在本文中,客戶數據泄露誰受到了影響?誰泄露了數據?對Credinet/Sistecredito客戶的影響數據泄露對Credinet/Sistecredito的影響保護您的數據如何以及為什麽我們報告數據泄露網站Planet是什麽?
公司名稱和地點:Credinet。總部位於哥倫比亞的co/Sistecredito大小:約100MB的數據,總計143876條記錄S
數據存儲格式:ElasticSearch
受影響國家:哥倫比亞網站Planetresearch團隊可以揭示壹個受重大數據泄露影響的Credinet,這是哥倫比亞金融公司Sistecredito擁有的壹個信貸平臺。
Sistecredito為希望立即購買商品並稍後在全國不同附屬機構付款的客戶提供分期付款融資選項。Credinet平臺被希望讓客戶註冊Sistecredito服務的零售店所使用,以資助購買在店內銷售的商品。
Credinet/Sistecredito在未加密且不受密碼保護的Elasticsearch數據庫中存儲了數十萬條記錄。該服務器包含敏感形式的數據,黑客可以利用這些數據將數千人置於網絡犯罪的嚴重風險中。
泄漏的客戶數據Credinet/Sistecredito在配置錯誤的Elasticsearch服務器上存儲了各種形式的數據,該服務器在使用時沒有任何密碼保護。結果,Credinet平臺泄露了總計100MB的數據,相當於143876條記錄。
影響Credinet/Sistecredito客戶的暴露數據包括:
CustomerPII:包含姓名、姓氏、電子郵件地址、手機號碼以及財務數據的日誌。JWT代幣:大約3000條泄露的記錄中包含“JWT代幣”這些可以用來生成“訪問令牌”,作為Credinet用戶進行身份驗證,從而讓黑客進入客戶帳戶。大多數包含JWT令牌的泄露文件也包含客戶電子郵件地址。密碼重置鏈接:屬於客戶帳戶。
服務器上直接影響Credinet平臺的泄漏信息包括:
數據庫憑據:包括CredinetSQL數據庫的明文密碼Appsecrets:壹個日誌包含有關Credinet平臺數據存儲的各種應用機密。
Credinet/Sistecredito暴露了可能被用來嚴重傷害Credinet/Sistecredito及其客戶的敏感客戶信息。數據庫中包含的
密碼重置鏈接讓我們了解了這次違規的影響。這些可以用來讓黑客訪問數千個用戶帳戶。
A黑客可以訪問數據庫中包含的客戶電子郵件地址列表,使用這些詳細信息(以及重置鏈接)重置相關用戶帳戶上的密碼。因此,黑客可以利用這些鏈接重置Credinet數據庫中3000多個用戶帳戶中的任何壹個。
PII、重置鏈接和JWT代幣的普及率是受影響客戶的最低估計數,略高於3000個用戶,盡管這個數字可能要大得多。
下面可以看到泄露的JWT令牌、電子郵件、密碼重置鏈接和其他形式的PII的證據。
但Credinet/Sistecredito的數據泄露很可能直接影響公司自身的業務,導致未來更大的客戶數據泄露。這是因為在服務器上發現了另外兩種形式的數據。其中壹個日誌包含“應用程序機密”,提供了有關該平臺數據存儲的更多詳細信息。
研究團隊還發現了2個數據庫密碼,可能會授予黑客額外的訪問權限和特權,包括對CredinetSQL數據庫的完全控制。出於道德原因,我們的團隊沒有測試這些密碼。
下面可以看到泄露的“應用程序機密”和數據庫密碼的證據。
Credinet數據庫的安全措施不充分意味著該平臺(Sistecredito)的所有者可能會受到哥倫比亞工商監督管理局(SIC)的審查,該局調查哥倫比亞企業濫用數據或數據保護措施差劣的任何案件。
如果Credinet/Sistecredito被發現有犯罪意圖濫用客戶數據,Credinet/Sistecredito將違反哥倫比亞刑法,這將使本案面臨另壹系列制裁和懲罰。不過,根據目前的證據,這樣的事件似乎不太可能發生。
誰受到影響Sistecredito及其Credinet平臺位於哥倫比亞,據信該公司沒有在哥倫比亞邊境以外開展任何業務。對Credinet/Sistecredito公司註冊的分析證實,該公司位於哥倫比亞,而Alexa交通分析顯示,該公司只與哥倫比亞公民打交道。
誰泄露了數據Sistecredito使用Credinet平臺開展業務,並允許哥倫比亞各地的商店向用戶註冊其金融服務。
Sistecredito總部位於哥倫比亞安蒂奧基亞省的恩維加多鎮。Sistecredito是壹家大型企業,目前擁有約300名員工,年銷售額為1578萬美元(USD)。
公開數據庫的內容在整個過程中無數次引用了Credinet/Sistecredito,甚至包含指向Sistecredito網站和Credinet平臺的鏈接。因此,很明顯,該數據庫屬於Credinet/Sistecredito。
對Credinet/Sistecredito客戶的影響只有Credinet/Sistecredito可以知道數據庫是否被不道德的黑客訪問,但是,數據庫打開的時間長度確實會使平臺的用戶面臨嚴重的網絡犯罪風險。
身份盜竊和欺詐泄露的個人信息,如客戶姓名、姓氏、電子郵件地址、手機號碼和財務數據,可用於協助其他幾個平臺的欺詐活動。網絡罪犯可以利用這些數據偽裝成受害者並實施欺詐。
詐騙、網絡釣魚和惡意軟件電話號碼和電子郵件地址等聯系信息可用於針對詐騙、網絡釣魚和惡意軟件用戶。
黑客可以利用客戶的個人信息,包括他們的財務記錄,與用戶建立信任,說服他們交出資金,交出額外的PII,或點擊將惡意軟件下載到客戶計算機上的鏈接。
黑客可以冒充Credinet或Sistecredito的代表。如果黑客通過電子郵件聯系用戶,他們可能會試圖強迫受害者點擊鏈接。這是壹次網絡釣魚攻擊。壹旦受害者點擊鏈接,惡意軟件就可能被下載到用戶的計算機上,從而幫助黑客進行進壹步的犯罪活動。
賬戶接管密碼重置鏈接和JWT代幣可用於接管客戶賬戶。
JWT代幣可用於驗證自己是否為Credinet賬戶持有人。黑客還可以使用密碼重置鏈接重置任何Credinet帳戶上的密碼。
服務器泄露的用戶列表和電子郵件地址列表可用於針對這些攻擊的受害者。壹旦黑客訪問了壹個帳戶,他們可以看到額外的PII,並可以進行其他欺詐活動。
對Credinet/Sistecredito的影響Credinet,以及平臺所有者Sistecredito,似乎會因這壹違約行為而遭受多筆經濟和聲譽損失。
數據隱私侵權行為
工商監管局(SIC)是哥倫比亞的數據保護機構,可能會調查Credinet/Sistecredito的數據行為。
根據哥倫比亞第1581號法律,數據控制器和處理器必須維護有關客戶數據的嚴格安全措施和標準。這禁止在未經客戶同意的情況下修改或披露客戶的數據,無論是否有意。
SIC可以對違反1581年法律的犯罪者處以最高2000倍哥倫比亞最低法定工資的罰款,以及哥倫比亞更廣泛的數據保護立法。
《哥倫比亞刑法典》將任何數據違規視為嚴重犯罪,如果壹個實體未經授權,故意泄露客戶數據,以謀取個人或第三方利益。
任何違規行為都可能導致責任人被處以哥倫比亞最低法定工資100至1000倍的罰款,以及48至96個月的監禁。不過,目前沒有證據表明Credinet/Sistecredito故意泄露客戶數據。
除了這些費用,受影響的用戶甚至有權從Credinet/Sistecredito獲得賠償。任何尋求賠償的法律行為都可能對受影響方產生影響,從而對公司造成進壹步的財務損害。
業務損失此類事件造成的聲譽損害是有形的。客戶用他們的個人數據信任公司,當壹家公司泄露這些數據時,信任的元素就被破壞了。無論是否有意泄露數據,都侵犯了受害者的人權。Credinet/Sistecredito將客戶置於風險之中,這對該品牌的形象造成了不良影響。
不良宣傳可能會導致壹些消費者在未來避免使用Credinet和Sistecredito,而現有客戶如果感到不安全或擔心數據安全,可能會終止與該公司的關系。
商業間諜Credinet/Sistecredito面臨嚴重的商業間諜風險,其開放的Elasticsearch服務器上包含大量客戶數據。
競爭對手的公司可以針對Credinet數據庫的客戶名單提供優惠,甚至可以根據其他形式的PII定制他們的方法。隨著用戶遷移到競爭對手手中,這可能會讓Credinet平臺和Sistecredito的金融服務失去業務。其他競爭者甚至可以冒充