🧠 Блог посвящен теме VPN и безопасности, конфиденциальности данных в Интернете. Рассказываем про актуальные тренды и новости связанные с защитой.

BREACH : личные данные после утечки данных

117

vpn.inform.click обнаружил открытый интерфейс Kibana, который работает с движком Elasticsearch французского сайта электронной коммерции BazarChic. На этом незащищенном сервере, о котором уже было сообщено BazarChic и который был закрыт, произошла утечка личной информации о клиентах, включая адреса электронной почты, пароли и частичные данные кредитной карты.

BazarChic, член Galeries Lafayette Group , специализируется на распродажах высококлассных брендов.

В чем дело?

Наша команда хактивистов из белой шляпы в vpn.inform.click смогла получить доступ к частным данным клиентов через незащищенную базу данных. Нарушение, которое было обнаружено с помощью небезопасной конфигурации в интерфейсе Kibana для механизма Elasticsearch, выявило потенциально конфиденциальные данные клиентов.

Данные, которые были найдены на сервере, включают в себя:

  • Полное имя клиента
  • Платежный адрес
  • Телефонный номер
  • Эл. адрес
  • Пароль пользователя BazarChic
  • айпи адрес
  • Последние 4 цифры кредитной карты
  • Срок действия кредитной карты
  • Подробная информация о типе устройства клиента , идентификаторе устройства, версии приложения, размере экрана, версии ОС и т.д.

Пример личных данных клиентов, к которым мы смогли получить доступ

Чьи данные доступны

Поскольку база данных, казалось, регистрировала пользователей каждый раз, когда они входили в систему, а не только уникальные входы, было трудно определить точное число затронутых пользователей. Тем не менее, мы можем сказать, что тысячи посетителей вошли в систему с января 2019 года .

Хотя большая часть данных оставалась на сервере с начала 2019 года, финансовые данные, по-видимому, удалялись ежемесячно . Мы также определили, что не каждая транзакция была зарегистрирована на этом сервере, кажется, что здесь хранились только неудачные попытки оплаты .

Найденные данные представляют собой потенциальную золотую жилу для хакеров и воров. Возможные риски для пользователя BazarChic включают в себя:

  • Кража личных данных: раскрытые в утечке персональные данные могут быть использованы кем-то, кто пытается выдать себя за человека в ситуации, когда компании требуется любая из этих личных данных для идентификации пользователей (дата рождения, адрес, телефон, последние 4 цифры своей кредитной карты, и т.д).
  • Передача учетной записи : Получив адрес электронной почты и пароль, хакер может просто войти в учетную запись, изменить адрес доставки и совершить покупки с помощью кредитной карты. Они также могут выполнять любые действия на сайте, которые может выполнять пользователь, например, изменять свои данные, общаться с сайтом от имени пользователя, покупать товары, закрывать аккаунт, жаловаться и т.д.
  • Несанкционированное использование кредитной карты:  поскольку кредитные карты в утечках частично замаскированы и не имеют CVV, их будет сложнее использовать за пределами сайта. Однако со всеми PII, которые хакер может найти здесь, включая частичную информацию о кредитной карте, они могут получить доступ к другим учетным записям, которые пользователь имеет на разных сайтах, и получить полную информацию о кредитной карте.

  • Риски,  кража и мошенничество в отношении конфиденциальности : у злоумышленника есть не только электронная почта и номера телефонов, но и личные данные, которые он может использовать для получения доверия.
  • Целевая фишинг-мошенничество. Популярная фишинг-мошенничество заключается в том, чтобы отправить адресату электронное письмо, и, используя свой пароль в качестве доказательства того, что вас взломали, они затем потребуют, чтобы вы заплатили выкуп или понесли последствия.
  • Доступ к паролю. Поскольку пароли часто используются повторно, хакеры могут иметь доступ к учетным записям на нескольких сайтах . Существуют онлайн-инструменты, которые могут сканировать учетные записи социальных сетей на основе адреса электронной почты. Если клиент повторно использовал пароль и / или политика паролей параллельного сайта не соответствует рискам повторного использования пароля (например, недопустимо использование самых популярных паролей — что может, по крайней мере, иногда предотвратить повторное использование общих паролей) ) есть большая вероятность, что злоумышленник сможет получить доступ к большему количеству учетных записей для этого клиента, попытавшись войти с тем же адресом электронной почты и паролем. Это одна из многих причин, по которым вы должны иметь надежный и уникальный пароль для каждого сайта . Вы можете использовать менеджер паролей чтобы помочь вам управлять всеми своими счетами.

Пример утечки информации о кредитной карте, которую мы смогли найти 

Если хакер получит доступ к данным BazarChic через интерфейс Kibana, он легко сможет получить доступ к системным данным, которые должны оставаться конфиденциальными. Хотя не вся найденная информация будет непосредственно полезна для поиска эксплойта, но она, несомненно, поможет в проведении разведки системы для более сложных взломов.

В любом случае, наилучшей практикой является предоставление минимального объема данных о базовой технологии и бэкэнд-системе. Причина этого заключается в том, что существуют различные известные уязвимости и уязвимости для конкретных сред, технологий и версий платформ. Определить, что данный сайт использует в своей инфраструктуре какое-то непатентованное программное обеспечение, которое может быть атаковано с помощью одного из этих эксплойтов, легче, если доступны такие журналы, как те, что были обнаружены в утечке.

В интерфейсе Kibana мы были свидетелями логов, которые указывают на атаку методом "грубой силы" на механизм входа в систему. Это говорит нам о том, что то, что происходит с системой, отражается в этой базе данных и может быть использовано против нее.

Этот тип системных данных может также включать в себя частные данные о пользователях в некоторых случаях (например, HTTP-запрос, показывающий POST-запрос с электронной почтой и паролем пользователя).

  • HTTP-трафик : может содержать сведения о внутренних ресурсах BazarChic и конфиденциальные данные, которые были переданы на серверную часть системы. Это может быть риск частной жизни и шлюз для атак на параметры и многое другое.
  • Запросы SQL : это может раскрыть информацию о базовой структуре веб-сайта и может помочь с  атаками SQL-инъекций и многим другим.
  • Структура папок веб-сервера . Знание того, как папки хранятся на сервере, может помочь хакеру атаковать веб-инфраструктуру, обход пути и многое другое.

Эти данные могут быть использованы для атаки или сопоставления сайта и обнаружения дополнительных ресурсов из веб-приложения.

Как это произошло и как это можно предотвратить?

Мы смогли идентифицировать открытый интерфейс Kibana без аутентификации, которая содержала конфиденциальную информацию. Это известная проблема при настройке серверов Kibana и Elasticsearch — системы намеренно сделаны внутренними и без аутентификации по умолчанию (так как они предназначены для использования для анализа и регистрации активности из внутренней сети компании). Тем не менее, они иногда настроены таким образом, что подвергают их воздействию внешних сетей и Интернета, что приводит к таким утечкам.

Чтобы защитить этот сервер, сначала BazarChic, возможно, придется предотвратить доступ к нему из внешних источников и добавить механизм аутентификации по паролю в интерфейс Kibana . Есть несколько способов добавить эти меры безопасности, в зависимости от реализации. В таких случаях также важно помнить об изменении имени пользователя и пароля по умолчанию .

Также важно назначить роли пользователей тем, у кого есть права доступа к данным и установить правильные привилегии, чтобы только определенные люди имели доступ к конфиденциальным данным.

Более новые версии Kibana должны иметь подключаемые модули безопасности и контроля доступа, уже установленные по умолчанию, поэтому администраторам сервера нужно только правильно их настроить.

Дополнительной связанной линией защиты было бы обеспечение того, чтобы сервер работал с зашифрованной связью HTTPS , чтобы предотвратить перехват данных.

Также стоит упомянуть, что, по возможности, следует избегать регистрации конфиденциальных данных и их сохранения в виде открытого текста .

Мы настоятельно рекомендуем, если вы вошли в BazarChic с начала 2019 года, чтобы предпринять некоторые шаги для защиты вашей личности в Интернете . Это включает:

  • Измените свои пароли на других учетных записях в Интернете, если они совпадают или похожи на ваш пароль BazarChic.
  • Посмотрите транзакции по вашей кредитной карте и убедитесь, что никаких дополнительных сборов нет .
  • Не открывайте ссылки в электронных письмах, если вы не уверены, что знаете отправителя.

Кто такой vpn.inform.click? Почему я должен доверять тебе

vpn.inform.click — это международный веб-сайт по безопасности, который переведен на 30 языков. Хотя мы сосредоточены на обзорах, сравнениях и учебных пособиях по VPN, у нас также есть специальная группа по исследованию безопасности. Как только мы обнаруживаем утечку данных, мы сначала связываемся с компанией и даем им время, чтобы устранить утечку, прежде чем публиковать данные для общественности.

Этот веб-сайт использует файлы cookie для улучшения вашего опыта. Мы предполагаем, что вы согласны с этим, но вы можете отказаться, если хотите. ПринимаюПодробнее