خرید VPNvip خرید VPN خرید کریو خرید kerio فیلتر شکن خرید فیلترشکن vip vpn

خرید VPN خرید کریو خرید وی پی ان خرید vipVPN خرید kerio فیلترشکن Vip vpn

Header Left

vip vpn
vipvpn

خرده فروش آنلاین محبوب ، مشتریانی را در نشت داده های جهانی در معرض دید مشتریان قرار می دهد

by

به رهبری تحلیلگران امنیت سایبری Noam Rotem و Ran Locar ، vpnMentor's تیم تحقیقاتی نشت را در یک بانک اطلاعاتی متعلق به خرده فروش آنلاین LightInTheBox کشف کرد.

یک بانک اطلاعاتی گسترده ، حاوی بیش از 1 ترابایت اطلاعات روزانه و به خطر انداختن امنیت مشتریان LightInTheBox در سراسر جهان.

نه تنها این یک نقض عمده در پروتکل های امنیت داده LightInTheBox است ، بلکه خطرات واقعی را برای افراد مبتلا ایجاد می کند.

پروفایل شرکت LightInTheBox

LightInTheBox یک خرده فروش آنلاین مستقر در پکن ، چین است و تجارت در بورس نیویورک به عنوان LITB است. LightInTheBox که در سال 2007 تأسیس شد ، در بین المللی با بیشتر مشتریان خود در آمریکای شمالی و اروپا حمل و نقل می کند. این شرکت بر سه دسته اصلی خرده فروشی تمرکز دارد: پوشاک ، لوازم کوچک و وسایل کوچک و خانه و باغ.

LightInTheBox یک تجارت بزرگ است ، بیش از 12 میلیون بازدید کننده ماهانه در وب سایت گل سرسبد خود ، به همراه چند شرکت تابعه کوچکتر ایجاد می کند.

Timeline of Discovery and Reaction Owner

بعضی اوقات. یک نقض داده و صاحب اطلاعات آشکار است و این مسئله به سرعت برطرف شد. اما این اوقات نادر است. اغلب اوقات ، ما به روزهای تحقیق نیاز داریم تا بدانیم چه چیزی در معرض خطر است یا چه کسی اطلاعات را فاش می کند.

درک یک نقض و تأثیر آن به زمان و توجه دقیق نیاز دارد. ما برای انتشار گزارش های دقیق و قابل اعتماد تلاش می کنیم ، و اطمینان می دهیم که هر کسی که آنها را می خواند ، جدی بودن خود را می فهمد.

برخی از طرف های تحت تأثیر این حقایق را انکار می کنند ، به تحقیقات ما بی توجه هستند یا تأثیر آن را کم می کنند. بنابراین ، ما باید دقیق و مطمئن باشیم که هرچه پیدا کردیم صحیح و درست است.

در این مورد ، پس از مشخص کردن LightInTheBox به عنوان مالک دیتابیس ، ما برای ارائه یافته های خود با آنها تماس گرفتیم. در حالی که ما پاسخی از این شرکت دریافت نکردیم ، نقض بانک اطلاعاتی اندکی پس از آن بسته شد.

  • تاریخ کشف: 20/11
  • فروشندگان تاریخ با ما تماس گرفتند: 24/11
  • تاریخ عمل: تقریبا. 24/11/19

نمونه ورود در بانک اطلاعاتی

LightInTheBox جزئیات خاصی در مورد روش های امنیتی و ذخیره سازی داده های آنها یا اقدامات انجام شده برای محافظت از داده های مشتریان ارائه نمی دهد.

خط مشی رازداری ، آنها از داده های کاربران محافظت می کنند با:

"… مراحل اداری برای محافظت از محرمانه بودن اطلاعات شخصی شما ، مانند:

* حفاظت از کلیه معاملات مالی انجام شده از طریق این سایت با رمزگذاری لایه های سوکت ایمن (" SSL ")

* اعطای فقط کارمندانی که خدمات خاصی را ارائه می دهند تا به اطلاعات شخصی شما دسترسی داشته باشند

* فقط با ارائه دهندگان خدمات شخص ثالث کار می کنیم که معتقدیم تمام سخت افزارهای رایانه ای به اندازه کافی ایمن هستند.

در حالی که مشاغل ما با حمایت شما طراحی شده است. اطلاعات شخصی را در نظر داشته باشید ، لطفاً به یاد داشته باشید که امنیت 100٪ در حال حاضر در هیچ کجا ، آنلاین یا آفلاین وجود ندارد. "

بر اساس کشف تیم ما y ، اقداماتی که انجام می داد کافی نبود. پایگاه داده نقض شده حاوی بیش از 1.3 ترابایت داده است ، بالغ بر 1.5 میلیارد رکورد.

این پایگاه داده یک گزارش وب سرور بود – سابقه درخواست صفحه و فعالیت کاربر در سایت با تاریخ 9 اوت 2019 تا 11 اکتبر.

گذشته از LightInTheBox.com ، همچنین حاوی داده هایی از سایت های تابعه آنها ، از جمله MiniInTheBox.com.

نقض داده ها در سراسر جهان مشتری را تحت تأثیر قرار داد ،

از طریق سرورهای وب ذخیره شده در پایگاه داده ، ما داده های شخصی کاربر شخصی را مشاهده کردیم که شامل:

  • آدرس های IP کاربران
  • کشورها اقامت
  • آدرس های ایمیل
  • صفحات مقصد و فعالیت کاربر در وب سایت

قطعه کد زیر نشان می دهد که چگونه 3 آدرس ایمیل جداگانه قرار گرفته است:

پایگاه داده als o شامل داده های مربوط به کمپین های تبلیغاتی Google & Bing Ad در LightInTheBox است.

تأثیر نقض داده ها

این نقض داده ها نشانگر یک وقفه بزرگ در امنیت داده LighInTheBox است. در حالی که این نشت داده ها اطلاعات حساس کاربر را فاش نمی کند ، برخی اقدامات اساسی امنیتی انجام نشده است. این زمان از سال با خرید آنلاین زیادی است: جمعه سیاه ، دوشنبه سایبر ، کریسمس. حتی یک نشت بزرگ و بدون داشتن اطلاعات شخصی با اطلاعات شخصی قابل شناسایی ، می تواند تهدیدی برای شرکت و مشتریان باشد.

LightInTheBox اگر مشتری احساس نمی کند می تواند به این شرکت اعتماد کند تا داده های خود را خصوصی نگه دارد ، در یک زمان مهم از دست بدهد.

بر اساس بررسی های کاربران LightInTheBox در مورد Trustpilot ، بسیاری از مشتری ها از تجربیات خود در وب سایت ناراضی هستند. با افشای داده های خود ، LightInTheBox خطر از دست دادن بیشتر مشاغل که می تواند بر درآمد آینده تأثیر منفی بگذارد ، می باشد.

برای مشتریان LightInTheBox

داده های در معرض دید افراد را در معرض آسیب های بسیاری از انواع کلاهبرداری و حملات آنلاین قرار می دهد. با دسترسی به ایمیل های کاربران ، مجرمان سایبری می توانند با ایمیل هایی که از LightInTheBox تقلید می کنند ، اقدام به فیشینگ قانع کننده کنند.

با استفاده از این ایمیل ها ، قربانیان می توانند به هر یک از موارد زیر فریب دهند:

  • با کلیک روی پیوندی که نرم افزارهای مخرب را در دستگاه خود تعبیه می کند
  • آشکار کردن اطلاعات حساس مالی یا شخصی
  • ارائه اعتبار ورود به سیستم برای حساب های آنلاین خصوصی [19659048] تأثیر روی یک قربانی می تواند ویران کننده باشد.

    خطر جسمی نیز وجود دارد. با آدرس IP کاربر وب سایت ، ما توانستیم شهر محل اقامت آنها را شناسایی کنیم. اگر یک هکر جنایتکار به این امر دسترسی داشته باشد ، به همراه سایر اطلاعات در معرض نمایش ، آنها می توانند یک قربانی را به فاش کردن آدرس خانه خود فریب دهند ، و آنها را به سرقت و سرقت در منزل هدف قرار دهند.

    در مثال زیر برخی از اطلاعات اضافی که می تواند نشان دهد ، نشان می دهد. با استفاده از آدرس IP شخصی یافت می شود:

    بدتر از همه ، این نقض داده در زمان اصلی تا کریسمس ، اتفاق افتاد

    مشاوره از متخصصان

    LightInTheBox اگر می توانستند به راحتی از این نشت اجتناب كنند اگر برخی اقدامات امنیتی اساسی را برای محافظت از پایگاه داده انجام دهند. اینها شامل می شوند ، اما به این موارد محدود نمی شوند:

    1. سرورهای خود را ایمن کنید.
    2. قوانین دسترسی مناسب را اجرا کنید.
    3. هرگز سیستمی را که نیاز به تأیید اعتبار نداشته باشد ، هرگز روی اینترنت نگذارید.

    همان مراحل ، بدون توجه به اندازه آن.

    برای یک راهنمای عمیق تر درباره نحوه محافظت از مشاغل خود ، راهنمای ما را برای تأمین امنیت وب سایت و پایگاه داده آنلاین از هکرها بررسی کنید. [19659042] برای مشتریان LightInTheBox

    می توانید مستقیماً با LightInTheBox تماس بگیرید و بدانید که چطور این مسئله را حل می کنند و برای محافظت از داده های خود در آینده برنامه ریزی می کنید.

    اگر مشتری LightInTheBox هستید و نگران این هستید که چگونه ممکن است این نقض در شما تأثیر بگذارد ، یا آسیب پذیری داده ها به طور کلی ، راهنمای کامل ما برای حفظ حریم خصوصی آنلاین را بخوانید.

    این روش های مختلفی را برای شما نشان می دهد که جرایم سایبری کاربران اینترنت را هدف قرار می دهد ، و مراحلی که می توانید برای ایمن ماندن استفاده کنید.

    همچنین می توانید برای مخفی کردن برخی از داده های در معرض LightInTheBox از VPN استفاده کنید. یک VPN آدرس IP و کشور محل سکونت شما را پوشانده و به شما لایه ای اضافه می دهد. محافظت حتی اگر اطلاعات شما به بیرون درز شود.

    چگونه و چرا ما نقض آن را کشف کردیم

    تیم تحقیقاتی vpnMentor نقض پایگاه داده های LightInTheBox را به عنوان بخشی از یک پروژه بزرگ نقشه برداری وب کشف کرد. محققان ما از اسکن پورت برای بررسی بلوک های خاص IP استفاده می کنند و سوراخ های باز سیستم را برای نقاط ضعف آزمایش می کنند. آنها هر سوراخ را برای فاش شدن داده ها بررسی می کنند.

    وقتی یک داده را نقض می کنند ، از تکنیک های متخصص برای تأیید هویت بانک اطلاعات استفاده می کنند. سپس شرکت را نسبت به نقض هشدار می دهیم. در صورت امکان ، ما به کسانی که تحت تأثیر این نقض قرار گرفته اند نیز هشدار می دهیم.

    تیم ما توانست به این پایگاه داده دسترسی پیدا کند زیرا کاملاً نا امن و رمز نشده است.

    این شرکت از یک پایگاه داده Elasticsearch استفاده می کند ، که معمولاً برای استفاده از URL طراحی نشده است. با این حال ، ما توانستیم از طریق مرورگر به آن دسترسی پیدا کنیم و معیارهای جستجوی URL را در معرض نمایش نقشه های پایگاه داده دستکاری کنیم.

    هدف از این پروژه نقشه برداری وب کمک به امنیت اینترنت برای همه کاربران است.

    به عنوان هکرهای اخلاقی ، ما موظف هستیم هنگام کشف نقص در امنیت آنلاین آنها ، به یک شرکت اطلاع دهیم. این امر به ویژه در مورد نقض اطلاعات شرکت ها حاوی چنین اطلاعات خصوصی است.

    با این حال ، این اخلاق نیز به معنای ما مسئولیت را بر عهده مردم می گذاریم. مشتریان LightInTheBox باید از نقض اطلاعاتی که بر آنها تأثیر می گذارد آگاه باشند.

    درباره ما و گزارش های قبلی

    vpnMentor بزرگترین وب سایت بررسی VPN در جهان است. آزمایشگاه تحقیقاتی ما یک سرویس حرفه ای است که تلاش می کند. برای کمک به جامعه آنلاین در حالی که به سازمانهایی برای محافظت از داده های کاربران خود از خود در برابر تهدیدات سایبری دفاع می کنند.

    در گذشته ، ما در Biostar 2 نقض کرده ایم که داده های بیومتریک بیش از 1 میلیون نفر را به خطر انداخته است. ما همچنین اخیراً فاش کردیم که یک شرکت متعلق به هتل های زنجیره ای عمده Accorhotels بیش از 1 ترابایت از اطلاعات مهمان را در معرض دید قرار داده است. همچنین ممکن است بخواهید گزارش گزارش نشت VPN و گزارش آمار حریم خصوصی داده ها را ما بخوانید.