Զեկույց. Ծխախոտի գովազդային արշավը բացահայտում է ռումինական օգտվողի տվյալները


vpnMentor- ի հետազոտական ​​խումբը վերջերս հայտնաբերեց տվյալների խախտում ռումինական վեբ-հարթակում, որին պատկանում էր The միջազգային ամերիկյան ծխախոտային ընկերություն British American Tobacco (BAT).

BAT- ը հիմնված է Միացյալ Թագավորությունում: Այն ծխախոտի և նիկոտինի արտադրանքների աշխարհի խոշորագույն արտադրողներից է.

Մեր թիմը ղեկավարեց ինտերնետային գաղտնիության հետազոտողներ Նոամ Ռոտեմը և Ռան Լոկարը, մեր թիմը գտավ տվյալների խախտումը անապահով սերվերի վրա, որը կապված է համացանցային հարթակ YOUniverse.ro. Համացանցային պլատֆորմը BAT Ռումինիայի գովազդային արշավի մի մասն է ՝ ուղղված մեծահասակների ծխողներին.

Պլատֆորմի միջոցով ռումինացիները կարող են շահել տոմսեր երեկույթների և միջոցառումների համար, որտեղ ներկայացված են հայտնի տեղական և միջազգային կատարողներ.

Ռումինիայի օրենքը արգելում է ծխախոտի գովազդի մեծ մասը: Այնուամենայնիվ, օրենքը թույլ է տալիս գովազդային արշավների և միջոցառումների հովանավորչության որոշակի տեսակներ, որոնք բացառապես թիրախավորում են 18 տարեկանից բարձր ծխողներին:.

Տվյալների խախտումը ներառում է զգայուն անձամբ ճանաչելի տեղեկատվություն (PII) օգտագործողների.

Նույնիսկ ավելի մտահոգիչ է այն, որ մեր թիմը հայտնաբերեց, որ անապահով սերվերն ունի արդեն իսկ վարկաբեկվել է փրկագողի կողմից.

Չնայած խախտումը բացահայտելու մեր թիմի բազմաթիվ փորձերին, տվյալների շտեմարանը երկու ամսվա ընթացքում մնաց բաց և անապահով: Սեպտեմբերի 22-ից, մենք բազմիցս փորձեցինք կապվել ընկերության հետ (տեղական մասնաճյուղ, ինչպես նաև համաշխարհային ընկերություն), սերվերի հոստինգ ընկերությունը, Ռումինիայի Սպառողների պաշտպանության ազգային մարմինը (ANPC) և սերտիֆիկացման մարմինը (CA): Միակ կուսակցությունը, որի մասին մենք լսեցինք, CA- ն էր: Մենք կապ հաստատեցինք նաև մի քանի ռումինացի լրագրողների հետ ՝ խնդրելով օգնություն ստանալ ընկերության հետ կապ հաստատելու համար, բայց մենք դեռ պատասխան չենք ստացել.

Նոյեմբերի 27-ի դրությամբ տվյալների բազան վերջապես փակվեց, բայց մեզ ոչ ոք այդպես էլ չպատասխանեց.

Տվյալների բազայում գրառումների օրինակ

Խախտումը հայտնաբերվել է Իռլանդիայում տեղակայված չապահովված Elasticsearch սերվերի վրա: Արտահոսած տվյալների շտեմարանը մոտ է 352 ԳԲ տվյալներ.

Ransomware Attack

Երբ մեր հետազոտական ​​խումբը սերվերում գտնում է խոցելիություն, մեր հույսն այն է, որ ոչ մի չարամիտ դերասան առաջին հերթին չգտավ խոցելիությունը.

Դժբախտաբար, հենց դա է տեղի ունեցել այստեղ: Այն ժամանակ, երբ մեր հետազոտական ​​խումբը հայտնաբերեց տվյալների խախտումը, սերվերն արդեն իսկ վարկաբեկված էր փրկագողի կողմից.

Մենք սերվերում գտնեցինք 53 ցուցանիշ, բայց գրեթե բոլորը դատարկ էին: Հավանական է, որ այդ ցուցանիշները ստեղծվել են փրկարարական հարձակման համար պատասխանատու հաքերների կողմից.

Սերվերը նաև պարունակում էր Readme ֆայլ ՝ որպես փրկագին խնդրանքով.

BAT Ռումինիա readme

Ելնելով readme ֆայլից, թվում է, որ հակեր կամ հակերների խումբ սպառնում է ջնջել տվյալները սերվերից, եթե նրանց պահանջները չեն բավարարվում. Հակերները տվյալների դիմաց պահանջում են Bitcoin վճարում.

Ամենօրյա տեղեկամատյաններ

Նույնիսկ խոչընդոտվելուց հետո սերվերը դեռ պարունակում էր որոշ իմաստալից տվյալներ: Կարող էինք դիտել անցած յոթ օրերի ամենօրյա տեղեկամատյանները, որոնցից յուրաքանչյուրը պահվում էր առանձին ինդեքսով.

Տեղեկամատյանները, կարծես, YOUniverse ինտերնետային պլատֆորմի միջոցով http հաղորդակցության գրառումներ են.

Անձնական մանրամասների օրինակներ, որոնք մենք կարող էինք դիտել, ներառում են.

  • լրիվ անուն
  • էլ
  • հեռախոսահամար
  • Ծննդյան ամսաթիվ
  • սեռը
  • աղբյուր IP
  • ծխախոտի և ծխախոտի արտադրանքի նախապատվությունները

Կան նաև ներքին արժեքներ, որոնք հնարավոր է պարունակեն ավելի զգայուն տեղեկություններ: Ներքին որոշ տվյալների իմաստը անհայտ էր.

BAT Ռումինիայի տվյալներ 1

Գրառումների մի մասը պարունակում էր ռումիներենով գրված հաղորդագրություններ: Դրանք, կարծես, հարցումներ են ներկայացվել օգտագործողների կողմից, որոնք կարող են հաճախորդներ կամ դուստր ձեռնարկություններ.

Օրինակ ՝ հաղորդագրություններից ոմանք օգնություն են խնդրում և նկարագրում են մրցանակների և պարգևատրման ծածկագրերի հետ կապված խնդիրները.

BAT Ռումինիայի տվյալներ 2

Անգլերենում հաղորդագրության մեջ ասվում է.

«Բարի երեկո, հունիսի վերջին ես փորձի միավորներ օգտագործեցի` պահանջելով Դոնկաֆեի 2-ական վուչեր `400-ական հատ: Մրցանակների համար հաստատող հաղորդագրություններում չի նշվում այն ​​ամսաթիվը, երբ կարող են օգտագործվել կոդերը, բայց երբ ես այսօր զանգահարեցի այստեղ վերապահում կատարել, նրանք ինձ ասացին, որ իրենք կնքել են համագործակցությունը ձեր հետ: Խնդրում եմ, ինձ տրամադրեք լուծում `օգտվել 2 վաուչերից: Շնորհակալություն!”

Տվյալների շտեմարանն ուներ նաև մի քանիսը ելքային էլ-նամակների հետ կապված մետատվյալներ որ չհաջողվեց հասնել ստացողին: Այս գրառումները պարունակում էին միայն մետատվյալներ, այլ ոչ էլ էլփոստի հաղորդագրության իրական բովանդակությունը.

Մենք կարող ենք դիտել հետևյալ տեղեկատվությունը էլփոստի մետատվյալների մեջ.

  • օգտագործողի նպատակակետային էլփոստի հասցեն
  • էլփոստի թեմա
  • ներքին օգտվողի նույնականացում

BAT Ռումինիայի տվյալներ 3

Կարող էինք դիտել նաև ուղարկողի էլփոստի հասցեն: Ուղարկողի էլ. Փոստի տիրույթը ՝ MereuMaiMult- ը, ասոցացվում է BAT Ռումինիայի հետ: Mereu mai mult- ը ռումիներեն բառակապակցություն է, որը մոտավորապես թարգմանում է «միշտ ավելին»: Այն նույն գովազդային արշավի մի մասն է, ինչպիսին YOUniverse- ն է.

Լրացուցիչ տեղեկություններ կարող են բացահայտվել

Մեծ թվով տվյալներ կարող են բացակայել սերվերից `փրկագողի հարձակման հետևանքով մենք չենք կարող վստահ լինել, թե ինչ այլ տեղեկություններ կարող են վարկաբեկվել.

Հասկանալու համար, թե ինչպիսի տվյալների կարող է արտահոսք լինել, մենք նայեցինք գաղտնիության քաղաքականությանը, որն ընդգրկում է բոլոր BAT Ռումինիայի գովազդային արշավի բոլոր վեբ-հարթակները: Դրանք ներառում են YOUniverse.ro- ն, YOUniverse բջջային հավելվածը, Experiencemore.ro- ն, mereumaimult.ro- ն, preprietenie.ro- ն և theunseen.ro- ն:.

Մենք հայտնաբերեցինք նաև մուտքի հավատարմագրերը Microsoft Dynamic CRM համակարգի, այդ թվում ՝ չգրագրված գաղտնաբառերի: Դժբախտաբար, սա նշանակում է, որ կարող են հայտնվել ավելի շատ տվյալներ: Էթիկական պատճառներով մենք չենք օգտագործել մուտքի հավատարմագրերը, այնպես որ մենք չգիտենք, թե ինչ տեղեկությունները հասանելի են համակարգի միջոցով.

Ըստ գաղտնիության մասին հայտարարության ՝ ընկերությունը հավաքում և օգտագործում է հետևյալ տեղեկատվությունը, երբ օգտվողները գրանցվում են իր ցանկացած պլատֆորմներից որևէ մեկի համար.

  • անուն և ազգանուն
  • Ծննդյան ամսաթիվ
  • հեռախոսահամար
  • էլեկտրոնային հասցե
  • բնակավայր
  • ապրանքանիշի և արտադրանքի նախասիրությունները, ներառյալ սիրված ծխախոտը

Պլատֆորմը գրանցվելու համար օգտվողները պետք է մուտքագրեն նաև այնպիսի ծածկագիր, որը կարելի է ձեռք բերել միայն մի փաթեթ ծխախոտ գնելու միջոցով.

Այս ծածկագիրն օգտագործվում է ռումինական օրենսդրությանը համապատասխան: Ընկերությունից պահանջվում է ստուգել, ​​որ բոլոր օգտագործողները ակտիվ ծխողներ են, նախքան նրանք կարող են մասնակցել գովազդային գործողություններին.

Բացի այդ, գաղտնիության մասին հայտարարության մեջ ասվում է, որ եթե դուք շահեք որոշակի քանակությամբ ավելի բարձր մրցանակ, ընկերությունը պետք է ձեր CNP պահանջարկի եկամտահարկի հայտարարագրման և վճարման համար: Դա վերաբերում է նրանով, որ CNP- ը վերաբերում է Ռումինիայի ազգային ինքնության քարտի համարին.

Մենք չգտանք ապացույցներ այն մասին, որ օգտագործողների CNP համարները ենթարկվում են, բայց միայն կարողացանք դիտել ամենօրյա տեղեկամատյանները. Հնարավոր է, որ օգտագործողների ազգային ինքնության համարները նախկինում ենթարկվել էին փրկագնի հարձակման.

Տվյալների խախտման ազդեցությունը

Դժվար է գնահատել այն մարդկանց թիվը, որոնց վրա կարող է ազդել տվյալ տվյալների խախտումը.

Շնորհիվ տվյալների բազայի և բարոյական սահմանների, որոնք թույլ չեն տալիս մեզ շատ խորը անհատական ​​տվյալներ փորել, մենք չենք կարող վստահ լինել, թե քանի օգտվող կարող է ազդել.

Սերվերը պարունակում է տեղեկամատյաններ նախորդ յոթ օրվա համար. Ամենօրյա տեղեկամատյաններից ոմանք պարունակում են ավելի քան 60 միլիոն գրառում, և որոշ գրառումներ պարունակում են օգտագործողի տվյալների բազմաթիվ հավաքածուներ: Մյուս կողմից, որոշ գրառումներ պարունակում են զրոյական կամ կրկնօրինակ տվյալներ.

Հնարավոր է, որ մեծ թվով օգտվողներ իրենց գաղտնիությունը վնասազերծել են այս տվյալների խախտմամբ.

Խարդախություններ և ֆիշինգի գրոհներ

Տվյալների խախտմամբ հայտնաբերվել են մեծ թվով օգտվողների կոնտակտային տվյալներ: Արտահոսված էլեկտրոնային փոստերն ու հեռախոսահամարները մարդկանց վտանգի տակ են դնում ֆիշինգի գրոհներ և խաբեություններ.

Ստեղծելու համար վնասակար կողմերը կարող են օգտագործել տվյալների խախտումից այլ անձնական տվյալներ հարմարեցված ֆիշինգի գրոհները որ թիրախավորված անհատ օգտագործողներ.

Ֆիշինգի գրոհները կարող են էլեկտրոնային փոստի ձև ստանալ, որը օրինական է թվում: Իրականում այդ էլեկտրոնային հասցեները կարող էին նախագծվել ստացողներին վարակել չարամիտ մարդկանց կամ հնարել մարդկանց ՝ զգայուն մանրամասները բացահայտելու միջոցով.

Օգտագործողները կարող են նաև վտանգ լինել ՝ դառնալով տեքստային հաղորդագրությունների և հեռախոսի խաբեությունների զոհ: Ծայրահեղ դեպքերում, հակերները կարող էին նույնիսկ խաբել հեռախոսային ծառայություններ մատուցող ընկերություններին ՝ նրանց օգնելու առևանգելու օգտագործողների բջջային հեռախոսահամարները.

Ձկնորսության հաջող գրոհները և խաբեությունները, որոնք հակերներին հնարավորություն են տալիս լրացուցիչ տեղեկատվություն կամ անձնական հաշիվներ մուտք ունենալ, կարող են նույնիսկ հանգեցնել ինքնության գողություն.

Մրցակիցներ և գովազդատուներ

Հաշվի առնելու մեկ այլ խնդիր `տվյալների խախտման հետևանքները BAT Ռումինիայի և նրա մրցակիցների համար. Մրցակիցներն այժմ կարող են օգտվել BAT Ռումինիայի հաճախորդի մանրամասներից, ներառյալ PII և ծխախոտի նախապատվությունները.

Այս տեղեկատվությունը կարող է օգնել մրցակիցներին արդյունավետորեն թիրախավորել ակտիվ ծխողներին: Սա կարող է մեծ օգուտ բերել BAT Ռումինիայի մրցակցությանը.

Երրորդ կողմի գովազդատուները կարող են նաև օգտվել արտահոսած օգտագործողի տվյալներից. Տեղեկատվությունը կարող է օգտագործվել բարձր արդյունավետ և նպատակային գովազդային արշավներ ստեղծելու համար.

Ծխողների համար գաղտնիության հիմնախնդիրները

Տվյալների խախտումը վարկաբեկում է օգտագործողների գաղտնիությունը մեկ այլ հնարավոր վնասակար եղանակով.

Պլատֆորմին մասնակցելու համար օգտվողներից պահանջվում է ապացուցել, որ նրանք ներկայում ծխողներ են `տրամադրելով կոդ, որը կարելի է գտնել տուփի ծխախոտի վրա.

Տվյալների խախտմամբ բացահայտվել են ներկայում ծխողների անունները, ովքեր գուցե չեն ցանկանա իրենց ծխելու սովորույթները ենթարկվել աշխարհին. Սա նույնիսկ կարող է լուրջ ֆինանսական հետևանքներ ունենալ օգտվողների համար: Օրինակ ՝ ծխողների համար ապահովագրական ընկերությունները հաճախ ունենում են տարբեր դրույքաչափեր.

Եթե ​​ինչ-որ մեկը պնդում է, որ չի ծխում, բայց ապահովագրական ընկերությունը գտնում է այդ անձի անունը արտահոսքի տվյալների բազայում, ապա օգտագործողին կարող է գանձվել ավելի բարձր գին.

Ransomware- ի հետևանքները

Իրականում տվյալների խախտման ազդեցությունը կարող է շատ ավելի մեծ լինել, քան թվում է: Դժբախտաբար, չապահովված սերվերն արդեն իսկ վարկաբեկված էր փրկագողի կողմից, երբ մեր հետազոտական ​​խումբը հայտնաբերեց խոցելիությունը.

Քանի որ տվյալների բազան արդեն խոչընդոտվել է, տվյալների խախտման ազդեցության իրական չափը և խստությունը անհայտ են: Նույնիսկ եթե փրկագնի խնդրանքը վճարվում է, բացակայում է ստացված տեղեկատվությունը իրականում վերադարձնելու միջոց.

Հակերները կարող են վերականգնել անհայտ կորած տվյալները, բայց հակերները կարող են հեշտությամբ պահել զգայուն օգտվողի և ընկերության տվյալների պատճենը.

Մեկ այլ մտավախություն այն է, որ այլ ընկերությունների սերվերները կարող են տուժել: Երբ մենք որոնում էինք փրկագին հաղորդագրությունից հիմնաբառերով Google- ի որոնումը, մենք գտանք այլ սերվերների բազմաթիվ օրինակներ, որոնք զգացել էին ճշգրիտ նույն փրկագնի հարձակումը ՝ նույն հաղորդագրությամբ բառ առ բառ.

Սա կարող է նշանակել, որ տվյալներն արդեն արտահոսվել են և այժմ գտնվում է հանցավոր կազմակերպության ձեռքում.

Խորհրդատվություն փորձագետների կողմից

Ransomware հարձակումը, որը մենք հայտնաբերեցինք որպես այս տվյալների խախտման մաս, ձեր սերվերները չապահովելու ռիսկերի հիանալի օրինակ է.

Տվյալների խախտումը հնարավոր էր կանխել անվտանգության որոշ հիմնական միջոցառումներով: Գոնե, միշտ պետք է հիշել անվտանգության հետևյալ պրակտիկաները.

  • Ապահովեք ձեր սերվերները
  • Իրականացնել մուտքի համապատասխան կանոններ
  • Բոլոր համակարգերին մուտք գործելու համար պահանջվում է վավերացում

Ավելի խորքային ուղեցույցի վերաբերյալ, թե ինչպես պաշտպանել ձեր բիզնեսը, այցելեք մեր հոդվածը ինչպես ապահովել ձեր կայքը և առցանց տվյալների բազան հակերներից.

Ինչպե՞ս և ինչու ենք հայտնաբերել խախտումը

Անվտանգության փորձագետներ Ռան և Նոամի գլխավորությամբ, vpnMentor հետազոտական ​​խումբը հայտնաբերեց այս խախտումը որպես մեր մաս վեբ քարտեզագրման լայնածավալ նախագիծ.

Մեր հետազոտական ​​թիմը սկանավորում է նավահանգիստները ՝ հայտնի IP բլոկները գտնելու համար: Այնուհետև թիմը որոնում է համակարգում խոցելի խոցելիության մասին, որը ցույց կտա բաց տվյալների բազա.

Տվյալների խախտման հայտնաբերումից հետո մեր թիմը տվյալների բազան կապում է սեփականատիրոջը: Մենք այն ժամանակ կապվեք սեփականատիրոջ հետ, տեղեկացրեք նրանց խոցելիության մասին և առաջարկել եղանակներ, որոնցով սեփականատերը կարող է ավելի անվտանգ դարձնել իրենց համակարգը.

Որպես բարոյական հակերներ և հետազոտողներ, մենք երբեք չենք վաճառում, պահում կամ մերկացնում ենք մեր հանդիպած տեղեկատվությունը.

Մեր նպատակն է բարելավել համացանցի ընդհանուր անվտանգությունն ու անվտանգությունը բոլորի համար.

Մեր մասին և նախորդ զեկույցները

vpnMentor- ը աշխարհի ամենամեծ VPN վերանայման կայքն է: Մեր հետազոտական ​​լաբորատորիան պրոն բոնո ծառայություն է, որը ձգտում է օգնել առցանց համայնքին պաշտպանվել կիբեր սպառնալիքներից ՝ միաժամանակ կրթելով կազմակերպություններին ՝ իրենց օգտագործողների տվյալները պաշտպանելու համար:.

Վերջերս Էկվադորում մենք հայտնաբերեցինք տվյալների հսկայական խախտում, որը ազդեց միլիոնավոր անձանց վրա: Մենք նաև բացահայտեցինք զանգվածային խարդախության ցանց, որը նպատակաուղղված է Groupon- ին և առցանց տոմսերի վաճառողներին.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me