公司名稱和地點:Credinet。總部位於哥倫比亞的co/Sistecredito的大小:大約100MB的數據,總共有143876條記錄。
數據存儲格式:ElasticSearch
受影響國家:哥倫比亞網站Planetresearch團隊可以揭示壹個受重大數據泄露影響的Credinet,它是哥倫比亞金融公司Sistecredito旗下的壹個信貸平臺。
Sistecredito為希望立即購買商品並在全國不同子公司稍後付款的客戶提供分期付款融資選項。Credinet平臺由零售店使用,這些零售店希望客戶註冊Sistecredito服務,以便為購買店內銷售的商品提供資金。
Credinet/Sistecredito在Elasticsearch數據庫中存儲了成千上萬條記錄,這些記錄沒有加密,也沒有密碼保護。該服務器包含敏感數據,黑客可以利用這些數據將成千上萬的人置於網絡犯罪的嚴重風險之中。
泄露的客戶數據Credinet/Sistecredito在配置錯誤的Elasticsearch服務器上存儲了各種形式的數據,使用時沒有任何密碼保護。導致Credinet平臺總共泄露了100MB的數據,相當於143876條記錄。
影響Credinet/Sistecredito客戶的風險數據包括:
CustomerPII:包含姓名、電子郵件地址、手機號碼和財務數據的日誌。JWT令牌:大約3000條泄露的記錄包含“JWT令牌”,可以用來生成“訪問令牌”以認證為Credinet用戶,從而允許黑客進入客戶賬戶。大多數泄露的包含JWT令牌的文件還包含客戶的電子郵件地址。密碼重置鏈接:屬於客戶帳戶。
泄露的直接影響服務器上Credinet平臺的信息包括:
數據庫憑證:包括CredinetSQL數據庫的明文密碼Appsecrets:壹個日誌包含了關於Credinet平臺數據存儲的各種應用秘密。
Credinet/Sistecredito暴露了敏感的客戶信息,這些信息可能被用來嚴重傷害Credinet/Sistecredito及其客戶。包括在數據庫中
密碼重置鏈接讓我們知道這種違規的影響。這些可以被黑客用來訪問成千上萬的用戶帳戶。
黑客可以訪問數據庫中包含的客戶電子郵件地址列表,並使用這些詳細信息(以及重置鏈接)來重置相關用戶帳戶的密碼。因此,黑客可以利用這些鏈接重置Credinet數據庫中3000多個用戶賬戶中的任何壹個。
PII、重置鏈接和JWT令牌的滲透率是對受影響客戶的最低估計,略高於3000個用戶,盡管這個數字可能要大得多。
下面妳可以看到泄露的JWT令牌,電子郵件,密碼重置鏈接和其他形式的PII證據。
但是Credinet/Sistecredito的數據泄露很可能直接影響到公司自身業務,導致未來更大的客戶數據泄露。這是因為在服務器上發現了另外兩種形式的數據。其中壹個日誌包含“應用程序機密”,它提供了關於這個平臺的數據存儲的更詳細的信息。
研究小組還發現了兩個數據庫密碼,這可能會賦予黑客額外的訪問權限和特權,包括對CredinetSQL數據庫的完全控制。出於道德原因,我們的團隊沒有測試這些密碼。
下面妳可以看到泄露“應用程序秘密”和數據庫密碼的證據。
Credinet數據庫中的安全措施不足意味著平臺的所有者(Sistecredito)可能會受到哥倫比亞工商管理局(SIC)的審查,該局負責調查哥倫比亞企業濫用數據或數據保護措施不力的任何案件。
如果認定Credinet/Sistecredito有濫用客戶數據的犯罪意圖,Credinet/Sistecredito將觸犯哥倫比亞刑法,這將使本案面臨另壹系列制裁和懲罰。然而,根據目前的證據,這樣的事件似乎不太可能發生。
受影響的人Sistecredito及其Credinet平臺位於哥倫比亞,據信該公司沒有在哥倫比亞境外開展任何業務。對Credinet/Sistecredito註冊的分析證實,該公司位於哥倫比亞,而Alexa流量分析顯示,該公司只與哥倫比亞公民交易。
誰泄露了數據Sistecredito使用Credinet平臺開展業務,並允許哥倫比亞各地的商店向用戶註冊他們的金融服務。
Sistecredito總部位於哥倫比亞安蒂奧基亞省的Envigado。Sistecredito是壹家大型企業,員工約300人,年銷售額1578萬美元(USD)。
開放數據庫的內容在整個過程中無數次引用了Credinet/Sistecredito,甚至還包括了Sistecredito網站和Credinet平臺的鏈接。所以很明顯數據庫屬於Credinet/Sistecredito。
對Credinet/Sistecredito客戶的影響只有Credinet/Sistecredito可以知道數據庫是否被無良黑客訪問過,但是數據庫被打開的時間長度確實會使平臺的用戶面臨嚴重的網絡犯罪風險。
身份盜竊和欺詐泄露的個人信息,如客戶的姓名、電子郵件地址、手機號碼和財務數據,可用於協助其他幾個平臺的欺詐活動。網絡罪犯可以利用這些數據偽裝成受害者實施詐騙。
欺詐、網絡釣魚和惡意軟件的電話號碼和電子郵件地址等聯系信息可用於鎖定欺詐、網絡釣魚和惡意軟件的目標用戶。
黑客可以使用客戶的個人信息,包括他們的財務記錄,與用戶建立信任,說服他們交出資金,交出額外的PII,或點擊鏈接將惡意軟件下載到客戶的計算機上。
黑客可以冒充Credinet或Sistecredito的代表。如果黑客通過電子郵件聯系用戶,他們可能會試圖強迫受害者點擊鏈接。這是網絡釣魚攻擊。壹旦受害者點擊鏈接,惡意軟件就可能被下載到用戶的電腦上,從而幫助黑客進行進壹步的犯罪活動。
帳戶接管密碼重置鏈接和JWT令牌可用於接管客戶帳戶。
JWT代幣可以用來驗證妳是否是Credinet賬戶持有人。黑客還可以使用密碼重置鏈接來重置任何Credinet帳戶的密碼。
服務器泄露的用戶和電子郵件地址列表可以用來鎖定這些攻擊的受害者。壹旦黑客進入壹個帳戶,他們可以看到額外的PII,並從事其他欺詐活動。
對Credinet/Sistecredito的影響Credinet和平臺所有者Sistecredito似乎因為這次違約而遭受了很多經濟和名譽上的損失。
侵犯數據隱私
哥倫比亞的數據保護機構SIC可能會調查Credinet/Sistecredito的數據行為。
根據哥倫比亞法律1581,數據控制器和處理器必須保持與客戶數據相關的嚴格安全措施和標準。未經客戶同意,禁止修改或披露客戶的數據,無論是有意還是無意。
SIC可以對違反1581法律以及哥倫比亞更廣泛的數據保護立法的違法者處以高達哥倫比亞最低法定工資2000倍的罰款。
《哥倫比亞刑法》將任何數據違規行為視為嚴重犯罪,如果壹個實體為了個人或第三方利益而在未經授權的情況下故意泄露客戶數據。
任何違法行為都可能導致責任人被處以相當於哥倫比亞最低法定工資65,438+000至65,438+0000倍的罰款,以及48至96個月的監禁。但是,沒有證據表明Credinet/Sistecredito故意泄露客戶數據。
除了這些費用,受影響的用戶甚至有權從Credinet/Sistecredito獲得補償。任何尋求賠償的法律行動都可能對受影響方產生影響,從而對公司造成進壹步的經濟損失。
業務損失此類事件造成的聲譽損失是有形的。客戶信任公司的個人數據,當公司泄露這些數據時,信任的要素就被破壞了。無論數據是否被故意泄露,都侵犯了受害者的人權。Credinet/Sistecredito將客戶置於風險之中,對品牌形象造成不良影響。
負面宣傳可能會導致壹些消費者在未來避免使用Credinet和Sistecredito,而現有客戶如果感到不安全或擔心數據安全,可能會終止與該公司的關系。
商業間諜Credinet/Sistecredito面臨嚴重的商業間諜風險,其開放的Elasticsearch服務器包含大量客戶數據。
競爭公司可以在Credinet數據庫的客戶名單上提供折扣,甚至可以根據其他形式的PII定制他們的方法。隨著用戶向競爭對手遷移,這可能會導致Credinet平臺和Sistecredito的金融服務失去業務。其他競爭者甚至可以假裝