8 милиона записа за пазаруване в Обединеното кралство, изложени в мрежата, изтече лична информация на клиенти

Доставчик на софтуер, използван от малки търговци на дребно в ЕС, разкри база данни с близо 8 милиона записа за продажби в мрежата без парола или друго удостоверяване, изисквано за достъп до нея. Документите съдържат записи за продажби, включителноимена на клиенти, имейл адреси, адреси за доставка, покупки и последните четири цифри от номера на кредитна карта, наред с друга информация. Всеки може да намери и получи достъп до данните.

Приложението на доставчика изтегли записи за продажби от пазара и API на системата за плащане като този наAmazon UK, Shopify, PayPal и Stripeза обобщаване на данните за продажбите на търговците на дребно и изчисляване на данък върху добавената стойност за различни страни от ЕС. Към момента не знаем точния брой на засегнатите търговци на дребно или клиенти.

Екипът за изследване на сигурността на Comparitech, ръководен от Боб Диаченко, разкри разкрития сървър на Amazon Web Services, съдържащ базата данни MongoDB на 3 февруари 2020 г.

Дяченко предприе стъпки за отговорно разкриване на експозицията на данните възможно най-бързо, но междувременно други неоторизирани страни можеха да имат достъп до информацията. Данните могат да бъдат използвани от лоши лица за фишинг или измама на клиенти с насочени съобщения.

Говорител на Amazon отговори на искането на Comparitech за коментар, като каза, че съответните власти са били уведомени за инцидента и в набора от данни не са включени пароли или пълна информация за плащане:

„Бяхме информирани за проблем с разработчик трета страна (който работи с редица продавачи на Amazon), който изглежда е държал база данни, съдържаща информация от няколко различни компании, включително Amazon. Базата данни беше достъпна в интернет за много кратък период от време. Веднага след като бяхме уведомени, гарантирахме, че разработчикът трета страна е предприел незабавни действия за премахване на базата данни и защита на данните. Сигурността на системите на Amazon не е компрометирана по никакъв начин.“

Comparitech също се свърза с PayPal, Stripe и Shopify, но никой не коментира записа за инцидента.

График на експозицията

При откриването на неправилно конфигурираната база данни MongoDB не стана ясно кой я притежава. Диаченко първо уведомява Amazon, който хоства сървъра и IP адреса, където се съхраняват данните.

„[Amazon] бяха достатъчно бързи, за да се свържат с мен в рамките на 24 часа и започнаха собствено разследване“, казва Диаченко. „Времето беше от съществено значение тук, тъй като личната информация, информацията за плащанията и пратките на милиони купувачи в Обединеното кралство бяха изложени на риск, така че започнах да анализирам съдържанието на базата данни и след няколко дни направих връзка с крайния собственик.“

• 2 февруари 2020 г.: Базата данни MongoDB беше индексирана за първи път от търсачките.
• 3 февруари 2020 г.: Диаченко откри базата данни и незабавно уведоми Amazon, който отговори след 24 часа и започна собствено разследване.
• 8 февруари 2020 г.: След допълнително проучване на данните Диаченко идентифицира собственика. Той се свърза с компанията, която реагира в рамките на един час и затвори базата данни.

Общо данните бяха изложени за около пет дни. Това би дало на по-малко скрупулните крадци на данни достатъчно време да намерят и откраднат данните, но не знаем със сигурност дали други неупълномощени лица са имали достъп до тях.

Какви данни бяха разкрити?

Данните бяха под формата на записи за продажби от покупки на Amazon UK, Ebay, Shopify и някои други пазари. Много от записите за покупки са събрани от платежни системи като PayPal и Stripe.

Говорител на Amazon казва на Comparitech, че имейл адресите и данните за кредитната карта (последните четири цифри) не са били разкрити от Amazon и MWS не продава такава информация.

Някои покупки от Ebay бяха засегнати, но тези данни не идват директно от Ebay, каза говорител на Ebay пред Comparitech. „Разследвахме и установихме, че нито една система на eBay не е била компрометирана и никакви данни не са взети от eBay“, каза говорителят. „Инцидентът изглежда е свързан с API на PayPal, който е под независим контрол и не се управлява от eBay.“

По-голямата част от записите лично идентифицират клиенти в Обединеното кралство, включително:

• Имена на клиенти
• Адреси за доставка
• Имейл адреси
• Телефонни номера
• Поръчки (закупени артикули)
• Плащания
• Редактирани номера на кредитни карти (последните четири цифри)
• ID на транзакция и поръчка
• Връзки към фактури за Stripe и Shopify

Въпреки че знаем, че около 8 милиона записа са били разкрити общо, това не означава, че 8 милиона души са били засегнати. Всеки запис е индивидуална продажба, но един клиент може да отчете множество продажби.

Базата данни включва също стотици хиляди заявки за Amazon Marketplace Web Services (MWS), токен за удостоверяване на MWS, ID на ключ за достъп до AWS и таен ключ.

Опасности от излагане на данни на клиентите

Личната информация на милиони клиенти в ЕС може да бъде използвана от престъпници за целеви фишинг и измами. Ако крадците успеят да откраднат данните, преди достъпът да бъде осигурен, те биха могли да изпращат съобщения, свързани с продажби, представяйки се като PayPal, Amazon или други пазари и платежни системи, с които работи приложението.

Като се има предвид, че крадците ще знаят подробна информация за клиентите и техните покупки, тези съобщения могат да бъдат доста убедителни. Те биха могли да подмамят жертвите да предадат пароли или информация за плащане чрез насочени фишинг имейли и фалшиви уебсайтове, например.Клиентите на Amazon UK, които използват PayPal, трябва да бъдат особено предпазливи от измамни съобщения.

Това разкриване е пример за това как, когато предавате лични данни и данни за плащане на компания онлайн, тази информация често преминава през ръцете на различни трети страни, наети да я обработват, организират и анализират. Рядко такива задачи се извършват само вкъщи.

Въпреки че трета страна доставчик на софтуер е отговорен за базата данни, засегнатите клиенти вероятно ще хвърлят вината върху продавачите, които я използват, и пазарите, където са направили покупки.

Заявките на Amazon MWS и информацията за влизане могат да се използват за запитване до MWS API и изискване на конкретни записи от базите данни за продажби на Amazon MWS на доставчиците. Доставчиците трябва незабавно да променят своите MWS пароли и секретни ключове.

Относно API

Онлайн пазари и платежни системи като Amazon и PayPal позволяват на разработчиците на софтуер на трети страни да създават приложения, които търговците могат да използват за достъп и управление на данните за продажбите. В този случай продавачът помогна на търговците да обобщят данни за продажбите и възстановяването на средства от множество пазари и да изчислят данъка върху добавената стойност (ДДС) за трансгранични продажби в ЕС.

От разработчиците се изисква правилно да защитават данните при получаване, съхранение, използване и прехвърляне. Неспазване на политики за защита на данните може да доведе до спиране или прекратяване на достъпа до API.

Една от стъпките, които Stripe предприема, за да помогне на потребителите потенциално да смекчат инцидентите със сигурността, е да сканира публични хранилища на кодове, приложения на търговци и други уебсайтове за нашите тайни API ключове . Ако види тайния ключ на конкретен потребител публично видим някъде, Stripe автоматично му изпраща имейл с описание на това къде сме го видели, като URL адрес или номер на ред. Не изглежда обаче, че това би предотвратило този инцидент.

Comparitech избра да не разкрива публично името на доставчика, отговорен за базата данни, тъй като това е законен малък бизнес. Нашето намерение е да повишим осведомеността и да намалим щетите за клиентите, които могат да бъдат засегнати, а не да наказваме грешките. Като се има предвид, че по-голямата част от клиентите вероятно не знаят, че техните данни някога са преминавали през ръцете на този доставчик, ние не вярваме, че може да се спечели много от излагането им.

Как и защо открихме този инцидент

Comparitech и изследователят по сигурността Боб Диаченко си сътрудничат, за да разкрият незащитени лични данни, които са били разкрити в мрежата. При откриване на разкрити лични данни, ние незабавно предприемаме стъпки за идентифициране на отговорните страни и ги уведомяваме.

След отговорно разкриване ние проучваме данните, за да научим кой е засегнат и каква лична информация е изтекла. След като данните бъдат защитени, ние публикуваме доклад като този, за да повишим обществената осведоменост и да ограничим потенциалната вреда за крайните потребители.

Нашата цел е да предотвратим всякакви злонамерени атаки, които използват лични данни, като кражба на самоличност и фишинг.

Предишни доклади

Comparitech и Diachenko са работили заедно по редица доклади за инциденти с данни, засягащи милиони хора, включително:

• Разкрити са 250 милиона записи за обслужване на клиенти и поддръжка на Microsoft
• 267 милиона потребителски идентификатори и телефонни номера във Facebook, разкрити онлайн
• 2,7 милиарда разкрити имейл адреса от предимно китайски домейни, 1 милион от които включват пароли
• Подробни лични досиета на 188 милиона души бяха открити в мрежата
• 7 милиона студентски записи, изложени от K12.com
• 5 милиона лични досиета, принадлежащи на MedicareSupplement.com, изложени на обществеността
• Разкрити са 2,8 милиона клиентски записи на CenturyLink
• Изтекоха записи на клиенти на 700k Choice Hotels

“ Amazon Великобритания ” от Sean MacEntee, лицензиран под CC BY 2.0