Zpráva: Propagační kampaň tabáku odhaluje rumunská uživatelská data


Výzkumný tým vpnMentor nedávno objevil porušení dat na rumunské webové platformě, kterou vlastní mezinárodní tabáková společnost British American Tobacco (BAT).

BAT má sídlo ve Velké Británii. Je to jeden z největších světových výrobců tabákových a nikotinových výrobků.

Náš tým vedený výzkumníky v oblasti soukromí na internetu Noam Rotem a Ran Locarem našel porušení dat na nezabezpečeném serveru připojeném k webová platforma YOUniverse.ro. Webová platforma je součástí propagační kampaně BAT Rumunsko zaměřené na dospělé kuřáky.

Prostřednictvím této platformy mohou rumunští obyvatelé vyhrát vstupenky na večírky a akce, na nichž vystupují známí místní i mezinárodní umělci.

Rumunské právo zakazuje většinu druhů reklamy na tabák. Zákon však povoluje určité typy propagačních kampaní a sponzorství akcí, které se zaměřují výhradně na stávající kuřáky starší 18 let..

Porušení dat zahrnuje citlivé osobní údaje (PII) uživatelů.

Ještě znepokojivější je, že náš tým zjistil, že nezabezpečený server má již byl kompromitován ransomware.

Přes několik pokusů našeho týmu o odhalení porušení zůstala databáze otevřená a nezajištěná po dobu více než dvou měsíců. Od 22. září, opakovaně jsme to zkoušeli kontaktovat společnost (místní pobočku i globální společnost), společnost hostující server, rumunský Národní úřad pro ochranu spotřebitele (ANPC) a certifikační úřad (CA). Jedinou stranou, kterou jsme slyšeli, byla CA. Také jsme kontaktovali několik rumunských novinářů, kteří žádali o pomoc s kontaktováním společnosti, ale ještě musíme obdržet odpověď.

K 27. listopadu byla databáze definitivně uzavřena, ale nikdo na nás nikdy neodpověděl.

Příklad záznamů v databázi

Porušení bylo objeveno na nezabezpečeném serveru Elasticsearch v Irsku. Úniková databáze zahrnuje blízko 352 GB dat.

Ransomware Attack

Kdykoli náš výzkumný tým zjistí zranitelnost na serveru, doufáme, že zranitelný herec tuto chybu nezjistil jako první.

To se bohužel přesně stalo. Než náš výzkumný tým objevil narušení dat, server již byl napaden ransomware.

Na serveru jsme našli 53 indexů, ale téměř všechny byly prázdné. Je pravděpodobné, že tyto indexy byly vytvořeny hackery odpovědnými za útok ransomware.

Server také obsahoval soubor readme s požadavkem výkupného:

BAT Rumunsko readme

Na základě souboru readme se to zdá hacker nebo skupina hackerů hrozí, že data ze serveru smažou, pokud nejsou splněny jejich požadavky. Hackeři požadují bitcoinovou platbu výměnou za data.

Denní deníky

I po manipulaci s ním server stále obsahoval některá smysluplná data. Mohli jsme si prohlížet denní záznamy z posledních sedmi dnů, každý uložený v samostatném indexu.

Protokoly se zdají být záznamy http komunikace přes webovou platformu YOUniverse.

Příklady osobních údajů, které bychom mohli zobrazit, zahrnují:

  • celé jméno
  • e-mailem
  • telefonní číslo
  • datum narození
  • Rod
  • zdrojová IP
  • preference cigaret a tabákových výrobků

Existují také vnitřní hodnoty, které by mohly obsahovat citlivější informace. Význam některých interních údajů byl nejasný.

Údaje o BAT v Rumunsku 1

Některé z položek zahrnovaly zprávy psané v rumunštině. Zdá se, že se jedná o dotazy zadané uživateli, kterými mohou být zákazníci nebo přidružení.

Některé zprávy například žádají o pomoc a popisují problémy s cenami a odměnami.

Údaje o BAT v Rumunsku 2

V angličtině zní zpráva:

"Dobrý večer, na konci června jsem využil zkušenostních bodů k získání 2 dárkových poukazů Doncafe po 400 lei." V potvrzovacích zprávách o cenách nebylo uvedeno datum, kdy by se kódy mohly použít, ale když jsem dnes volal, abych provedl rezervaci, řekli mi, že s vámi uzavřeli spolupráci. Poskytněte mi prosím řešení, jak využít 2 vouchery. Děkuji!"

Databáze také obsahovala některé metadata související s odchozími e-maily které se nepodařilo dostat k příjemci. Tyto položky obsahovaly pouze metadata, nikoli skutečný obsah zprávy v e-mailech.

V e-mailových metadatech jsme mohli zobrazit následující informace:

  • zamýšlená cílová e-mailová adresa uživatele
  • předmět emailu
  • interní ID uživatele

Údaje o BAT v Rumunsku 3

Mohli jsme také zobrazit e-mailovou adresu odesílatele. E-mailová doména odesílatele MereuMaiMult je přidružena k BAT Rumunsko. Mereu mai mult je rumunská věta, která se zhruba překládá na „vždy více“. Je součástí stejné propagační kampaně jako YOUniverse..

Další informace mohou být vystaveny

Na serveru mohla kvůli útoku s ransomwarem chybět mnoho dat nemůžeme si být jisti, jaké další informace mohou být ohroženy.

Abychom získali představu o tom, jaký druh dat mohl být únikem, zkoumali jsme zásady ochrany osobních údajů, které pokrývají všechny webové platformy propagační kampaně BAT Rumunsko. Mezi ně patří YOUniverse.ro, mobilní aplikace YOUniverse, experiencecemore.ro, mereumaimult.ro, preprietenie.ro a theunseen.ro.

Objevili jsme také přihlašovací údaje k systému Microsoft Dynamic CRM, včetně nezašifrovaných hesel. Bohužel to znamená, že může být vystaveno ještě více dat. Z etických důvodů jsme přihlašovací údaje nepoužili, takže nevíme, jaké informace jsou prostřednictvím systému dostupné.

Podle prohlášení o ochraně osobních údajů společnost shromažďuje a používá následující informace, když se uživatelé registrují na kterékoli ze svých platforem:

  • křestní jméno a příjmení
  • datum narození
  • telefonní číslo
  • emailová adresa
  • bydliště
  • preference značky a produktu, včetně oblíbeného tabáku

Aby se uživatelé mohli zaregistrovat na platformu, musí také zadat kód, který lze získat pouze zakoupením balíčku cigaret.

Tento kód se používá v souladu s rumunským právem. Společnost je povinna ověřit, že všichni uživatelé jsou aktivními kuřáky, než se mohou účastnit propagačních aktivit.

Prohlášení o ochraně osobních údajů dále uvádí, že pokud vyhrajete cenu v hodnotě přesahující určitou částku, musí společnost požádat svého CNP o přiznání a platbu daně z příjmu. To se týká protože CNP označuje číslo rumunského národního průkazu totožnosti.

Nenašli jsme důkazy o tom, že by byla vystavena čísla CNP uživatelů, ale mohli jsme zobrazit pouze denní deníky. Je možné, že národní identifikační čísla uživatelů byla dříve odhalena při útoku na ransomware.

Dopad porušení dat

Je obtížné odhadnout počet lidí, kteří by mohli být tímto porušením údajů zasaženi.

Vzhledem k velikosti databáze a etickým hranicím, které nám brání v příliš hlubokém kopání osobních údajů, si nemůžeme být jisti, kolik uživatelů může být ovlivněno..

Server obsahuje protokoly za předchozích sedm dní. Některé denní protokoly obsahují více než 60 milionů záznamů, a některé položky obsahují více sad uživatelských dat. Na druhé straně některé položky obsahují nulová nebo duplicitní data.

Je možné, že toto porušení dat narušilo soukromí mnoho uživatelů.

Podvody a útoky typu phishing

Kontaktní informace pro velké množství uživatelů odhalily narušení dat. Unikající e-maily a telefonní čísla vystavují lidi riziku phishingové útoky a podvody.

Škodlivé strany by mohly použít jiné osobní údaje z porušení dat k vytvoření přizpůsobené phishingové útoky které cílí na jednotlivé uživatele.

Útoky typu phishing mohou mít podobu e-mailů, které se zdají být legitimní. Ve skutečnosti by tyto e-maily mohly být navrženy infikovat příjemce malwarem nebo přimět lidi, aby odhalili citlivé detaily.

Uživatelé by také mohli být vystaveni nebezpečí, že se stanou oběťmi textových zpráv a podvodů s telefonem. V extrémních případech mohou hackeři dokonce přimět poskytovatele telefonních služeb, aby jim pomohli unést čísla mobilních telefonů uživatelů.

Úspěšné phishingové útoky a podvody, které hackerům poskytují přístup k dalším informacím nebo osobním účtům, by dokonce mohly vést krádež identity.

Konkurenti a inzerenti

Dalším problémem, který je třeba zvážit, jsou důsledky porušení údajů pro BAT Rumunsko a jeho konkurenty. Konkurenti mohou nyní mít přístup k zákaznickým údajům o BAT Rumunsko, včetně PII a preferencí pro tabák.

Tyto informace by mohly konkurentům pomoci účinně zacílit na aktivní kuřáky. To by mohlo být velkým přínosem pro soutěž BAT v Rumunsku.

Inzerenti třetích stran by také mohli mít prospěch z přístupu k únikovým uživatelským datům. Tyto informace by mohly být použity k vytvoření vysoce účinných cílených reklamních kampaní.

Ochrana osobních údajů pro kuřáky

Porušení dat ohrožuje soukromí uživatelů jiným potenciálně škodlivým způsobem.

Aby se uživatelé mohli účastnit této platformy, musí prokázat, že jsou současnými kuřáky, a to poskytnutím kódu, který lze nalézt na balení cigaret.

Porušení dat odhalilo jména současných kuřáků, kteří možná nebudou chtít, aby jejich kouřící návyky byly vystaveny světu. To by mohlo mít dokonce vážné finanční důsledky pro uživatele. Například pro pojišťovny mají často kuřáci různé sazby.

Pokud někdo tvrdí, že není kuřák, ale pojišťovna zjistí jméno této osoby v uniklé databázi, může být uživateli účtována vyšší sazba.

Důsledky Ransomware

Ve skutečnosti by dopad narušení dat mohl být mnohem větší, než se zdá. Nezajištěný server byl bohužel již napaden ransomware, když náš výzkumný tým chybu zjistil.

Protože s databází již bylo manipulováno, skutečná velikost a závažnost dopadu narušení dat není známa. I když je výkupné zaplaceno, Neexistuje způsob, jak skutečně získat zpět uniklé informace.

Hackeři by mohli obnovit všechna chybějící data, ale hackeři mohou snadno uchovávat kopii citlivých uživatelských a firemních dat.

Dalším problémem je, že mohou být ovlivněny servery jiných společností. Když jsme spustili vyhledávání Google s klíčovými slovy ze zprávy výkupného, ​​našli jsme několik příkladů jiných serverů, které zažily stejný útok výkupného, ​​se stejnou zprávou slovo za slovem.

To by mohlo znamenat, že údaje již byly úniky a nyní jsou v rukou zločinecké organizace.

Rada odborníků

Útok ransomware, který jsme objevili jako součást tohoto narušení dat, je dokonalým příkladem rizik nezajištění vašich serverů.

Narušení dat bylo možné zabránit pomocí některých základních bezpečnostních opatření. Přinejmenším, vždy byste měli mít na paměti následující bezpečnostní postupy:

  • Zabezpečte své servery
  • Proveďte příslušná pravidla přístupu
  • Vyžadovat ověření pro přístup do všech systémů

Podrobnější průvodce, jak chránit vaši firmu, naleznete v našem článku jak zabezpečit váš web a online databázi před hackery.

Jak a proč jsme objevili porušení

Výzkumný tým vpnMentor vedený bezpečnostními experty Ranem a Noamem objevil toto porušení jako součást našeho rozsáhlý projekt mapování webu.

Náš výzkumný tým prohledává porty, aby našel známé bloky IP. Tým poté hledá chyby v systému, které by naznačovaly otevřenou databázi.

Jakmile bude zjištěno porušení dat, náš tým propojí databázi zpět s vlastníkem. My pak kontaktujte vlastníka, informujte jej o chybě zabezpečení a navrhněte způsoby, jak může vlastník zvýšit zabezpečení systému.

Jako etičtí hackeři a výzkumní pracovníci nikdy prodáváme, neskladujeme ani nevystavujeme informace, se kterými se setkáváme.

Naším cílem je zlepšit celkovou bezpečnost a zabezpečení internetu pro všechny.

O nás a předchozích zprávách

vpnMentor je největší web pro kontrolu VPN na světě. Naše výzkumná laboratoř je pro bono služba, která se snaží pomoci online komunitě bránit se před kybernetickými hrozbami a zároveň vzdělávat organizace o ochraně dat svých uživatelů..

Nedávno jsme v Ekvádoru objevili obrovské porušení dat, které ovlivnilo miliony jednotlivců. Také jsme odhalili rozsáhlou síť podvodů zaměřenou na prodejce Groupon a online vstupenek.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me