דוח: קמעונאי מקוון פופולרי חושף לקוחות בדליפת נתונים ברחבי העולם


צוות המחקר של vpnMentor גילה צוותי המחקר של vpnMentor בהובלת אנליסטים בנושא סייבר נועם רותם ורן לוקר. דליפה במסד נתונים השייך לקמעונאית המקוונת LightInTheBox. מסד נתונים מאסיבי, הוא הכיל יותר מ- 1TB יומנים יומיים ופגעו באבטחתם של לקוחות LightInTheBox בכל רחבי העולם. לא זו בלבד שהיא הפרה משמעותית בפרוטוקולי אבטחת המידע של LightInTheBox, אלא שהיא גם יוצרת סכנות אמיתיות עבור אלה שנפגעו.

פרופיל החברה של LightInTheBox

LightInTheBox היא קמעונאית מקוונת שממוקמת בבייג'ינג, סין ומסחר בבורסה בניו יורק בתור LITB. LightInTheBox, שנוסדה בשנת 2007, נשלחת בינלאומית, עם מרבית לקוחותיה בצפון אמריקה ובאירופה. החברה מתמקדת בשלוש קטגוריות ליבה קמעונאיות: ביגוד, אביזרים קטנים וגאדג'טים, ובית וגן. LightInTheBox הוא עסק ענק, מניבה למעלה מ -12 מיליון מבקרים חודשיים באתר הדגל שלה, יחד עם כמה חברות בנות קטנות יותר.

ציר הזמן של תגלית ותגובת בעלים

לפעמים ברור כי היקף הפרת הנתונים ובעל הנתונים ברור והנושא נפתר במהירות. אך נדירים הם זמנים אלה. לרוב, אנו זקוקים לימי חקירה לפני שנבין מה עומד על הכף או מי מדליף את הנתונים. הבנת הפרה והשפעתה דורשת זמן ותשומת לב זהירה. אנו עובדים קשה כדי לפרסם דוחות מדויקים ואמינים, ומבטיחים לכל מי שקורא אותם להבין את רצינותם.

חלק מהגורמים המושפעים מכחישים את העובדות, מתעלמים מהמחקר שלנו או מפעילים את השפעתו. לכן עלינו להיות יסודיים ולוודא שכל מה שאנחנו מוצאים נכון ואמיתי. במקרה הזה, לאחר שזיהינו את LightInTheBox כבעלים של בסיס הנתונים, פנינו אליהם כדי להציג את ממצאינו. למרות שלא קיבלנו תשובה מהחברה, הפרת בסיס הנתונים נסגרה זמן קצר לאחר מכן.

  • התאריך התגלה: 20/11
  • ספקי תאריך יצרו קשר: 24/11
  • תאריך הפעולה: בערך. 24/11/19

דוגמה לערכים במסד הנתונים

LightInTheBox אינה מספקת פרטים ספציפיים אודות נוהלי אבטחת המידע והאחסון שלהם או האמצעים שהם נוקטים כדי להגן על נתוני הלקוחות. על פי מדיניות הפרטיות שלהם, הם מגנים על נתוני משתמשים באמצעות: ... נהלים ניהוליים לשמירה על סודיות המידע האישי שלך, כגון: * שמירה על כל העסקאות הכספיות הנעשות דרך אתר זה באמצעות קידוד Secure Sockets Layer ("SSL") * מתן רק עובדים המספקים גישה לשירות ספציפי למידע האישי שלך * עובדים רק עם ספקי שירותים של צד שלישי שלדעתנו מאובטחים כראוי את כל חומרת המחשב. בעוד שהעסק שלנו נועד תוך שמירה על המידע האישי שלך בראש, אנא זכור כי אבטחת 100% אינה קיימת כיום בשום מקום, באופן מקוון או לא מקוון.

בהתבסס על גילוי הצוות שלנו, האמצעים שנקטו לא היו מספיקים. בסיס הנתונים שנפרץ הכיל מעל 1.3 טרה-בתים של נתונים, בסך הכל מעל 1.5 מיליארד רשומות. בסיס הנתונים היה יומן שרת אינטרנט - היסטוריה של בקשות עמודים ו- פעילות המשתמשים באתר מתקופת ה- 9 באוגוסט 2019 ועד ה- 11 באוקטובר. מלבד LightInTheBox.com, הוא כלל גם נתונים מאתרי החברות הבנות שלהם, כולל MiniInTheBox.com. הפרת הנתונים השפיעה על לקוחות ברחבי העולם, עם ערכים מרבים מהאתרים הבינלאומיים שלהם, ובשפות רבות. דרך יומני שרת האינטרנט המאוחסנים בבסיס הנתונים, צפינו בנתוני משתמש פרטיים אישיים שכללו:

  • כתובות IP של משתמשים
  • מדינות מגורים
  • כתובות דוא"ל
  • דפי יעד ופעילות משתמשים באתר

קטעי הקוד הבאים מראים כיצד נחשפו 3 כתובות דוא"ל נפרדות:

דוח: קמעונאי מקוון פופולרי חושף לקוחות בדליפת נתונים ברחבי העולם המאגר כלל גם נתונים מגוגל של LightInTheBox & קמפיינים פרסומיים של מודעות בינג.

השפעת הפרת נתונים

הפרת נתונים זו מייצגת הפוגה משמעותית באבטחת הנתונים של LighInTheBox. אמנם דליפת נתונים זו אינה חושפת נתוני משתמש קריטיים, אך אמצעי אבטחה בסיסיים לא ננקטו. זו תקופת השנה עם הרבה קניות ברשת: יום שישי השחור, יום שני בסייבר, חג המולד. אפילו דליפה גדולה ללא נתוני מידע המאפשר זיהוי אישי יכולה להוות איום הן על החברה והן על לקוחותיה.

LightInTheBox מסתכן באובדן עסקים בזמן קריטי אם לקוחות לא מרגישים שהם יכולים לסמוך על החברה כדי לשמור על נתונים פרטיים. בהתבסס על ביקורות המשתמשים של LightInTheBox ב- Trustpilot, לקוחות רבים כבר אינם מרוצים מהחוויות שלהם באתר. על ידי חשיפת הנתונים שלהם, LightInTheBox מסתכנת באובדן עסקי נוסף שיכול להשפיע לרעה על הכנסות עתידיות.

ללקוחות LightInTheBox

הנתונים שנחשפו הופכים את הנפגעים לפגיעים לסוגים רבים של הונאה והתקפות מקוונות. עם גישה לדוא"ל משתמשים, פושעי רשת יכולים ליצור קמפיינים משכנעים עם דיוג המחקה את LightInTheBox. באמצעות אימיילים אלה ניתן היה להערים על הקורבנות לכל אחד מהדברים הבאים:

  • לחיצה על קישור שמטמיע תוכנה זדונית במכשיר שלהם
  • חשיפת מידע פיננסי או אישי רגיש
  • מתן אישורי כניסה לחשבונות מקוונים פרטיים

ההשפעה על קורבן עשויה להיות הרסנית. יש גם סכנה פיזית. עם כתובת IP של משתמש אתר, הצלחנו לזהות את עיר המגורים שלהם. אם להאקר פלילי הייתה גישה לכך, יחד עם הנתונים האחרים שנחשפו, הם היו יכולים להערים קורבן לחשוף את כתובת הבית שלהם, ולכוון אותם בגין גניבה ושוד ביתי. הדוגמה הבאה מציגה חלק מהמידע הנוסף שניתן למצוא באמצעות כתובת ה- IP של מישהו: דוח: קמעונאי מקוון פופולרי חושף לקוחות בדליפת נתונים ברחבי העולם הכי גרוע, הפרת נתונים זו התרחשה לקראת חג המולד, כאשר אנשים רבים יתמלאו במתנות, וייתכן שיקנו אותם מ- LightInTheBox.

ייעוץ מהמומחים

LightInTheBox יכול היה בקלות להימנע מדליפה זו אם היו נוקטים בכמה אמצעי אבטחה בסיסיים כדי להגן על בסיס הנתונים. אלה כוללים, אך אינם מוגבלים ל:

  1. אבטח את השרתים שלך.
  2. יישם כללי גישה נאותים.
  3. לעולם אל תשאיר מערכת שאינה דורשת אימות פתוחה לאינטרנט.

כל חברה יכולה לשכפל את אותם הצעדים, לא משנה גודלו. לקבלת מדריך מעמיק יותר כיצד להגן על העסק שלך, עיין במדריך שלנו לאבטחת האתר והמאגר המקוון שלך מפני האקרים..

ללקוחות LightInTheBox

אתה יכול ליצור קשר ישירות עם LightInTheBox ולברר כיצד הם פותרים בעיה זו ומתכננים להגן טוב יותר על הנתונים שלך בעתיד.. אם אתה לקוח של LightInTheBox ואתה מודאג מההפרה הזו עלולה להשפיע עליך, או על פגיעויות בנתונים באופן כללי, קרא את המדריך המלא שלנו לפרטיות מקוונת. זה מראה לך את הדרכים הרבות שפושעי הסייבר מכוונים למשתמשים באינטרנט, ואת הצעדים שאתה יכול לנקוט כדי להישאר בטוחים. אתה יכול גם להשתמש ב- VPN כדי להסתיר חלק מהנתונים שנחשפו ב- LightInTheBox. VPN יסווה את כתובת ה- IP ואת ארץ המגורים שלך, ויעניק לך שכבת הגנה נוספת גם אם הנתונים שלך דלפו.

כיצד ומדוע גילינו את הפרצה

צוות המחקר vpnMentor גילה את הפרצה במאגרי המידע של LightInTheBox כחלק מפרויקט מיפוי אתרים ענק. החוקרים שלנו משתמשים בסריקת נמל כדי לבחון חסימות IP מסוימות ולבחון חורים פתוחים במערכות לחולשות. הם בודקים כל חור אחר נתונים שמודלפים. כאשר הם מוצאים הפרת נתונים, הם משתמשים בטכניקות מומחים כדי לאמת את זהות בסיס הנתונים. לאחר מכן אנו מתריעים בפני החברה על ההפרה. במידת האפשר, אנו נזהר גם את מי שנפגע מההפרה. הצוות שלנו הצליח לגשת למאגר זה מכיוון שהוא לא מאובטח לחלוטין ולא מוצפן. החברה משתמשת בבסיס נתונים של Elasticsearch, שלרוב אינו מיועד לשימוש בכתובות אתרים. עם זאת, הצלחנו לגשת אליו באמצעות הדפדפן ולתפעל את הקריטריונים לחיפוש כתובות אתרים לחשיפת סכימות הנתונים. מטרת פרויקט מיפוי אתרים זה לעזור להפוך את האינטרנט לבטוח יותר עבור כל המשתמשים.

כהאקרים אתיים אנו מחויבים ליידע את החברה כאשר נגלה פגמים באבטחתם המקוונת. זה נכון במיוחד כאשר הפרת הנתונים של החברות מכילה מידע פרטי כזה. עם זאת, גם אתיקה זו מתכוונת אנו נושאים באחריות לציבור. על לקוחות LightInTheBox להיות מודעים להפרת נתונים שמשפיעים עליהם גם.

עלינו ודוחות קודמים

vpnMentor הוא האתר הגדול בעולם לביקורת VPN. מעבדת המחקר שלנו היא שירות פרו-בונו השואף לעזור לקהילה המקוונת להתגונן מפני איומי סייבר תוך חינוך לארגונים להגנה על נתוני המשתמשים שלהם. בעבר גילינו פרצה ב- Biostar 2 שפגעה בנתונים הביומטריים של יותר ממיליון איש. לאחרונה חשפנו כי חברה בבעלות רשת המלונות הגדולות AccorHotels חשפה מעל 1 TB לנתוני האורחים. יתכן שתרצה לקרוא את דוח דליפת VPN ודוחות סטטיסטיקת פרטיות של נתונים.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me