Rapport: Afrikanska användare av mobilt internet exponeras i enorma dataläckage


Ledd av cybersecurity-analytiker Noam Rotem och Ran Locar upptäckte vpnMentors forskargrupp ett dataintrång i en databas som tillhör Sydafrika IKT-företag, Conor. Den överträdda databasen innehöll dagliga loggar över användaraktiviteter från kunder av Internetleverantörer som använder webbfiltreringsprogramvara byggd av Conor. Det avslöjade all internettrafik och aktivitet för dessa användare, tillsammans med deras PII-uppgifter. Detta inkluderade mycket känslig och privat aktivitet, inklusive pornografi, Conor utsatte inte bara användare för förlägenhet genom att avslöja sådan surfaktivitet, utan de också komprometterat privatlivet och säkerheten för människor i många länder.

Conor Företagsprofil

Baserat i Sydafrika, Conor är ett informations- och kommunikationsteknikföretag (ICT) som utvecklar programvaruprodukter för kunder i Afrika och Sydamerika. De skapar en rad lösningar för företag i många branscher, inklusive ekonomi, mobilt internet, små och medelstora företag och intäktsgenerering av data. Conor har 80 miljoner mobilabonnenter på sina produkter, med några högprofilerade kunder, inklusive Vodafone och Telkom.

Tidslinje för upptäckt och ägarreaktion

Ibland är omfattningen av ett dataöverträdelse och ägaren av uppgifterna uppenbar, och problemet löstes snabbt. Men sällsynta är dessa tider. Oftast behöver vi dagar av utredning innan vi förstår vad som står på spel eller vem som läcker informationen. Att förstå ett brott och dess potentiella påverkan tar noggrann uppmärksamhet och tid. Vi arbetar hårt för att publicera exakta och pålitliga rapporter, så att alla som läser dem förstår deras allvar. Vissa berörda parter förnekar fakta, bortser från vår forskning eller spelar ner dess inverkan. Så vi måste vara noggranna och se till att allt vi finner är korrekt och sant. I det här fallet hämtade vårt team webbscanner databasen den 12 november. Det var tydligt att databasen innehöll en enorm mängd data från många olika källor, i olika länder. Men databasens funktion var ursprungligen inte klar, och inte heller dess relation till de olika ISP: erna och Conor. Databasen granskades senare och bättre förstås, tillsammans med dess anslutning till en webbfilterapp byggd av Conor. Då räckte vi till företaget för att erbjuda vår hjälp.

Exempel på uppgifter i databasen

Conor anger i sin integritetspolicy, gällande datasäkerhet: Vi värdesätter ditt förtroende för att ge oss din personliga information, och därför strävar vi efter att använda kommersiellt acceptabla sätt att skydda den. Men kom ihåg att ingen metod för överföring över internet eller metod för elektronisk lagring är 100% säker och pålitlig, och vi kan inte garantera dess absoluta säkerhet. Baserat på vårt teams upptäckt av denna databas räckte Conors kommersiellt acceptabla medel inte för att hålla den här privata användardata dold. Vårt team kunde komma åt denna databas eftersom den var helt osäker och okrypterad. Vi såg ständigt uppdatering användaraktivitetsloggar de senaste 2 månaderna från kunder från många ISP: er baserade i afrikanska och sydamerikanska länder. Totalt resulterade detta i 890+ GB data och över 1 miljon poster. Databasen tillhörde en egenutvecklad programvara utvecklad av Conor, snarare än Internetleverantörerna själva. Programvaran verkade vara en Webfilter utvecklat för ISP-klienter för att begränsa åtkomsten till vissa webbplatser och typer av onlineinnehåll. Vi hittade poster från användare som tittade på exempelvis porr såväl som deras sociala mediekonton. Bortsett från de besökta webbplatserna, detta gjorde att vårt team kan se en rad privata personliga användardata varje gång någon loggar in på systemet. Detta inkluderade:

  • Indexnamnen: möjliggör enkel identifiering av daglig aktivitet
  • MSISDN: en kod som identifierar en mobiltelefonanvändare i deras leverantörs nätverk, via deras telefonnummer
  • IP-adress
  • Anslutningsvaraktighet eller besök på en webbplats
  • Volymen av data (i byte) som överförs per session
  • Fullständig webbadress
  • Om en webbplats hade blockerats av filtret eller inte

Några av dessa kan ses i följande exempel:

Rapport: Afrikanska användare av mobilt internet exponeras i enorma dataläckage

Eftersom databasen gav tillgång till en fullständig post av varje användares aktivitet under en session, vårt team kunde se alla webbplatser de besökte - eller försökte besöka. Vi kunde också identifiera varje användare. En persons surfning på internet är alltid personlig och förväntas vara privat. Det var emellertid inte fallet i det här fallet. I följande exempel, vårt team kunde se en användares aktivitet på en porrwebbplats. Detta var vanligt förekommande i poster i databasen, kompromissa med de berörda användarnas integritet på det mest intima sättet.

Rapport: Afrikanska användare av mobilt internet exponeras i enorma dataläckage

I ett annat exempel på följande post, ett användarnamn är tydligt synligt. Med en snabb sökning på Facebook hittade vi personens personliga profil, tillsammans med ytterligare personlig information som avslöjas i deras bio.

Rapport: Afrikanska användare av mobilt internet exponeras i enorma dataläckage

Vårt team tittade på datainmatningar från många mobila internetleverantörer, som Tshimedzwa Cellular och Flickswitch i Sydafrika, MTN i Kenya och andra. Det fanns också bidrag från sydamerikanska länder, såsom följande exempel från Bolivia:

Rapport: Afrikanska användare av mobilt internet exponeras i enorma dataläckage

I databasen identifierades också appar som användes, till exempel:

  • icloud
  • Google-appar (kartor, konto osv.)
  • Microsoft-appar (Outlook)
  • Facebook
  • WhatsApp

Dessa kan ses i de nästa två exempelkodavsnitten: Rapport: Afrikanska användare av mobilt internet exponeras i enorma dataläckage

Rapport: Afrikanska användare av mobilt internet exponeras i enorma dataläckage

Effekt av dataöverträdelse

Ett dataintrång av denna storlek och karaktär - som exponerar så mycket data om användaraktivitet och identiteter - har allvarliga konsekvenser för alla inblandade.

Conor Solutions

För ett IKT- och mjukvaruutvecklingsföretag att inte skydda dessa data är oerhört försumligt. Conors förfaller inom datasäkerhet kan skapa verkliga problem för de utsatta människorna. Conor skulle inte vara sårbara för attacker eller bedrägerier, de kan drabbas av betydande anstrykningsskador och förlust av förtroende inom sin bransch. Andra IKT-företag kan vara ovilliga att kontraktera Conor i framtiden, medan nuvarande kunder kan kräva åtgärder eller ersättning från dem. Den överträdda databasen också avslöjade hur Conors webbfilter fungerade och dess regler för att blockera innehåll. Människor kunde använda denna kunskap för att kringgå filtret, vilket gör det ineffektivt och överflödigt. Båda resultaten kan leda till förlust av affärer för Conor och minskade inkomster, från att förlora klienter som inte längre litar på sin programvara eller värdeproposition.

Conors kunder

Medan Conor utvecklade webbfiltreringsprogramvaran som är kopplad till den här databasen, är den det deras ISP-klienter som skulle uppleva de flesta av den negativa reaktionen. Kunder av Internetleverantörer som kompromitterats i denna läcka skulle troligen rikta sig till Internetleverantörerna för kritik och kompensation, vilket också skulle leda till betydande renommé- och förtroendeproblem för ISP: erna. På samma sätt kan de vara sårbara för förlust av affärs- eller rättsliga åtgärder. Det är också troligt att Internetleverantörerna har annonserat webfilterprogramvaran som ett värdeförslag för kunder och debiterat dem för det. Om människor skulle kunna använda den exponerade databasen för att kringgå webbfiltret, skulle Internetleverantörer ha ytterligare förlust, deras erbjudande är inte längre ett effektivt annonseringsverktyg.

Kunder till de berörda Internetleverantörerna

Den största risken vid detta överträdelse är de personer vars data exponerades. Databasen innehöll levande trafikloggar över alla deras onlineaktiviteter, tillsammans med PII av användare. Detta innebär att det finns noll integritet för de drabbade. Läckan gjorde dem sårbara för ett stort antal onlineattacker och bedrägerier. Dessa kunde ha förödande effekter, både personligen och ekonomiskt. Som tidigare nämnt, inte bara vårt team kunde se användarens onlineaktivitet utan med PII avslöjade i databasen, vi kunde hitta deras sociala mediekonton. Detta kallas doxing: använda kända data om en person för att upptäcka och avslöja sin identitet. Dockning sker ofta med skadlig avsikt, där den utsatta personen sedan riktas mot mobbning och trakasserier. Med tillgång till en persons porrhistoria, hackare och cyberbrottslingar kan rikta in dem för mobbning, eller ännu värre, utpressning och utpressning. Många människor skulle bli djupt generade över sin porrsökningshistoria, och cyberbrottslingar vet detta. Förbi hotar att utsätta offrets onlineporraktivitet för sina familjer eller arbetskollegor, kriminella skulle kunna utpressa stora summor pengar från dem. När det gäller Venezuela, ett land som Conor arbetar i, är porr olagligt. Även om vi inte såg några poster från Venezuela, skulle en ISP avslöja olaglig porrsökning av en kund, de skulle vara ännu mer sårbara. Ett offer kan drabbas av lagliga följder av regeringen eller allvarligare utpressning och utpressning.

Råd från experterna

Conor kunde lätt ha undvikit denna läcka om de hade vidtagit några grundläggande säkerhetsåtgärder för att skydda databasen. Dessa inkluderar, men är inte begränsade till:

  1. Säkra dina servrar.
  2. Implementera korrekta åtkomstregler.
  3. Lämna aldrig ett system som inte kräver autentisering öppet för internet.

Alla företag kan kopiera samma steg, oavsett storlek.

För Conors kunder

Vi rekommenderar omprövning eller granskning av dina interna datasäkerhets- och integritetsprotokoll. Du bör också noggrant vet varje tredje parts ansökningar du antar eller entreprenörer du anställer för att säkerställa att de följer uppdaterade bästa praxis för datasäkerhet. Under tiden, kontakta Conor direkt för att ta reda på hur de har löst den här dataläckan och vilka åtgärder de vidtar för att se till att något sådant inte händer igen. För en mer djupgående guide om hur du skyddar ditt företag kan du läsa vår guide för att säkra din webbplats och online-databas från hackare.

För kunder av de berörda Internetleverantörerna

Om du är orolig för att du har blivit utsatt för denna dataläckage, kontakta din Internetleverantör för att ta reda på om de har kontrakterat Conor för att bygga programvara för dem tidigare. De ska kunna ge dig all information relaterad till denna läcka och om du potentiellt utsattes. Den mest effektiva åtgärden du kan vidta för att säkerställa att du komprometteras i denna läcka, eller någon annan, är att ladda ner ett VPN. Den överträdda databasen innehöll loggar över all användares internetaktivitet. Det enda sättet att hindra detta från att hända igen är med en VPN. Att ansluta till internet via en VPN krypterar dina data och döljer din aktivitet, även från din internetleverantör. Det döljer också din plats och IP-adress, så hackare har nästan ingen identifierande information om dig. Det betyder att även om din Internetleverantör eller någon annan part läcker sina kunders data, du kommer fortfarande att vara dold och säker från hackare och cyberbrottslingar. Om du är orolig för datasäkerhet och sårbarheter kan du läsa vår kompletta guide till sekretess online. Det visar dig de många sätt som cyberkriminella riktar sig till internetanvändare och stegen du kan vidta för att hålla dig säker.

Hur och varför vi upptäckte brottet

Forskningsteamet vpnMentor upptäckte brottet i Conors databaser som en del av ett enormt webbkartaprojekt. Våra forskare använder portskanning för att undersöka specifika IP-block och testa öppna hål i system för svagheter. De undersöker varje hål för data som läcker ut. När de hittar ett dataöverträdelse, de använder experttekniker för att verifiera databasens identitet. Vi varnar sedan företaget för överträdelsen. Om möjligt kommer vi också att varna de som drabbats av överträdelsen. Vårt team kunde komma åt denna databas eftersom den var helt osäker och okrypterad. Conor använde en Elasticsearch-databas, som vanligtvis inte är utformad för URL-användning. Men vi kunde komma åt det via webbläsaren och manipulera kriterierna för URL-sökning för att avslöja databasschemat. Syftet med detta webbkartläggningsprojekt är att göra Internet säkrare för alla användare. Som etiska hackare är vi skyldiga att informera ett företag när vi upptäcker brister i deras online-säkerhet. Detta gäller särskilt när företagens dataöverträdelse innehåller så mycket privat och värdefull användarinformation. Men denna etik innebär också att vi bär ett ansvar för allmänheten. Användare av Conors programvara måste också vara medvetna om ett dataintrång som påverkar dem.

Om oss och tidigare rapporter

vpnMentor är världens största webbplats för VPN-granskning. Vårt forskningslaboratorium är en pro bono-tjänst som strävar efter att hjälpa onlinemiljön att försvara sig mot cyberhot samtidigt som vi utbildar organisationer om att skydda sina användares data. Tidigare har vi upptäckt ett enormt dataöverträdelse som avslöjar uppgifterna från miljontals ecuadoriska medborgare. Vi avslöjade också att ett överträdelse av Biostar 2 komprometterade de biometriska uppgifterna för över 1 miljon människor. Du kanske också vill läsa vår VPN-läckrapport och statistikrapport för personuppgifter.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me