Zpráva: Mobilní datové porušení svobody odhaluje úplné kreditní údaje kanadských zákazníků


Výzkumný tým vpnMentoru to nedávno objevil Freedom Mobile zaznamenal obrovské porušení dat.

Vědci hackerů Noam Rotem a Ran Locar objevili vědci vpnMentoru porušení, které odhalí až 1,5 milionu osobních dat uživatelů Freedom Mobile. Freedom Mobile (dříve Wind Mobile) je čtvrtým největším poskytovatelem bezdrátových komunikací v Kanadě.

Náš tým objevil 5 milionů nezašifrovaných záznamů, ale z etických důvodů databázi nestáhl, takže nelze poskytnout přesná čísla. Společnost od té doby tvrdí, že bylo vystaveno „pouze“ 15 000 záznamů.

Databáze byla zcela nechráněná a nešifrovaná. Data zahrnuje čísla kreditních karet a CVV.

Časová osa objevu a reakce porušení

  • 17. dubna: Zjistíme únik v databázi Freedom Mobile.
  • 18. dubna: Zasíláme e-mailem společnosti Freedom Mobile, abychom společnost informovali o závažném porušení dat. Žádná odpověď.
  • 23. dubna: Zkusíme znovu kontaktovat Freedom Mobile.
  • 24. dubna: Freedom Mobile konečně reaguje na zprávy.
  • 24. dubna: Freedom Mobile uzavře narušení dat.

Příklady záznamů v databázi

Podobně jako nechráněná databáze Elasticsearch společnosti Gearbest, Databáze Freedom Mobile byla zcela nešifrovaná. Měli jsme plný přístup k více než 5 milionům záznamů, odráží až 1,5 milionu uživatelů.

Zdá se, že tyto záznamy odrážejí jakoukoli akci provedenou v uživatelském účtu a umožňují více záznamů na zákazníka.

Mezi vystavené osobní údaje patří:

  • emailová adresa
  • číslo domova a mobilního telefonu
  • domácí adresy
  • datum narození
  • typ zákazníka
  • IP adresa připojená k platební metodě
  • nešifrovaná čísla kreditních karet a CVV
  • odpovědi na úvěrové skóre od společnosti Equifax a dalších společností s důvody pro přijetí / odmítnutí

Mohli bychom také přistupovat k číslům účtů, datům předplatného, ​​datům fakturačního cyklu a záznamům služeb zákazníkům včetně umístění.

Některé položky také obsahovaly data z databáze Equifax. To zahrnovalo informace o kreditních skóre, kreditních třídách a účtech kreditních karet.

Zpráva: Mobilní datové porušení svobody odhaluje úplné kreditní údaje kanadských zákazníků

Dopad porušení dat

Je ironií, že Freedom Mobile se pyšní nabídkou vysoké úrovně soukromí. Je to dokonce v jejich životopisech Twitter:

Zpráva: Mobilní datové porušení svobody odhaluje úplné kreditní údaje kanadských zákazníků

Jasně však sdíleli - a zastarali - data svých zákazníků.

Po zjištění porušení dat jsme na problém rychle upozornili společnost Freedom Mobile. Když neodpověděli okamžitě, zeptali jsme se kontaktů na jiném bezpečnostním serveru, abychom jim pomohli dosáhnout v případě, že naše e-maily šly na spam. Když nakonec odpověděli, víme, že tomu tak není.

Z etických důvodů jsme databázi nestáhli, takže nevíme přesně, kolik lidí bylo ovlivněno.

nicméně, mohli jsme získat přístup k nejméně 5 milionům nechráněných záznamů. Freedom Mobile má nejméně 1,5 milionu odběratelů a její mateřskou společností je společnost Shaw Communications, která má v Kanadě více než 3,2 milionu zákazníků.. To může být největší porušení kanadské společnosti.

Je vzácné najít únik, který ukáže podrobnosti informace o kreditní kartě a čísla CVV společně, zejména při tak velkém porušení.

Protože tento únik dat zahrnuje nešifrované informace o kreditní kartě, Freedom Mobile potenciálně porušuje pravidla dodržování PCI (Payment Card Industry). To by mohlo mít za následek vážné dopady na společnost i její uživatele v reálném světě.

Nebezpečí hackerů

Umožňuje také databáze plná údajů o kreditní kartě, datu narození, úplných jmen, adres a telefonních čísel podvody s kreditními kartami a krádež identity. To by mohlo stát uživatelům - a jejich bankám a pojišťovnám - stovky tisíc dolarů.

Nešifrovaná databáze personalizovaných informací je pro hackery cenným zdrojem. Přístup k adresám, e-mailovým adresám, telefonním číslům a kreditním údajům může pomoci škodlivým hráčům provádět sofistikované programy phishingu.

Informace o úvěru také umožňují vysoce cílené útoky ransomware, protože špatní herci vědí, kde mohou požadovat vysoké ceny.

Ani ten nejpečlivější uživatel se nemůže bránit proti společnosti, která ukládá svá data do nezabezpečené databáze. Nejlepší způsob, jak jsme našli, je použijte číslo dočasné karty, účtu nebo CVV připojen k vašemu účtu. Další informace naleznete v našem úplném průvodci.

O nás a předchozích zprávách:

vpnMentor je největší web pro kontrolu VPN na světě. Naše výzkumná laboratoř je pro bono služba, která se snaží pomozte online komunitě bránit se proti kybernetickým hrozbám při vzdělávání organizací o ochraně dat jejich uživatelů.

Nedávno jsme objevili obrovské porušení dat postihující 80 milionů amerických domácností. Také jsme odhalili, že Gearbest zažil obrovské porušení dat. Můžete si také přečíst naši zprávu o úniku VPN a zprávu o statistikách ochrany osobních údajů.

Prosím sdílet tuto zprávu na Facebooku nebo tweet to.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me