Веригата фитнес зали Town Sports разкрива 600 000 записа на членове и служители

Фитнес веригата Town Sports International разкри 600 000 записа на членове и служители в мрежата без парола или друго удостоверяване, необходимо за достъп до тях, съобщават изследователи на Comparitech.

Имена, информация за контакт, хронология на плащанията и ограничена информация за плащане се съдържаха в незащитената база данни. Изследователят по сигурността на Comparitech Боб Диаченко получи съвет от експерт по киберсигурност Сами Тойвонен за излагането на 21 септември 2020 г. Диаченко незабавно уведоми Town Sports като част от нашата политика за отговорно разкриване. Той също така се обърна към Зак Уитакър от Techcrunch, за да улесни процеса на отговорно разкриване с помощта на медиен контакт от най-високо ниво. Можете да прочетете мнението на Зак тук .

Town Sports International е верига от фитнес зали, фитнес клубове и спа центрове, работещи главно в североизточната част на Съединените щати и има почти 600 000 членове, според страницата в LinkedIn. Техните марки включват My Sports Clubs, Around the Clock Fitness, Lucille Roberts и Total Woman.

Town Sports призна за инцидента, но не отговори на искането на Comparitech за коментар към момента на писане.

График на експозицията

Когато Тойвонен предупреди Диаченко за разкритата база данни, той каза, че базата данни е била видяна за първи път в природата преди 11 месеца на 30 ноември 2019 г.

Диаченко изпрати отговорно известие за разкриване на информация до Town Sports на 21 септември 2020 г.

Базата данни беше защитена един ден по-късно на 22 септември 2020 г.

Не знаем дали неупълномощени страни са имали достъп до данните, докато са били изложени, но засегнатите клиенти и персонал могат да предположат същото. Нашето изследване сочи незащитени бази данни могат да бъдат намерени, откраднати и атакувани в рамките на само няколко часа след излагане.

Какви данни бяха разкрити?

Записите на клиентите и служителите се съхраняват в кофа на Amazon S3. Всеки запис съдържа цялата или част от следната информация:

• Пълно име
• Адрес на улица
• Телефонен номер
• Имейл адрес
• Последните четири цифри на кредитната карта
• Дата на изтичане на кредитната карта
• История на фактурирането

В базата данни не се съхраняват пароли за акаунти, CVV или пълни номера на кредитни карти.

Опасности от разкрити данни

В грешни ръце киберпрестъпниците могат да използват информацията, съхранена в базата данни, за измама и фишинг на клиенти и служители на Town Sports. Персоналът и членовете на фитнес залата трябва да внимават за имейли, текстови съобщения и телефонни обаждания от измамници, представящи се за Town Sports или свързана компания.

Измамниците могат да използват личната информация на базата данни, за да направят съобщението да изглежда по-убедително. Фишинг съобщенията обикновено съдържат връзки към фишинг страници, които изглеждат автентични и често идентични с официалния уебсайт, но всъщност са копия, предназначени за кражба на пароли или информация за плащане.

Засегнатият персонал и клиенти също могат да видят увеличение на спама във входящите си кутии.

Относно градските спортове

Town Sports International Holdings, Inc е верига от фитнес зали, фитнес клубове и спа центрове, която работи в 14 щата.

Компанията беше тежко засегната от пандемията COVID-19, която принуди фитнес залите й да затворят за месеци. Блумбърг съобщи на 14 септември 2020 г. Town Sports подаде молба за фалит по глава 11.

Защо съобщихме за този инцидент с данни

Изследователите на Comparitech рутинно сканират мрежата за незащитени бази данни, съдържащи частна и лична информация. Когато открием разкрити данни, незабавно започваме разследване, за да разберем на кого принадлежат, каква информация е изложена на риск, кой може да бъде засегнат и какво може да бъде въздействието. След като проследим кой е отговорен за разкрита база данни, ние незабавно разкриваме инцидента, така че данните да могат да бъдат защитени възможно най-бързо.

След като данните бъдат защитени, ние публикуваме доклад като този. Нашата надежда е да направим интернет по-безопасно място, като предупреждаваме хората, които могат да бъдат засегнати, и повишаваме осведомеността относно излагането на данни.

Предишни доклади за инциденти с данни

Comparitech публикува няколко доклада за инциденти с данни като този, включително:

• Затворническа телефонна услуга Telmate разкрива съобщения, лична информация на милиони затворници
• Брокерът на данни в социалните медии разкрива почти 235 милиона изтрити профили
• UFO VPN разкрива милиони регистрационни файлове, включително потребителски пароли
• 42 милиона ирански телефонни номера и потребителски идентификатори на „Telegram“ бяха пробити
• Изтекоха подробности за близо 8 милиона онлайн покупки във Великобритания
• 250 милиона записа за поддръжка на клиенти на Microsoft бяха изложени онлайн
• Повече от 260 милиона идентификационни данни във Facebook бяха публикувани в хакерски форум
• Изтекоха почти 3 милиарда имейл адреса, много със съответните пароли
• Подробна информация за 188 милиона души се съхраняваше в незащитена база данни
• Изтекоха над 2,5 милиона клиентски записи на CenturyLink