Báo cáo: Nhà bán lẻ trực tuyến phổ biến khiến khách hàng bị rò rỉ dữ liệu trên toàn thế giới


Được dẫn dắt bởi các nhà phân tích an ninh mạng Noam Rotem và Ran Locar, nhóm nghiên cứu vpnMentoror đã phát hiện ra một rò rỉ trong cơ sở dữ liệu thuộc về nhà bán lẻ trực tuyến LightInTheBox. Một cơ sở dữ liệu lớn, nó chứa hơn 1TB nhật ký hàng ngày và làm tổn hại đến bảo mật của khách hàng LightInTheBox trên toàn cầu. Đây không chỉ là một vi phạm lớn trong các giao thức bảo mật dữ liệu LightInTheBox, mà còn tạo ra mối nguy hiểm thực sự cho những người bị ảnh hưởng.

Hồ sơ công ty LightInTheBox

LightInTheBox là một nhà bán lẻ trực tuyến có trụ sở tại Bắc Kinh, Trung Quốc và giao dịch trên thị trường chứng khoán New York với tên LITB. Được thành lập vào năm 2007, LightInTheBox vận chuyển quốc tế, với hầu hết khách hàng tại Bắc Mỹ và Châu Âu. Công ty tập trung vào ba loại bán lẻ cốt lõi: may mặc, phụ kiện và thiết bị nhỏ, và nhà và vườn. LightInTheBox là một doanh nghiệp lớn, tạo ra hơn 12 triệu khách truy cập hàng tháng trên trang web hàng đầu của nó, cùng với một số công ty con nhỏ hơn.

Dòng thời gian của Discovery và phản ứng của chủ sở hữu

Đôi khi, mức độ vi phạm dữ liệu và chủ sở hữu dữ liệu là rõ ràng và vấn đề nhanh chóng được giải quyết. Nhưng hiếm có những lần này. Thông thường, chúng tôi cần nhiều ngày điều tra trước khi chúng tôi hiểu được những gì bị đe doạ hoặc ai bị rò rỉ dữ liệu. Hiểu một vi phạm và tác động của nó cần có thời gian và sự chú ý cẩn thận. Chúng tôi làm việc chăm chỉ để xuất bản các báo cáo chính xác và đáng tin cậy, đảm bảo mọi người đọc chúng đều hiểu sự nghiêm trọng của họ.

Một số bên bị ảnh hưởng phủ nhận sự thật, coi thường nghiên cứu của chúng tôi hoặc phát huy tác động của nó. Vì vậy, chúng ta cần phải kỹ lưỡng và đảm bảo mọi thứ chúng ta tìm thấy đều đúng và đúng. Trong trường hợp này, sau khi xác định LightInTheBox là chủ sở hữu cơ sở dữ liệu, chúng tôi đã liên hệ với họ để trình bày kết quả của chúng tôi. Trong khi chúng tôi không nhận được phản hồi từ công ty, vi phạm cơ sở dữ liệu đã bị đóng ngay sau đó.

  • Ngày phát hiện: 20/11
  • Ngày nhà cung cấp liên hệ: 24/11
  • Ngày hành động: Khoảng. 24/11/19

Ví dụ về các mục trong cơ sở dữ liệu

LightInTheBox không cung cấp chi tiết cụ thể về thực tiễn lưu trữ và bảo mật dữ liệu của họ hoặc các biện pháp họ thực hiện để bảo vệ dữ liệu của khách hàng. Theo Chính sách bảo mật của họ, họ bảo vệ dữ liệu người dùng bằng: thủ tục hành chính để bảo vệ tính bảo mật thông tin cá nhân của bạn, như: * Bảo vệ tất cả các giao dịch tài chính được thực hiện thông qua Trang web này bằng mã hóa Lớp cổng bảo mật (SSL SSL) * Chỉ cấp cho nhân viên người đang cung cấp quyền truy cập dịch vụ cụ thể vào thông tin cá nhân của bạn * Chỉ làm việc với các nhà cung cấp dịch vụ bên thứ ba, những người mà chúng tôi tin rằng bảo mật đầy đủ tất cả phần cứng máy tính. Mặc dù doanh nghiệp của chúng tôi được thiết kế để bảo vệ thông tin cá nhân của bạn trong tâm trí, xin nhớ rằng bảo mật 100% hiện không tồn tại ở bất cứ đâu, trực tuyến hay ngoại tuyến.

Dựa trên khám phá nhóm của chúng tôi, các biện pháp họ đang thực hiện là không đủ. Cơ sở dữ liệu bị vi phạm chứa hơn 1,3TB dữ liệu, tổng cộng hơn 1,5 tỷ hồ sơ. Cơ sở dữ liệu là nhật ký máy chủ web – lịch sử yêu cầu trang và hoạt động của người dùng trên trang web có từ ngày 9 tháng 8 năm 2019 đến ngày 11 tháng 10. Ngoài LightInTheBox.com, nó cũng chứa dữ liệu từ các trang web phụ của họ, bao gồm MiniInTheBox.com. Vi phạm dữ liệu ảnh hưởng đến khách hàng trên toàn thế giới, với các mục từ nhiều trang web quốc tế của họ, và bằng nhiều ngôn ngữ. Thông qua nhật ký máy chủ web được lưu trữ trên cơ sở dữ liệu, chúng tôi đã xem dữ liệu người dùng cá nhân bao gồm:

  • Địa chỉ IP của người dùng
  • Quốc gia cư trú
  • Địa chỉ email
  • Trang đích và hoạt động của người dùng trên trang web

Các đoạn mã sau đây cho thấy 3 địa chỉ email riêng biệt được hiển thị như thế nào:

Cơ sở dữ liệu cũng bao gồm dữ liệu từ LightInTheBox Word Google & Chiến dịch quảng cáo Bing Ads.

Tác động vi phạm dữ liệu

Vi phạm dữ liệu này đại diện một sai sót lớn trong bảo mật dữ liệu LighInTheBox vào. Trong khi rò rỉ dữ liệu này không lộ ra dữ liệu quan trọng của người dùng, một số biện pháp bảo mật cơ bản đã không được thực hiện. Đây là thời điểm trong năm với rất nhiều hoạt động mua sắm trực tuyến: Thứ Sáu Đen, Thứ Hai Điện Tử, Giáng Sinh. Ngay cả một rò rỉ lớn không có dữ liệu Thông tin nhận dạng cá nhân người dùng cũng có thể là mối đe dọa cho cả công ty và khách hàng của công ty.

LightInTheBox có nguy cơ mất việc kinh doanh vào thời điểm quan trọng nếu khách hàng không cảm thấy họ có thể tin tưởng vào công ty để giữ dữ liệu của họ ở chế độ riêng tư. Dựa trên đánh giá của người dùng LightInTheBox cộng trên Trustpilot, nhiều khách hàng đã không hài lòng với trải nghiệm của họ trên trang web. Bằng cách tiết lộ dữ liệu của họ, LightInTheBox có nguy cơ mất thêm doanh nghiệp có thể ảnh hưởng tiêu cực đến doanh thu trong tương lai.

Dành cho khách hàng của LightInTheBox

Dữ liệu bị lộ khiến những người bị ảnh hưởng dễ bị tổn thương trước nhiều hình thức lừa đảo và tấn công trực tuyến. Với quyền truy cập vào email của người dùng, tội phạm mạng có thể tạo ra các chiến dịch lừa đảo thuyết phục với các email bắt chước LightInTheBox. Với những email này, nạn nhân có thể bị lừa vào bất kỳ điều nào sau đây:

  • Nhấp vào liên kết nhúng phần mềm độc hại trên thiết bị của họ
  • Tiết lộ thông tin tài chính hoặc thông tin cá nhân nhạy cảm
  • Cung cấp thông tin đăng nhập cho tài khoản trực tuyến cá nhân

Tác động lên nạn nhân có thể là tàn phá. Ngoài ra còn có một mối nguy hiểm về thể chất. Với một người dùng trang web địa chỉ IP IP, chúng tôi đã có thể xác định thành phố cư trú của họ. Nếu một hacker hình sự có quyền truy cập vào điều này, cùng với các dữ liệu khác bị lộ, họ có thể lừa một nạn nhân tiết lộ địa chỉ nhà của họ, và nhắm vào họ để trộm cắp và cướp nhà. Ví dụ sau đây cho thấy một số thông tin bổ sung có thể được tìm thấy bằng cách sử dụng địa chỉ IP của ai đó: Tệ nhất, vi phạm dữ liệu này đã xảy ra trong thời gian tới Giáng sinh, khi nhiều người sẽ tích trữ quà và có khả năng mua chúng từ LightInTheBox.

Lời khuyên từ các chuyên gia

LightInTheBox có thể dễ dàng tránh được sự rò rỉ này nếu họ đã thực hiện một số biện pháp bảo mật cơ bản để bảo vệ cơ sở dữ liệu. Chúng bao gồm, nhưng không giới hạn:

  1. Bảo vệ máy chủ của bạn.
  2. Thực hiện các quy tắc truy cập thích hợp.
  3. Không bao giờ rời khỏi một hệ thống mà không yêu cầu xác thực mở ra internet.

Bất kỳ công ty có thể sao chép các bước tương tự, bất kể kích thước của nó. Để có hướng dẫn sâu hơn về cách bảo vệ doanh nghiệp của bạn, hãy xem hướng dẫn của chúng tôi để bảo vệ trang web và cơ sở dữ liệu trực tuyến của bạn khỏi tin tặc.

Dành cho khách hàng của LightInTheBox

Bạn có thể liên hệ trực tiếp với LightInTheBox và tìm hiểu cách họ giải quyết vấn đề này và lên kế hoạch bảo vệ dữ liệu của bạn tốt hơn trong tương lai. Nếu bạn là khách hàng của LightInTheBox và lo ngại về việc vi phạm này có thể ảnh hưởng đến bạn như thế nào hoặc các lỗ hổng dữ liệu nói chung, hãy đọc hướng dẫn đầy đủ của chúng tôi về quyền riêng tư trực tuyến. Nó cho bạn thấy nhiều cách mà tội phạm mạng nhắm vào người dùng internet và các bước bạn có thể thực hiện để giữ an toàn. Bạn cũng có thể sử dụng VPN để ẩn một số dữ liệu được hiển thị trong LightInTheBox. VPN sẽ che dấu địa chỉ IP và quốc gia cư trú của bạn, cung cấp cho bạn lớp bảo vệ bổ sung ngay cả khi dữ liệu của bạn bị rò rỉ.

Làm thế nào và tại sao chúng tôi phát hiện ra vi phạm

Nhóm nghiên cứu vpnMentor đã phát hiện ra sự vi phạm trong cơ sở dữ liệu LightInTheBox vào như một phần của dự án lập bản đồ web khổng lồ. Các nhà nghiên cứu của chúng tôi sử dụng quét cổng để kiểm tra các khối IP cụ thể và kiểm tra các lỗ mở trong hệ thống để tìm ra điểm yếu. Họ kiểm tra từng lỗ để dữ liệu bị rò rỉ. Khi phát hiện vi phạm dữ liệu, họ sử dụng các kỹ thuật chuyên môn để xác minh danh tính cơ sở dữ liệu. Sau đó chúng tôi cảnh báo công ty vi phạm. Nếu có thể, chúng tôi cũng sẽ cảnh báo những người bị ảnh hưởng bởi vi phạm. Nhóm của chúng tôi đã có thể truy cập cơ sở dữ liệu này vì nó hoàn toàn không được bảo mật và không được mã hóa. Công ty sử dụng cơ sở dữ liệu Elaticsearch, thường không được thiết kế để sử dụng URL. Tuy nhiên, chúng tôi đã có thể truy cập nó thông qua trình duyệt và thao tác các tiêu chí tìm kiếm URL để hiển thị sơ đồ cơ sở dữ liệu. Mục đích của dự án lập bản đồ web này là giúp làm cho internet an toàn hơn cho tất cả người dùng.

Là tin tặc đạo đức, chúng tôi bắt buộc phải thông báo cho một công ty khi chúng tôi phát hiện ra lỗ hổng trong bảo mật trực tuyến của họ. Điều này đặc biệt đúng khi vi phạm dữ liệu của công ty có chứa thông tin riêng tư như vậy. Tuy nhiên, những đạo đức này cũng có nghĩa chúng tôi có trách nhiệm với công chúng. Khách hàng của LightInTheBox phải biết về việc vi phạm dữ liệu cũng ảnh hưởng đến họ.

Giới thiệu và báo cáo trước đây

vpnMentor là trang web đánh giá VPN lớn nhất thế giới. Phòng thí nghiệm nghiên cứu của chúng tôi là một dịch vụ chuyên nghiệp nhằm cố gắng giúp cộng đồng trực tuyến tự bảo vệ mình trước các mối đe dọa trên mạng trong khi giáo dục các tổ chức về bảo vệ dữ liệu người dùng của họ. Trước đây, chúng tôi đã phát hiện ra một vi phạm trong Biostar 2 đã làm tổn hại dữ liệu sinh trắc học của hơn 1 triệu người. Gần đây chúng tôi cũng tiết lộ rằng một công ty thuộc sở hữu của chuỗi khách sạn lớn AccorHotels đã tiết lộ hơn 1TB dữ liệu của khách. Bạn cũng có thể muốn đọc Báo cáo rò rỉ VPN và Báo cáo thống kê bảo mật dữ liệu của chúng tôi.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map