Laporkan: Pelanggaran Data Seluler Freedom Mengungkap Rincian Kredit Lengkap Pelanggan Kanada


Tim peneliti vpnMentor baru-baru ini menemukan itu Freedom Mobile mengalami pelanggaran data yang sangat besar.

Dipimpin oleh peretas Noam Rotem dan Ran Locar, peneliti vpnMentor menemukan sebuah pelanggaran yang memaparkan hingga 1,5 juta data pribadi pengguna Freedom Mobile yang aktif. Freedom Mobile (sebelumnya Wind Mobile) adalah penyedia komunikasi nirkabel terbesar keempat Kanada.

Tim kami menemukan 5 juta catatan yang tidak dienkripsi, tetapi karena alasan etika, tidak mengunduh database sehingga tidak dapat memberikan angka pastinya. Perusahaan itu sejak itu mengklaim bahwa "hanya" 15.000 catatan yang terungkap.

Basis data benar-benar tidak terlindungi dan tidak dienkripsi. Data termasuk kartu kredit dan nomor CVV.

Garis Waktu Penemuan dan Reaksi Pelanggaran

  • 17 April: Kami menemukan kebocoran di basis data Freedom Mobile.
  • 18 April: Kami mengirim email Freedom Mobile untuk memberi tahu perusahaan tentang pelanggaran data serius. Tidak menerima tanggapan.
  • 23 April: Kami mencoba menghubungi Freedom Mobile lagi.
  • 24 April: Freedom Mobile akhirnya menanggapi pesan.
  • 24 April: Freedom Mobile menutup pelanggaran data.

Contoh Entri dalam Database

Mirip dengan database Elasticsearch yang tidak terlindungi Gearbest, Basis data Freedom Mobile sepenuhnya tidak terenkripsi. Kita dulu punya akses penuh ke lebih dari 5 juta catatan, mencerminkan hingga 1,5 juta pengguna.

Catatan ini tampaknya mencerminkan tindakan apa pun yang diambil dalam akun pengguna, memungkinkan untuk beberapa entri per pelanggan.

Data pribadi yang terbuka meliputi:

  • alamat email
  • nomor telepon rumah dan ponsel
  • alamat rumah
  • tanggal lahir
  • Tipe pelanggan
  • Alamat IP yang terhubung ke metode pembayaran
  • nomor kartu kredit dan CVV tidak terenkripsi
  • respons skor kredit dari Equifax dan perusahaan lain, dengan alasan penerimaan / penolakan

Kami juga dapat mengakses nomor akun, tanggal berlangganan, tanggal siklus penagihan, dan catatan layanan pelanggan termasuk lokasi.

Beberapa entri juga termasuk data dari database Equifax. Ini termasuk informasi tentang skor kredit, kelas kredit, dan akun kartu kredit.

Laporkan: Pelanggaran Data Seluler Freedom Mengungkap Rincian Kredit Lengkap Pelanggan Kanada

Dampak Pelanggaran Data

Ironisnya, Freedom Mobile bangga menawarkan privasi tingkat tinggi. Bahkan di bio Twitter mereka:

Laporkan: Pelanggaran Data Seluler Freedom Mengungkap Rincian Kredit Lengkap Pelanggan Kanada

Namun, mereka jelas berbagi - dan berbagi terlalu banyak - data pelanggan mereka.

Setelah menemukan pelanggaran data, kami segera memberi tahu Freedom Mobile tentang masalah ini. Ketika mereka tidak segera merespons, kami meminta kontak di situs keamanan lain membantu kami menjangkau mereka seandainya email kami masuk ke spam. Ketika mereka akhirnya menjawab, kami tahu bahwa ini bukan masalahnya.

Untuk alasan etis, kami tidak mengunduh database, jadi kami tidak tahu persis berapa banyak orang yang terpengaruh.

Namun, kami dapat mengakses setidaknya 5 juta catatan yang tidak dilindungi. Freedom Mobile memiliki setidaknya 1,5 juta pelanggan, dan perusahaan induknya dimiliki oleh Shaw Communications yang memiliki lebih dari 3,2 juta pelanggan di Kanada.. Ini mungkin pelanggaran terbesar yang dialami oleh perusahaan Kanada.

Jarang menemukan kebocoran yang merinci keduanya informasi kartu kredit dan nomor CVV bersama-sama, terutama dalam pelanggaran besar.

Karena kebocoran data ini termasuk informasi kartu kredit yang tidak terenkripsi, Freedom Mobile berpotensi melanggar aturan kepatuhan PCI (Payment Card Industry). Hal ini dapat mengakibatkan dampak serius di dunia nyata bagi perusahaan serta penggunanya.

Bahaya Hacks

Basis data yang penuh dengan data kartu kredit, tanggal lahir, nama lengkap, alamat, dan nomor telepon juga memungkinkan penipuan kartu kredit dan pencurian identitas. Ini dapat merugikan pengguna - dan bank serta perusahaan asuransi mereka - ratusan ribu dolar.

Database informasi pribadi yang tidak dienkripsi adalah sumber daya berharga bagi peretas. Akses ke alamat, alamat email, nomor telepon, dan data kredit dapat membantu pelaku jahat menjalankan skema phishing yang canggih.

Informasi kredit juga sangat memungkinkan serangan ransomware yang ditargetkan, karena pelaku yang buruk tahu di mana mereka dapat menuntut harga tinggi.

Bahkan pengguna yang paling berhati-hati pun tidak dapat mempertahankan diri terhadap perusahaan yang menyimpan data mereka pada basis data yang tidak aman. Cara terbaik yang kami temukan adalah gunakan kartu sementara, akun, atau nomor CVV terhubung ke akun Anda. Lihat panduan lengkap kami untuk informasi lebih lanjut.

Tentang Kami dan Laporan Sebelumnya:

vpnMentor adalah situs web tinjauan VPN terbesar di dunia. Laboratorium penelitian kami adalah layanan pro bono yang berusaha keras bantu komunitas online mempertahankan diri terhadap ancaman dunia maya sembari mengedukasi organisasi tentang melindungi data pengguna mereka.

Kami baru-baru ini menemukan pelanggaran data besar yang berdampak pada 80 juta rumah tangga AS. Kami juga mengungkapkan bahwa Gearbest mengalami pelanggaran data besar-besaran. Anda mungkin juga ingin membaca Laporan Kebocoran VPN dan Laporan Statistik Privasi Data kami.

Silahkan bagikan laporan ini di Facebook atau tweet itu.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me