Báo cáo: Ứng dụng dịch vụ bưu chính của Pháp cho thấy chủ doanh nghiệp nhỏ bị rò rỉ dữ liệu


Được dẫn dắt bởi Noam Rotem và Ran Locar, nhóm nghiên cứu vpnMentorùi đã phát hiện ra một Vi phạm cơ sở dữ liệu thuộc về Genius, một ứng dụng Android được xây dựng bởi dịch vụ bưu chính của Pháp La Poste. Genius là một máy tính tiền dựa trên ứng dụng tích hợp nhiều quy trình khác nhau để giúp các chủ cửa hàng nhỏ. Cơ sở dữ liệu trong câu hỏi chủ yếu liên quan đến thanh toán được thực hiện thông qua ứng dụng. Với hơn 23 triệu hồ sơ, đây là một sự vi phạm lớn về bảo mật dữ liệu và khiến người dùng Genius trên khắp nước Pháp dễ bị tổn thương. Nếu tin tặc độc hại đã phát hiện ra cơ sở dữ liệu này, hậu quả có thể là tàn phá cho những người tiếp xúc.

Hồ sơ công ty La Poste

La Poste là dịch vụ bưu chính chính ở Pháp, thuộc sở hữu đa số của chính phủ Pháp, và cũng hoạt động ở các lãnh thổ hải ngoại có truyền thống liên kết với đất nước. Nó là nhà tuyển dụng lớn thứ hai ở Pháp và giống như nhiều dịch vụ bưu chính trên thế giới, đã mở rộng ra ngoài việc gửi thư. Hoạt động của họ bao gồm bảo hiểm, ngân hàng, lưu trữ webmail và nhiều dịch vụ khác cho công dân tư nhân. Công ty cũng cung cấp dịch vụ cho các doanh nghiệp vừa và nhỏ (SMB) tại Pháp. Chúng bao gồm Genius, ứng dụng máy tính tiền. Ngoài việc xử lý thanh toán từ khách hàng, Genius hỗ trợ SMB quản lý hàng tồn kho, báo cáo và phân tích dữ liệu, kế toán và nhiều quy trình quan trọng khác. Genius được lập hóa đơn cho SMB là một giải pháp mô đun phù hợp với mọi nhu cầu của bạn. Và ngân sách của bạn!

Dòng thời gian của Discovery và phản ứng của chủ sở hữu

Đôi khi, mức độ vi phạm dữ liệu và chủ sở hữu dữ liệu là rõ ràng và vấn đề nhanh chóng được giải quyết. Nhưng hiếm có những lần này. Thông thường, chúng tôi cần nhiều ngày điều tra trước khi chúng tôi hiểu được những gì bị đe doạ hoặc ai bị rò rỉ dữ liệu. Hiểu về một vi phạm và những gì mà nhóm bị đe dọa cần sự chú ý và thời gian cẩn thận. Chúng tôi làm việc chăm chỉ để xuất bản các báo cáo chính xác và đáng tin cậy, đảm bảo mọi người đọc chúng đều hiểu sự nghiêm trọng của họ. Một số bên bị ảnh hưởng phủ nhận sự thật, coi thường nghiên cứu của chúng tôi hoặc phát huy tác động của nó. Vì vậy, chúng tôi cần phải kỹ lưỡng và đảm bảo mọi thứ chúng tôi tìm thấy đều đúng và đúng. Trong trường hợp này, khi xác định La Poste là chủ sở hữu cơ sở dữ liệu, chúng tôi đã liên hệ với họ bằng các phát hiện của chúng tôi. Trong khi chúng tôi chờ đợi câu trả lời từ La Poste, vào ngày 18 tháng 11, chúng tôi cũng đã liên hệ với công ty lưu trữ của họ và Ủy ban quốc gia de liêuinformatique et des Libertés (CNIL), cơ quan quản lý độc lập của Pháp về quyền riêng tư dữ liệu. Cơ sở dữ liệu đã bị đóng gần ba tuần sau lần tiếp xúc đầu tiên của chúng tôi với CNIL của Pháp.

  • Ngày phát hiện: 11/11
  • Nhà cung cấp ngày liên hệ: 13/11
  • Ngày liên hệ với CNIL: 18/11
  • Ngày hành động: Xấp xỉ 8/12

Ví dụ về các mục trong cơ sở dữ liệu

Theo Điều khoản dịch vụ dành cho thiên tài, La Poste cam kết: Thực hiện [các] các biện pháp cần thiết để bảo vệ Dữ liệu Cá nhân chống lại sự phá hủy vô tình hoặc bất hợp pháp, mất mát vô tình, thay đổi, tiết lộ hoặc truy cập trái phép; Thông báo cho khách hàng, trong vòng 48 giờ kể từ khi nhận biết được, mọi vi phạm về Dữ liệu Cá nhân. (Dịch từ tiếng Pháp) Tuy nhiên, dựa trên nghiên cứu của chúng tôi, cơ sở dữ liệu tiếp xúc đã không được bảo vệ đầy đủ. Nó đã rò rỉ thông tin nhạy cảm sẽ là một mỏ vàng cho bọn tội phạm và tin tặc độc hại. Nhóm của chúng tôi đã tìm thấy hơn 15 GB thông tin nhạy cảm, với 23 triệu hồ sơ có nguồn gốc từ SMB trên khắp Pháp, Bỉ, Thụy Sĩ, Ý, Tây Ban Nha và có thể hơn thế nữa. Các mục nhập vào cơ sở dữ liệu là được liên kết với các khoản thanh toán của khách hàng thông qua Genius, cũng như các chức năng khác thực hiện trên ứng dụng. Mỗi mục chứa các dạng dữ liệu khác nhau, tùy thuộc vào hành động được thực hiện bởi người dùng. Những điều đó được bao gồm Dữ liệu thông tin nhận dạng cá nhân (PII) của cả người dùng Genius và khách hàng của họ, cùng với thông tin nhạy cảm về tài chính và hoạt động của các doanh nghiệp. Ví dụ về dữ liệu người dùng có thể xem được của cơ sở dữ liệu bao gồm:

  • Tên đầy đủ, địa chỉ Email, số điện thoại và Ngày sinh, của những người sử dụng ứng dụng
  • Thành phố cư trú kinh doanh và mã zip của người dùng
  • Thông tin về các sản phẩm được bán (nhãn, giá, mã vạch, v.v.) và các giao dịch được thực hiện qua Genius
  • Thông tin về người bán (tên, email, số điện thoại)
  • Hóa đơn gửi cho khách hàng và nhà cung cấp
  • Kinh doanh kho hàng tồn kho
  • Cả giá trị thử nghiệm và giá trị thực của sản phẩm trên Genius
  • Địa chỉ email của khách hàng đã nhận được hóa đơn qua Genius
  • Tổng giá trị của các giao dịch kinh doanh được thực hiện qua Genius
  • Số Siret kinh doanh (để đăng ký kinh doanh tại Pháp)
  • Nhiều hơn nữa

Dưới đây là một ví dụ về người dùng Genius thực hiện việc hòa giải vào cuối ngày của họ trên ứng dụng (giá trị tiền tệ được liệt kê dưới dạng tổng bằng xu. Ví dụ: 101 10150 = € 101,50). Đây là chỉ là một ví dụ về cách dữ liệu và hồ sơ tài chính nhạy cảm của một doanh nghiệp bị rò rỉ: Trong ví dụ sau, dữ liệu thuộc về một doanh nghiệp và một trong những nhân viên của nó bị lộ trong khi thực hiện một hành động khác trên ứng dụng Genius: Trong ví dụ sau, dữ liệu thuộc về một doanh nghiệp và một trong những nhân viên của nó bị lộ trong khi thực hiện một hành động khác trên ứng dụng Genius: Trong ví dụ cuối cùng này, PII của một khách hàng được tiếp xúc:Thiên tài được sử dụng bởi SMB trên khắp nước Pháp, cũng như các nước châu Âu khác bao gồm Pháp, Bỉ, Thụy Sĩ, Ý và Tây Ban Nha. Như vậy, cơ sở dữ liệu chứa các bản ghi từ cơ sở người dùng Genius tại nhiều ngành công nghiệp khác nhau trên mỗi quốc gia này và nhiều quốc gia khác Một số ví dụ về các doanh nghiệp tiếp xúc bao gồm:

  • Nilaï – Một cửa hàng trang sức ở Paris
  • By164 – Một cửa hàng trang sức ở Paris
  • Yêu&Green – Một nhà bán lẻ thời trang unisex có trụ sở tại Bilbao, Tây Ban Nha
  • Manta – Một cửa hàng quà tặng của Pháp vận chuyển đến nhiều nước châu Âu
  • Louisette – Một cửa hàng quà tặng gia đình Pháp
  • Nhà hàng MHD – Một nhà hàng nhỏ, độc lập

* Lưu ý: Lousiette và MHD là người dùng của Genius được trích dẫn trên trang web của mình, cung cấp lời chứng thực tích cực cho dịch vụ. Ngoài việc tiết lộ người dùng ứng dụng khách của họ, cơ sở dữ liệu cũng vô tình làm cho nhân viên của La Poste dễ bị tổn thương. Trong quá trình nghiên cứu, nhóm của chúng tôi cũng đã xem dữ liệu PII của nhân viên La Poste, như tên, địa chỉ email và số điện thoại của họ, cùng với giá trị thử nghiệm của các sản phẩm trên ứng dụng. Điều này rất có thể là do các nhân viên bị ảnh hưởng thử nghiệm ứng dụng nội bộ.

Tác động vi phạm dữ liệu

Rò rỉ dữ liệu này là vi phạm nghiêm trọng các giao thức bảo mật dữ liệu cho La Poste và các nhà phát triển ứng dụng Genius. Mặc dù La Poste có thể được khen ngợi vì sự minh bạch của họ liên quan đến việc bảo vệ dữ liệu của người dùng của họ, nhưng phát hiện nhóm của chúng tôi chỉ ra rằng họ đã không thực hiện đủ các bước để bảo vệ dữ liệu nói. Nếu tội phạm hoặc tin tặc độc hại truy cập dữ liệu này, sẽ có ý nghĩa nghiêm trọng đối với quyền riêng tư và bảo mật của tất cả những người bị ảnh hưởng.

Dành cho La Poste và thiên tài

Một rò rỉ về bản chất này sẽ đặt câu hỏi về thực hành bảo mật dữ liệu tổng thể của La Poste, – không chỉ trong ứng dụng Genius, nhưng trên khắp các hoạt động rộng lớn hơn và mạng lưới các doanh nghiệp công ty con. Trong khi chúng tôi làm việc để giải quyết rò rỉ này, khách hàng tương lai của Genius có thể miễn cưỡng chấp nhận ứng dụng vào hoạt động kinh doanh của họ. La Poste có thể đấu tranh để duy trì sự tin tưởng của SMB sau phát hiện của chúng tôi, cùng với danh tiếng của họ trong cộng đồng doanh nghiệp Pháp. Là dịch vụ bưu chính lớn nhất của Pháp, với khách hàng trên khắp châu Âu, La Poste nằm trong phạm vi quyền lực của Liên minh châu Âu và GDPR. La Poste thậm chí thừa nhận GDPR, mặc dù không phải bằng tên, trong Điều khoản dịch vụ của họ. Bằng cách không bảo vệ dữ liệu cá nhân của người dùng Genius và khách hàng của họ, La Poste có thể phải chịu trách nhiệm cho hành động pháp lý hoặc tiền phạt bởi các cơ quan quản lý thích hợp.

Dành cho người dùng thiên tài

Dữ liệu nhạy cảm được hiển thị trên cơ sở dữ liệu này làm cho Người dùng thiên tài và doanh nghiệp của họ dễ bị tấn công và các mưu đồ lừa đảo. Ví dụ: sử dụng PII, kinh doanh và dữ liệu tài chính bị lộ, bọn tội phạm có thể tạo ra các chiến dịch lừa đảo hiệu quả. Chiến dịch lừa đảo liên quan đến việc tạo email lừa đảo bắt chước các doanh nghiệp hợp pháp và các cơ quan chính phủ, được sử dụng để lừa các mục tiêu để thực hiện bất kỳ điều nào sau đây:

  • Tiết lộ thông tin bổ sung như mật khẩu và tên người dùng vào tài khoản trực tuyến cá nhân và lưu trữ email
  • Cấp quyền truy cập vào các tài khoản tài chính như thẻ tín dụng hoặc ngân hàng trực tuyến
  • Nhấp vào liên kết sẽ nhúng phần mềm độc hại, chẳng hạn như phần mềm độc hại, ransomware, phần mềm gián điệp và vi-rút

Nếu một hacker xem dữ liệu bị lộ có thể tính toán các giá trị trung bình của các giao dịch trên Genius, họ có thể nghĩ ra các phương pháp để ăn cắp tiền với số tiền nhỏ, gia tăng từ người dùng – hoặc toàn bộ số tiền gộp. Việc thu hồi các quỹ bị đánh cắp này có thể là một quá trình lâu dài, khó khăn và không thành công – vượt quá khả năng của nhiều chủ sở hữu SMB. Sự rò rỉ cũng tạo ra một chấn thương tiềm tàng nguy hiểm về thể chất cho các chủ cửa hàng. Sự hòa giải cuối ngày được thực hiện bởi người dùng thông qua Genius tiết lộ số lượng tiền mặt thực tế tại cơ sở kinh doanh của họ. Điều này cung cấp cho kẻ trộm tiềm năng một cái nhìn sâu sắc về thời gian tốt nhất để ăn trộm hoặc đột nhập vào một cửa hàng tiếp xúc và ăn cắp tiền trực tiếp từ cơ sở. Như với tất cả các tổng số tiền tệ được liệt kê, trong đoạn mã sau, giá trị 10150 101 có giá trị bằng 101,50 trong đơn vị tiền tệ của người dùng.

Hơn nữa, vì dữ liệu bị rò rỉ cũng làm lộ khách hàng của các doanh nghiệp này, chủ sở hữu của họ có thể phải đối mặt với việc mất khách hàng không còn tin tưởng vào các doanh nghiệp sử dụng Genius để giữ an toàn cho dữ liệu của họ. Cuối cùng, người dùng Genius có thể dễ bị các hành động không trung thực của các đối thủ cạnh tranh. Với quyền truy cập vào phân tích dữ liệu bán hàng và giá cả, một đối thủ cạnh tranh có thể làm suy yếu người dùng bằng các ưu đãi cạnh tranh. Điều này có thể khiến khách hàng tránh xa người dùng Genus bị lộ.

Lời khuyên từ các chuyên gia

La Poste và các nhà phát triển của Genius có thể dễ dàng tránh được sự rò rỉ này nếu họ đã thực hiện một số biện pháp bảo mật cơ bản để bảo vệ cơ sở dữ liệu. Chúng bao gồm, nhưng không giới hạn:

  1. Bảo vệ máy chủ của bạn.
  2. Thực hiện các quy tắc truy cập thích hợp.
  3. Không bao giờ rời khỏi một hệ thống mà không yêu cầu xác thực mở ra internet.

Bất kỳ công ty nào cũng có thể sao chép các bước tương tự, bất kể quy mô của nó. Để có hướng dẫn sâu hơn về cách bảo vệ doanh nghiệp của bạn, hãy xem hướng dẫn của chúng tôi để bảo vệ trang web và cơ sở dữ liệu trực tuyến của bạn khỏi tin tặc.

Dành cho người dùng thiên tài

Theo điều khoản dịch vụ của họ, La Poste có nghĩa vụ phải thông báo cho người dùng về bất kỳ hành vi vi phạm dữ liệu cá nhân nào trong vòng 48 giờ: Trong bối cảnh này, [chúng tôi] sẽ liên lạc với Khách hàng tất cả thông tin [chúng tôi có] liên quan đến các điều kiện xung quanh việc vi phạm Dữ liệu Cá nhân này. Hy vọng, họ sẽ thực hiện nghĩa vụ này và thông báo cho bất kỳ bên nào bị ảnh hưởng bởi vụ rò rỉ. Nếu bạn là khách hàng của La Poste Genius và lo lắng về việc vi phạm này có thể ảnh hưởng đến bạn như thế nào, La Poste cũng đưa ra hướng dẫn để nêu lên mối quan ngại của bạn với các bên ngoài: Một phần của chính sách bảo vệ dữ liệu cá nhân của La Poste, bạn có thể liên hệ với Nhân viên bảo vệ dữ liệu, CP C703, 9 Đại tá Rue Pierre Avia, 75015 PARIS. Trong trường hợp gặp khó khăn trong việc quản lý dữ liệu cá nhân của bạn, bạn có thể gửi khiếu nại với CNIL.

Dành cho chủ sở hữu SMB

Nếu bạn sở hữu SMB và lo ngại về việc các lỗ hổng dữ liệu và trộm cắp có thể ảnh hưởng đến doanh nghiệp và khách hàng của bạn như thế nào, hãy đọc hướng dẫn đầy đủ của chúng tôi về quyền riêng tư trực tuyến cho SMB. Nó cho bạn thấy nhiều cách mà tội phạm mạng nhắm vào các doanh nghiệp nhỏ và các bước bạn có thể thực hiện để giữ an toàn.

Làm thế nào và tại sao chúng tôi phát hiện ra vi phạm

Nhóm nghiên cứu vpnMentor đã phát hiện ra sự vi phạm trong cơ sở dữ liệu của La Poste. một phần của dự án lập bản đồ web lớn. Các nhà nghiên cứu của chúng tôi sử dụng quét cổng để kiểm tra các khối IP cụ thể và kiểm tra các lỗ mở trong hệ thống để tìm ra điểm yếu. Họ kiểm tra từng lỗ để dữ liệu bị rò rỉ. Khi họ tìm thấy một vi phạm dữ liệu, họ sử dụng các kỹ thuật chuyên môn để xác minh danh tính cơ sở dữ liệu, cũng như chủ sở hữu của nó. Sau đó chúng tôi cảnh báo công ty vi phạm. Nếu có thể, chúng tôi cũng sẽ cảnh báo bất kỳ bên nào khác bị ảnh hưởng bởi vi phạm. Nhóm của chúng tôi đã có thể truy cập cơ sở dữ liệu này vì nó hoàn toàn không được bảo mật và không được mã hóa. La Poste sử dụng cơ sở dữ liệu Elaticsearch, thông thường không được thiết kế để sử dụng URL. Tuy nhiên, chúng tôi đã có thể truy cập nó thông qua trình duyệt và thao tác các tiêu chí tìm kiếm URL để hiển thị lược đồ. Mục đích của dự án lập bản đồ web này là giúp làm cho internet an toàn hơn cho tất cả người dùng. Là tin tặc đạo đức, chúng tôi có nghĩa vụ phải thông báo cho một công ty khi chúng tôi phát hiện ra lỗ hổng trong bảo mật trực tuyến của họ. Điều này đặc biệt đúng khi vi phạm dữ liệu của công ty có chứa thông tin riêng tư như vậy. Những đạo đức này cũng có nghĩa là chúng tôi mang một trách nhiệm cho công chúng. Người dùng thiên tài phải nhận thức được việc rò rỉ dữ liệu cũng ảnh hưởng đến họ như thế nào.

Giới thiệu và báo cáo trước đây

vpnMentor là trang web đánh giá VPN lớn nhất thế giới. Phòng thí nghiệm nghiên cứu của chúng tôi là một dịch vụ chuyên nghiệp nhằm cố gắng giúp cộng đồng trực tuyến tự bảo vệ mình trước các mối đe dọa trên mạng trong khi giáo dục các tổ chức về bảo vệ dữ liệu người dùng của họ. Trước đây, chúng tôi đã phát hiện ra một vi phạm rất lớn làm lộ dữ liệu của khách hàng cho một tập đoàn khách sạn Pháp thuộc sở hữu của AccorHotels. Chúng tôi cũng tiết lộ một vụ rò rỉ dữ liệu bởi nền tảng đặt vé máy bay của Pháp Option Way, xâm phạm quyền riêng tư của khách hàng của họ. Bạn cũng có thể muốn đọc Báo cáo rò rỉ VPN và Báo cáo thống kê bảo mật dữ liệu của chúng tôi.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map