Zpráva: Francouzská poštovní servisní aplikace vystavuje majitele malých podniků v úniku dat


Vedoucí Noam Rotem a Ran Locar, výzkumný tým vpnMentor objevil a porušení databáze Genius, aplikace pro Android vytvořené francouzskou poštovní službou La Poste. Genius je pokladna založená na aplikacích, která integruje mnoho různých procesů a pomáhá majitelům malých obchodů. Daná databáze se většinou týká plateb provedených prostřednictvím aplikace. S přes 23 milionů záznamů, jedná se o obrovské porušení v zabezpečení dat a činí uživatelé Genius v celé Francii zranitelní. Pokud škodliví hackeři objevili tuto databázi, pro vystavené by mohly být zničující následky.

Profil společnosti La Poste

La Poste je hlavní poštovní službou ve Francii, většinově vlastněná francouzskou vládou a rovněž působící v zámořských územích, která jsou s touto zemí tradičně spojena. Je to druhý největší zaměstnavatel ve Francii a má rád mnoho poštovních služeb po celém světě, se rozšířil nad doručování pošty. Mezi jejich činnosti patří pojištění, bankovnictví, webmail hosting a mnoho dalších služeb pro soukromé občany. Společnost také nabízí služby pro malé a střední podniky (SMB) ve Francii. Mezi ně patří aplikace Genius, pokladna. Kromě zpracování plateb od zákazníků pomáhá Genius malým a středním podnikům s řízením zásob, vykazováním dat a analytikou, účetnictvím a mnoha dalšími klíčovými procesy. Genius je účtován SMB jako „modulární řešení, které se přizpůsobí všem vašim potřebám… a vašemu rozpočtu!“

Časová osa objevu a reakce vlastníka

Někdy je zřejmý rozsah narušení dat a vlastník dat a problém rychle vyřešen. Ale tyto časy jsou vzácné. Nejčastěji potřebujeme dny vyšetřování, než pochopíme, co je v sázce nebo kdo data vykládá. Pochopení porušení a toho, co je v sázce, věnuje pečlivou pozornost a čas. Usilovně pracujeme na zveřejňování přesných a důvěryhodných zpráv, abychom zajistili, že každý, kdo si je přečte, rozumí jejich vážnosti. Některé dotčené strany popírají fakta, nezohledňují náš výzkum nebo snižují jeho dopad. Musíme tedy být důkladní a ujistit se, že vše, co shledáme, je správné a pravdivé. V tomto případě, když jsme identifikovali La Poste jako vlastníka databáze, oslovili jsme je svými zjištěními. Zatímco jsme čekali na odpověď od La Poste, 18. listopadu jsme se také obrátili na jejich hostitelskou společnost a na National national de l'informatique et des libertés (CNIL), nezávislý francouzský regulační orgán pro ochranu osobních údajů. Databáze byla uzavřena téměř tři týdny po našem prvním kontaktu s francouzskou CNIL.

  • Datum objevení: 11/11
  • Datum prodejců kontaktováno: 13/11
  • Datum kontaktu s CNIL: 18/11
  • Datum akce: Cca. 8/12

Příklad záznamů v databázi

Podle Smluvních podmínek pro Genius se La Poste zavazuje: „Realizovat nezbytná opatření k ochraně osobních údajů před náhodným nebo nezákonným zničením, náhodnou ztrátou, změnou, zveřejněním nebo neoprávněným přístupem;“ „informovat zákazníka do 48 hodin od okamžiku, kdy se o něm dozví, porušení osobních údajů. “ (Přeloženo z francouzštiny) Na základě našeho výzkumu, exponovaná databáze nebyla dostatečně chráněna. Bylo únikem citlivých informací, které by pro zločince a škodlivé hackery představovaly zlatý důl. Náš tým našel přes 15 GB citlivých informací, s 23 miliony záznamů pocházejících z malých a středních podniků napříč Francií, Belgií, Švýcarskem, Itálií, Španělskem a možná i více. Záznamy do databáze byly spojené s platbami zákazníků prostřednictvím Genius, jakož i dalšími funkcemi provádí na aplikaci. Každá položka obsahovala různé formy dat, v závislosti na akci prováděné uživatelem. Tyto obsahovaly Údaje umožňující identifikaci osob (PII) jak uživatelů Genius, tak jejich zákazníků, spolu s citlivými informacemi o podnikových financích a provozech. Příklady uživatelských dat zobrazitelných v databázi:

  • Úplná jména, e-mailové adresy, telefonní čísla a data narození lidí, kteří aplikaci používají
  • Město obchodního bydliště a PSČ uživatelů
  • Informace o prodaných produktech (štítek, cena, čárový kód atd.) A transakcích uskutečněných prostřednictvím Genius
  • Informace o prodejcích (jméno, e-mail, telefonní číslo)
  • Účty zasílané zákazníkům a dodavatelům
  • Zásoby firemních zásob
  • Jak test, tak skutečné hodnoty produktů na Genius
  • E-mailové adresy zákazníků, kteří obdrželi účet prostřednictvím Genius
  • Celkové hodnoty obchodních transakcí uskutečněných prostřednictvím Genius
  • Číslo firmy Siret (pro registraci francouzské firmy)
  • Mnohem více

Níže je uveden příklad uživatele aplikace Genius, který v aplikaci provádí odsouhlasení na konci dne (hodnoty měn jsou uvedeny v součtech v centech. Například „10150“ = 10,50 EUR). Tohle je pouze jeden příklad toho, jak byly citlivé údaje o firmě a finanční záznamy úniky:Zpráva: Francouzská poštovní servisní aplikace vystavuje majitele malých podniků v úniku dat V následujícím příkladu, jsou odhalena data patřící firmě a jednomu z jejích zaměstnanců při provádění další akce v aplikaci Genius: Zpráva: Francouzská poštovní servisní aplikace vystavuje majitele malých podniků v úniku dat V tomto posledním příkladu, PII zákazníka je vystaveno:Zpráva: Francouzská poštovní servisní aplikace vystavuje majitele malých podniků v úniku datGenius používají malé a střední podniky po celé Francii a dalších evropských zemích včetně Francie, Belgie, Švýcarska, Itálie a Španělska. Jako takový, databáze obsahovala záznamy z uživatelské základny Genius v mnoha různých průmyslových odvětvích napříč každou z těchto zemí a mnoho dalších. Mezi příklady vystavených podniků patří:

  • Nilaï - klenotnictví v Paříži
  • By164 - Klenotnictví v Paříži
  • Lovat&Zelená - Unisex módní maloobchodník se sídlem v Bilbau ve Španělsku
  • Manta - francouzský dárkový obchod s dopravou do mnoha evropských zemí
  • Louisette - francouzský rodinný dárkový obchod
  • MHD Restauration - Malá, nezávislá restaurace

* Poznámka: Lousiette a MHD byli uživatelé společnosti Genius citováni na svých webových stránkách a nabídli pozitivní reference pro tuto službu. Kromě odhalení klientských uživatelů jejich aplikace, databáze také neúmyslně učinilo zaměstnance společnosti La Poste zranitelnými. Během svého výzkumu náš tým také prohlížel údaje PII zaměstnanců La Poste, jako jsou jejich jména, e-mailové adresy a telefonní čísla, spolu s „testovacími hodnotami“ produktů v aplikaci. To bylo s největší pravděpodobností způsobeno tím, že postižení zaměstnanci testovali aplikaci interně.

Dopad porušení dat

Tento únik dat představuje závažné porušení protokolů zabezpečení dat pro společnost La Poste a vývojáře aplikace Genius. Ačkoli La Poste může být oceněna za jejich transparentnost, pokud jde o ochranu dat jejich uživatelů, objev našeho týmu to naznačuje nepodnikli dostatečné kroky k ochraně uvedených dat. Kdyby zločinci nebo škodliví hackeři přistupovali k těmto datům, bylo by to vážné důsledky pro soukromí a bezpečnost všech postižených.

Pro La Poste a Genius

Únik této povahy bude klást otázky týkající se celkových praktik zabezpečení dat společnosti La Poste - nejen v aplikaci Genius, ale přes jejich širší provoz a síť dceřiných společností. Zatímco pracujeme na vyřešení tohoto úniku, budoucí zákazníci Genius se mohou zdráhat přijmout aplikaci do jejich obchodních operací. Po našem objevu se může společnost La Poste pravděpodobně snažit udržet důvěru malých a středních podniků spolu s jejich reputací ve francouzských obchodních komunitách. Jako největší francouzská poštovní služba se zákazníky v celé Evropě, La Poste spadá do pravomoci Evropské unie a GDPR. La Poste ve svých smluvních podmínkách dokonce uznává GDPR, i když nikoli jménem. Nechráníme osobní údaje uživatelů Genius a jejich zákazníků, Společnost La Poste může být odpovědná za právní kroky nebo pokuty příslušnými regulačními orgány.

Pro uživatele Genius

Citlivá data odhalená v této databázi vytváří Uživatelé Genius a jejich podniky jsou náchylní k celé řadě útoků a podvodů. Například pomocí pomocí odhalených PII, obchodních a finančních údajů by zločinci mohli vytvářet účinné kampaně phishingu. Phishingová kampaň zahrnuje vytváření podvodných e-mailů napodobující legitimní podniky a vládní orgány, slouží k nalákání cílů na provedení některého z následujících:

  • Odhalte další informace, jako jsou hesla a uživatelská jména, soukromým online účtům a hostování e-mailů
  • Umožňují přístup k finančním účtům, jako jsou kreditní karty nebo online bankovnictví
  • Klikněte na odkaz, který vloží škodlivý software, jako je malware, ransomware, spyware a viry

Pokud hacker prohlížel exponovaná data byl schopen vypočítat průměrné hodnoty transakcí na Genius, mohli vymyslet metody, jak ukrást peníze v malých, přírůstkových částkách od uživatele - nebo celé jednorázové částky. Získání těchto odcizených prostředků může být dlouhý, obtížný a neúspěšný proces - nad rámec možností mnoha majitelů SMB. Únik také vytvořil potenciálně traumatičtější fyzické nebezpečí pro majitele obchodu. Konec dne smíření provedené uživateli přes Genius odhalil částky fyzických peněz v jejich provozovnách. To dává potenciálním zlodějům vhled do nejlepšího času na vloupání nebo vloupání do exponovaného obchodu a ukrást peníze přímo z areálu. Stejně jako u všech uvedených měnových součtů se hodnota v následujícím fragmentu kódu rovná 1011.50 v měně uživatele.

Zpráva: Francouzská poštovní servisní aplikace vystavuje majitele malých podniků v úniku dat

Dále, protože úniky dat také vystavily zákazníky těchto podniků, jejich majitelé mohli čelit ztrátě zákazníků, kteří již nevěří podnikům používajícím Genius k uchování jejich dat v bezpečí. A konečně, uživatelé Genius mohou být zranitelní vůči nečestným jednáním konkurentů. Díky přístupu k analytice prodejních a cenových údajů by konkurent mohl podkopat uživatele konkurenčními nabídkami. To může dále odvést zákazníky od vystaveného uživatele Genus.

Rada odborníků

La Poste a vývojáři Genius se tomuto úniku mohli snadno vyhnout pokud přijali některá základní bezpečnostní opatření k ochraně databáze. Mezi ně patří mimo jiné:

  1. Zabezpečte své servery.
  2. Implementujte řádná pravidla přístupu.
  3. Nikdy nenechávejte systém, který nevyžaduje ověřování, otevřený na internetu.

Každá společnost může replikovat stejné kroky, bez ohledu na jejich velikost. Podrobnějšího průvodce o tom, jak chránit vaši firmu, naleznete v našem průvodci zabezpečením vašeho webu a online databáze před hackery..

Pro uživatele Genius

La Poste je povinna v souladu s podmínkami poskytování služby informovat uživatele o „jakémkoli porušení osobních údajů“ do 48 hodin: „V této souvislosti [my] sdělíme zákazníkovi veškeré informace [máme] týkající se podmínek, které toto porušení osobních údajů způsobují.“ Doufejme, že splní tuto povinnost a informují jakoukoli stranu postiženou únikem. Pokud jste zákazníkem společnosti La Poste Genius a máte obavy, jak by toto porušení mohlo mít dopad na vás, společnost La Poste také nabízí pokyny, jak vyjádřit své obavy s externími stranami: „V rámci politiky ochrany osobních údajů společnosti La Poste můžete kontaktovat inspektora ochrany údajů, CP C703, 9 Rue Colonel Pierre Avia, 75015 PARIS. V případě potíží se správou osobních údajů můžete podat stížnost na CNIL. “

Pro majitele SMB

Pokud vlastníte SMB a máte obavy z toho, jak může zranitelnost dat a krádež ovlivnit vaši firmu a zákazníky, přečtěte si naši kompletní příručku k online ochraně osobních údajů pro SMB. Ukazuje vám mnoho způsobů, jakými jsou kybernetičtí činitelé zaměřeni na malé podniky, a kroky, které můžete podniknout, abyste zůstali v bezpečí.

Jak a proč jsme objevili porušení

Výzkumný tým vpnMentor zjistil porušení v databázích La Poste jako součástí obrovského projektu mapování webu. Naši vědci používají skenování portů k prozkoumání konkrétních IP bloků a testování slabých míst v systémech. Prověřují každou díru, zda nedochází k úniku dat. Když zjistí porušení dat, používají k ověření identity databáze i jejího vlastníka odborné techniky. Poté společnost upozorníme na porušení. Pokud je to možné, upozorníme také další strany, kterých se porušení týká. Náš tým měl přístup k této databázi, protože byla zcela nezabezpečená a nešifrovaná. La Poste používá databázi Elasticsearch, která obvykle není navržena pro použití s ​​URL. Byli jsme však schopni k němu přistupovat prostřednictvím prohlížeče a manipulovat s kritérii pro vyhledávání adres URL do odhalení schémat. Účelem tohoto projektu mapování webu je přispět ke zvýšení bezpečnosti internetu pro všechny uživatele. Jako etičtí hackeři jsme povinni informovat společnost, když zjistíme nedostatky v jejich online bezpečnosti. To platí zejména v případě, že narušení dat společností obsahuje takové soukromé informace. Tato etika také znamená, že neseme odpovědnost vůči veřejnosti. Uživatelé Genius si musí být vědomi toho, jak na ně má dopad i únik dat.

O nás a předchozích zprávách

vpnMentor je největší web pro kontrolu VPN na světě. Naše výzkumná laboratoř je pro bono služba, která se snaží pomoci online komunitě bránit se před kybernetickými hrozbami a zároveň vzdělávat organizace o ochraně dat svých uživatelů. V minulosti jsme objevili obrovské porušení, kterým jsme vystavili údaje zákazníků francouzské hotelové skupině vlastněné společností AccorHotels. Také jsme odhalili únik dat francouzskou platformou pro rezervaci letů Option Way, což ohrožuje soukromí jejich zákazníků. Můžete si také přečíst naši zprávu o úniku VPN a zprávu o statistikách ochrany osobních údajů.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me