم. در حالی که منتظر پاسخی از La Poste بودیم ، در 18 نوامبر ما نیز به شرکت میزبان آنها و The Nationale de l’informatique et des libertés (CNIL) ، یک نهاد نظارتی مستقل فرانسه برای حفظ حریم شخصی اطلاعات رسیدیم. این بانک اطلاعاتی تقریباً 3 هفته پس از اولین تماس ما با CNIL فرانسه بسته شده است.
- تاریخ کشف: 11/11
- فروشندگان تاریخ تماس گرفتند: 13/11
- تاریخ تماس با CNIL: 18/11
- تاریخ عمل : تقریباً 8/12
به عنوان مثال ورودی در پایگاه داده
مطابق با شرایط استفاده از خدمات نبوغ ، La Poste متعهد است كه:
"اجرای [ing] اقدامات لازم را برای محافظت از اطلاعات شخصی در برابر تصادفی یا غیرقانونی تخریب ، از بین رفتن تصادفی ، تغییر ، افشای یا دسترسی غیرمجاز ؛ "
" به مشتری اطلاع دهید ، ظرف 48 ساعت از زمان آگاهی از آن ، هرگونه نقض اطلاعات شخصی را به مشتری اطلاع دهد. "
(ترجمه از فرانسوی )
با این حال ، بر اساس تحقیقات ما ، پایگاه داده در معرض حفاظت کافی قرار نگرفته است. این اطلاعات حساس را فاش می کرد که می توانست یک ماین طلای برای مجرمان و هکرهای مخرب باشد.
تیم ما بیش از 15 گیگابایت اطلاعات حساس پیدا کرد ، 23 میلیون پرونده از SMB در سراسر فرانسه ، بلژیک ، سوئیس ، ایتالیا ، اسپانیا و شاید بیشتر.
ورود به دیتابیس مربوط به پرداخت های انجام شده توسط مشتریان از طریق نبوغ بود ، و همچنین سایر عملکردها که در برنامه انجام می شد.
هر ورودی بسته به عملکردی که توسط کاربر انجام شده بود ، شامل اشکال مختلفی از داده ها ، بود. این اطلاعات شامل [اطلاعات شخصی قابل شناسایی شخصی (PII)] هم از کاربران نابغه و هم برای مشتریان آنها ، همراه با اطلاعات حساس در مورد امور مالی و عملکرد مشاغل بود.
نمونه هایی از داده های کاربر قابل مشاهده از پایگاه داده شامل:
- نام کامل ، آدرس های ایمیل ، شماره تلفن ها و تاریخ های تولد ، افرادی که از این برنامه استفاده می کنند.
- شهر محل سکونت تجاری و کد پستی کاربران.
- اطلاعات مربوط به محصولات فروخته شده (برچسب ، قیمت ، بارکد و غیره) و معاملات انجام شده از طریق Genius.
- اطلاعات در مورد فروشندگان (نام ، ایمیل ، شماره تلفن).
- لوایح ارسال شده به مشتریان و تأمین کنندگان
- تجارت "موجودی سهام
- هر دو آزمایش و ارزش های واقعی محصولات روی نبوغ.
- آدرس های ایمیل مشتریانی که قبض از طریق نبوغ دریافت کرده اند.
- کل ارزش های تجارت" معاملات انجام شده از طریق Genius.
- شماره Siret (برای ثبت نام در مشاغل فرانسوی)
- موارد بسیار بیشتر
در زیر مثالی از یک کاربر Genius است که روز آشتی خود را در برنامه انجام می دهد (مقادیر ارزی به عنوان مبلغ در سنت در فهرست ذکر شده است. برای مثال "10150" = 101.50 یورو). این فقط یک نمونه از چگونگی فاش شدن داده های حساس یک شرکت و سوابق مالی است:
در مثال زیر ، داده های متعلق به یک مشاغل و یکی از کارمندان آن در معرض هنگام انجام یک اقدام دیگر در برنامه Genius:
در این به عنوان مثال نهایی ، PII یک مشتری در معرض نمایش است:
نبوغ توسط SMBs در سراسر فرانسه استفاده می شود ، و سایر کشورهای اروپایی از جمله فرانسه ، بلژیک ، سوئیس ، ایتالیا و اسپانیا. به همین ترتیب ، پایگاه داده شامل پرونده هایی از پایگاه کاربر Genius در صنایع مختلف در هر یک از این کشورها و بسیاری موارد دیگر بود.
برخی از نمونه های مشاغل در معرض عبارتند از:
- Nilaï – یک فروشگاه جواهرات در پاریس
- By164 – یک فروشگاه جواهرات در پاریس
- Lovat & Green – یک فروشگاه خرده فروشی مد یونیکس در بیلبائو ، اسپانیا
- Manta – یک فروشگاه هدیه فرانسوی با حمل و نقل به کشورهای متعدد اروپایی
- Louisette – یک فروشگاه هدیه خانوادگی فرانسوی
- MHD Restauration – یک رستوران کوچک و مستقل
* توجه: Lousiette و MHD کاربران Genius استناد شده در وب سایت خود ، توصیفات مثبتی را برای این سرویس ارائه می دهند.
گذشته از افشای کاربران مشتری برنامه خود ، بانک اطلاعاتی نیز سهواً کارمندان La Poste را آسیب پذیر ساخت.
در طول تحقیق ، تیم ما همچنین داده های PII از کارمندان La Poste ، مانند نام آنها ، آدرس ایمیل و شماره تلفن ها را در کنار "ارزش تست" محصولات موجود در برنامه مشاهده کرد. این به احتمال زیاد به دلیل کارمندان تحت تأثیر آزمایش برنامه داخلی صورت گرفته است.
تأثیر نقض داده ها
این نشت داده ها یک نقض جدی در پروتکل های امنیتی داده برای La Poste و توسعه دهندگان برنامه Genius است. در حالی که ممکن است از La Poste بخاطر شفافیت خود در رابطه با محافظت از داده های کاربران استفاده شود ، کشف تیم ما نشان می دهد که آنها اقدامات کافی برای محافظت از داده های ذکر شده انجام ندادند.
اگر مجرمان یا هکرهای مخرب به این داده ها دسترسی پیدا کنند ، پیامدهای جدی برای حفظ حریم خصوصی و امنیت کلیه افراد آسیب دیده وجود خواهد داشت.
برای La Poste و Genius
نشتی از این ماهیت در مورد شیوه های کلی امنیت داده های La Poste – نه فقط در برنامه Genius ، سؤالاتی را ایجاد می کند ، بلکه در مورد عملیات گسترده تر و شبکه مشاغل فرعی آنها. .
در حالی که ما برای حل این نشت تلاش می کنیم ، ممکن است مشتری های آینده به Genius تمایلی به اجرای برنامه برای فعالیت های تجاری خود نداشته باشند. La Poste ممکن است پس از کشف ما ، به همراه شهرت آنها در جوامع تجاری فرانسه ، برای حفظ اعتماد SMBs تلاش کند.
به عنوان بزرگترین خدمات پستی فرانسه ، با مشتریانی در سراسر اروپا ، La Poste در صلاحیت اتحادیه اروپا و GDPR است. La Poste حتی در شرایط خدمات خود ، GDPR را هر چند به نام خود تصدیق می کند.
با محافظت از داده های شخصی کاربران Genius و مشتریان آنها ، La Poste ممکن است مسئول اقدامات قانونی یا جریمه های توسط دستگاه های نظارتی مناسب باشد.
برای کاربران نابغه
داده های حساس در معرض این پایگاه داده کاربران نابغه و مشاغل آنها را در برابر انواع حملات و طرح های کلاهبرداری آسیب پذیر می کند.
به عنوان مثال ، توسط با استفاده از داده های PII ، مشاغل و اطلاعات مالی در معرض دید ، مجرمان می توانند فعالیت های فیشینگ مؤثر ایجاد کنند. یک برنامه فیشینگ شامل ایجاد ایمیل های کلاهبرداری تقلید مشاغل قانونی و ارگان های دولتی ، قبلاً برای فریب اهداف در انجام هر یک از موارد زیر بود:
- اطلاعات اضافی مانند گذرواژه ها و نام های کاربری را به حساب های آنلاین خصوصی و میزبان ایمیل ارسال کنید [19659052] به حساب های مالی مانند کارت های اعتباری یا بانکداری آنلاین دسترسی داشته باشید
- روی پیوندی کلیک کنید که نرم افزارهای مخرب ، مانند بدافزار ، باج افزار ، جاسوسافزار و ویروس ها را در آن تعبیه کند.
اگر هکری که اطلاعات در معرض نمایش را مشاهده می کرد ، قادر به محاسبه مقادیر میانگین معاملات بر روی نبوغ ، آنها می توانند روش هایی را برای سرقت پول در مقادیر کوچک و افزایشی از یک کاربر – یا کل مبلغ پول – تهیه کنند.
بازیابی این سرمایه های دزدیده شده می تواند یک فرایند طولانی ، دشوار و ناموفق باشد – فراتر از توانایی های بسیاری از صاحبان SMB.
این نشت همچنین یک خطر جسمی بالقوه آسیب زا تر برای صاحبان مغازه ایجاد کرد. آشتی های نهایی روز توسط کاربران توسط Genius مبلغ پول نقد فیزیکی را در نزدیکی محل کارشان نشان داد. این امر به سارقان بالقوه بینش می دهد تا در بهترین زمان برای سرقت یا شکسته شدن در یک فروشگاه در معرض دید قرار بگیرند و پول را به طور مستقیم از محل سرقت کنند.
همانند کل موجودی ارزهای ذکر شده ، در قطعه کد زیر ، مقدار "10150 "برابر با 101.50 در واحد پول کاربر است.
علاوه بر این ، از آنجا که داده های فاش شده نیز مشتریان این مشاغل را در معرض دید خود قرار می دهد ، صاحبان آنها می توانند با از دست دادن مشتریانی که دیگر به تجارت با استفاده از نبوغ اعتماد نمی کنند ، خود را حفظ کنند داده ها امن است.
سرانجام ، کاربران نابغه می توانند در برابر اقدامات نامشخص رقبا آسیب پذیر باشند. با دسترسی به تجزیه و تحلیل داده های فروش و قیمت گذاری ، یک رقیب می تواند کاربر را با پیشنهادهای رقابتی تضعیف کند. این ممکن است بیشتر مشتریان را از یک کاربر در معرض جنس دور کند.
مشاوره از کارشناسان
La Poste و توسعه دهندگان Genius می توانستند اگر برخی اقدامات امنیتی اساسی را برای محافظت از بانک اطلاعاتی اتخاذ کرده بودند ، از این نشت به راحتی اجتناب کنند. اینها شامل می شوند ، اما به این موارد محدود نمی شوند:
- سرورهای خود را ایمن کنید.
- قوانین دسترسی مناسب را اجرا کنید.
- هرگز سیستمی را که نیاز به تأیید اعتبار نداشته باشد ، روی اینترنت نگذارید.
همان مراحل ، بدون توجه به اندازه آن.
برای یک راهنمای جامع تری در مورد چگونگی محافظت از مشاغل خود ، راهنمای ما را برای تأمین امنیت وب سایت و پایگاه داده آنلاین از هکرها بررسی کنید.
برای نبوغ کاربران
با توجه به شرایط خدمات خود ، La Poste موظف است ظرف 48 ساعت به کاربران "هرگونه نقض اطلاعات شخصی" را اعلام کند:
"در این زمینه ، [we] تمام اطلاعات را به مشتری اعلام می کند [we have] در مورد شرایط این تخلف از اطلاعات شخصی. "
امیدوارم آنها این تعهد را انجام دهند و هر یک از طرفین تحت تأثیر این نشت را آگاه سازند.
اگر مشتری La Poste Genius هستید و نگران چگونگی این کار هستید نقض ممکن است شما را تحت تأثیر قرار دهد ، La Poste نیز ارائه می دهد دستورالعمل های مطرح کردن نگرانی های خود با طرف های خارج:
"به عنوان بخشی از سیاست حمایت از داده های شخصی شخصی La Poste ، می توانید با مسئول حفاظت از داده ها ، CP C703 ، 9 Rue Colonel Pierre Avia ، 75015 PARIS تماس بگیرید.
در صورت بروز مشکل در مدیریت داده های شخصی خود ، می توانید شکایتی را به CNIL ارائه دهید. "
برای دارندگان SMB
اگر صاحب SMB هستید و نگران این هستید که چگونه آسیب پذیری و سرقت داده ها می تواند بر تجارت و مشتریان شما تأثیر بگذارد ، ما را بخوانید. راهنمای کامل برای حفظ حریم خصوصی آنلاین برای SMB.
این روش های مختلفی را برای شما نشان می دهد که مجرمان سایبری مشاغل کوچک را هدف قرار می دهند و مراحلی را که می توانید برای ایمن ماندن در پیش بگیرید.
چگونه و چرا ما نقض آن را کشف کردیم
vpnMentor تیم تحقیقاتی این نقض در پایگاه داده های La Poste را به عنوان بخشی از یک پروژه نقشه برداری گسترده وب کشف کرد. محققان ما از اسکن پورت برای بررسی بلوک های خاص IP استفاده می کنند و سوراخ های باز سیستم را برای نقاط ضعف آزمایش می کنند. آنها هر سوراخ را برای فاش شدن داده ها بررسی می کنند.
هنگامی که آنها یک داده را نقض می کنند ، آنها از تکنیک های تخصصی برای تأیید هویت بانک اطلاعاتی و همچنین مالک آن استفاده می کنند. سپس شرکت را نسبت به نقض هشدار می دهیم. در صورت امکان ، ما به سایر طرفهای تحت تأثیر این هشدار نیز هشدار خواهیم داد.
تیم ما توانست به این پایگاه داده دسترسی پیدا کند زیرا کاملاً نا امن و رمز نشده است.
La Poste از یک پایگاه داده Elasticsearch استفاده می کند ، که معمولاً برای استفاده از URL طراحی نشده است. با این حال ، ما توانستیم از طریق مرورگر به آن دسترسی داشته باشیم و معیارهای جستجوی URL را در معرض نمایش طرحواره ها دستکاری کنیم.
هدف از این پروژه نقشه برداری وب کمک به امنیت اینترنت برای همه کاربران است.
به عنوان هکرهای اخلاقی ، ما هنگام کشف اشکالات در امنیت آنلاین آنها ، ما موظفیم به یک شرکت اطلاع دهیم. این به ویژه هنگامی که نقض اطلاعات شرکت ها حاوی چنین اطلاعات خصوصی است صادق است.
این اخلاق همچنین بدان معنی است که ما وظیفه خود را بر عهده مردم می گذاریم. کاربران نبوغ باید از چگونگی تأثیر نشت داده بر آنها آگاه باشند.
درباره ما و گزارش های قبلی
vpnMentor بزرگترین وب سایت بررسی VPN در جهان است. آزمایشگاه تحقیقاتی ما یک سرویس حرفه ای است که تلاش می کند. برای کمک به جامعه آنلاین در حالی که به سازمانهایی برای محافظت از داده های کاربران خود از خود در برابر تهدیدات سایبری دفاع می کنند.
در گذشته ، ما یک نقض بزرگ را کشف کرده ایم که داده های مشتریان را به یک گروه هتل فرانسوی متعلق به Accorhotels در معرض دید ما قرار می دهد. ما همچنین نشتی از داده توسط پلت فرم رزرو پرواز فرانسه ، گزینه Option Way ، را به خطر انداخته ایم که حریم خصوصی مشتریان را فاش می کند. همچنین ممکن است بخواهید گزارش گزارش نشت VPN و گزارش آمار خصوصی اطلاعات داده های VPN ما را بخوانید.