Programska oprema za terensko delo
Ugotovljeno je bilo, da so občutljivi zasebni in finančni podatki na stotine uporabnikov kreditnih kartic shranjeni v podatkovni bazi, ki je nezavarovana. Raziskovalci, ki izvajajo preprost program za skeniranje, so odkrili bazo podatkov, ki je na internetu izpostavljena v lasti Fieldwork Software. Šokantno je, da so podatki vsebovali obsežne finančne podrobnosti, ki pripadajo poslovnim strankam. Poleg podatkov o kreditni kartici bi lahko dostopali in izkoristili tudi druge zelo občutljive podatke, kot so povezana imena, oznake GPS in celo komunikacijo med odjemalcem in ponudnikom storitev. Zaskrbljujoč vidik je, da je projekte skeniranja, ki so razkrili uhajajočo bazo podatkov, precej enostavno uporabiti in jih poklicne skupine za vdiranje vedno bolj uporabljajo za izkoriščanje finančnih informacij ali rastlinske zlonamerne programske opreme.
Raziskovalci, ki delajo za kiparsko varnost vpnMentor in so odkrili na videz izpostavljeno bazo podatkov Fieldwork Software, so ponudili svoje odkritja prek objave v blogu . Ekipa, ki jo sestavljata Noam Rotem in Ran Locar, je navedla, da je približno 26 GB podatkov ostalo izpostavljenih. Jasno je, da baza podatkov namerno ni bila izpostavljena. Vendar odkritje izpostavi nevarnost, da bodo finančne informacije še vedno uporabne za katero koli skupino programerjev, ki vedo, kje iskati ali sprožiti naključni lov na strežnike ali zbirke podatkov, ki niso bile pravilno zaščitene. Zanimivo je, da velikost podatkov morda ni velika, vendar je naravo informacij mogoče izkoristiti za lansiranje številnih digitalnih finančnih ropov.
Nezaščitena baza podatkov Elasticsearch razkriva 2 milijardi uporabniških zapisov iz pametnih domačih naprav: Raziskovalci varnosti Noam Rotem in Ran Locar iz podjetja vpnMentor so nedavno v svojem poročilu razkrili, da kitajska družba za upravljanje IoT s sedežem v Shenzhenu… https://t.co/a9eqEqTFt6 pic.twitter.com/AyQ8QPrVli
- CS Threat Intel (@cipherstorm) 5. julij 2019
Programska oprema za terensko delo v lasti Anstarja je imela puščajočo bazo podatkov, ki je bila zavarovana s slabimi varnostnimi protokoli
Raziskovalci kiparske varnosti vpnMentor so med projektom spletnega skeniranja odkrili izpostavljene in v bistvu zaščitene s slabimi varnostnimi protokoli. Stalni projekt podjetja v bistvu voha po internetu in išče pristanišča. Ta vrata so v bistvu prehodi do zbirk podatkov, ki so običajno shranjene na strežnikih. Projekt je del pobude za lov in odkrivanje pristanišč, ki so slučajno oz nehote puščen odprt ali nezavarovan . Takšna vrata je mogoče enostavno izkoristiti za odpis ali zbiranje podatkov.
Takšna vrata so večkrat postala vir uhajanja zaradi nenamernega javnega razkritja občutljivih poslovnih podatkov. Poleg tega več podjetne skupine hekerjev pogosto skrbno prelistajte podatke in poiščite več potencialne poti za izkoriščanje . E-poštni ID-ji, telefonske številke in drugi osebni podatki se pogosto uporabljajo za izvajanje napadov, ki temeljijo na socialnem inženiringu. Navidezno overjena e-pošta in telefonski klici so bili v preteklosti že uporabljeni naj žrtve odpirajo e-pošto in zlonamerne priloge .
Utekli so občutljivi podatki o strankah: Naši etični hekerji so našli odprto bazo podatkov Fieldwork, ponudnika programske opreme SMB, ki vsebuje številke kreditnih kartic, naslove in celo kode alarmov in gesla končnih uporabnikov >> https://t.co/NluDR1wVLF #databreach pic.twitter.com/ecrYw6Gzht
- vpnMentor (@vpnmentor) 8. julij 2019
Programska oprema za terensko delo je v bistvu platforma, namenjena malim in srednje velikim podjetjem. Nadaljnji zoženi ciljni trg podjetja, ki je v lasti podjetja Anstar, so mala in srednja podjetja, ki ponujajo storitve na vratih strank. Mala in srednje velika podjetja, ki ponujajo storitve na domu, potrebujejo veliko informacij in orodij za sledenje, da zagotovijo optimalno upravljanje s strankami in upravljanje odnosov s strankami. Platforma terenskega dela večinoma temelji na oblaku. Rešitev ponuja podjetjem sledenje zaposlenih, ki opravljajo hišne klice. To pomaga pri vzpostavljanju in vzdrževanju evidenc CRM. Poleg tega platforma ponuja še več funkcij za servisiranje strank, vključno z razporejanjem, izdajanjem računov in plačilnimi sistemi.
Razkrita baza podatkov je vsebovala finančne in osebne podatke poslovnih strank podjetja Fieldwork Software. Mimogrede se zdi, da je pri 26 GB velikost baze podatkov precej majhna. Vendar naj bi baza podatkov vsebovala imena strank, naslove, telefonske številke, e-pošto in komunikacijo, poslano med uporabniki in strankami. Šokantno je bil to le del baze podatkov. Med ostalimi izpostavljenimi komponentami so bila tudi navodila za servisiranje zaposlenih in fotografije delovnih mest, ki so jih zaposleni posneli v evidenco.
Če to ni dovolj slabo, je zbirka podatkov vključevala tudi občutljive osebne podatke o fizičnih lokacijah strank. Informacije naj bi vključevale lokacije odjemalcev GPS, naslove IP, račune, podpise in celotne podatke o kreditni kartici - vključno s številko kartice, datumom veljavnosti in varnostno kodo CVV.
https://twitter.com/autumn_good_35/status/1148240266626605056
Medtem ko so bile informacije o strankah izpostavljene, je tudi lastna platforma podjetja Fieldwork Software ostala ranljiva. To je zato, ker je baza podatkov vključevala tudi povezave za samodejno prijavo, ki se uporabljajo za dostop do portala storitve Fieldwork. Z enostavnimi besedami so bili v zbirki podatkov prisotni tudi digitalni ključi zalednega sistema in administracije platforme. Ni treba posebej poudarjati, da bi zlonamerni ali podjetni heker brez večjih težav zlahka prodrl v osnovno platformo Fieldwork. Poleg tega lahko heker, ko je enkrat v notranjosti, zlahka moti platformo in povzroči, da izgubi ugled, je opozoril raziskovalce vpnMentor kibernetske varnosti,
' Dostop do portala je še posebej nevaren podatek. Slab igralec lahko ta dostop izkoristi ne samo z uporabo tam shranjenih podrobnih odjemalskih in skrbniških zapisov. Podjetje bi lahko tudi zaklenili iz računa, tako da bi vnesli spremembe v ozadje . '
Programska oprema za terensko delo hitro deluje in krši vtiče:
Raziskovalci vpnMentor kibernetske varnosti so kategorično ugotovili, da je Fieldwork Software deloval zelo hitro in odpravil kršitev varnosti. V bistvu je vpnMentor obstoj baze podatkov, ki pušča, razkril Fieldwork pred javnim razkritjem, slednje pa je uhajanje zaprlo v 20 minutah po prejemu e-pošte raziskovalcev.
@TeriRnNY
Hvala za vaše poročilo. Samo posodobite to težavo: vpnMentor je potrdil, da je ORVIBO zaščitil sistem zbirke podatkov, in posodobili so tudi povezani članek. Pomagajte ga posodobiti v https://t.co/8VeYYYwWnd . Hvala pic.twitter.com/gGo1uadG3M- ORVIBO (@ORVIBO) 4. julij 2019
Kljub temu pa je bila nerazkrita količina celotne platforme Fieldwork Software, njene baze odjemalcev in tudi njenih strank zelo izpostavljena tveganju prodora in izkoriščanja. Zaskrbljujoče je, da baza podatkov ni vsebovala le občutljivih digitalnih informacij, temveč tudi informacije o resničnih ali fizičnih lokacijah. Po mnenju raziskovalcev, ki so izvedli raziskavo, je baza podatkov vsebovala » termine za sestanke in navodila za dostop do zgradb, vključno s kodami alarmov, kodami zaklepanja, gesli in opisi, kje so bili ključi skriti . ' Takšni zapisi so bili sicer očiščeni po 30 dneh po ustvarjanju, a kljub temu bi hekerji s takimi informacijami lahko organizirali napade na fizične lokacije. Poznavanje lokacij ključev in dostopnih kod bi napadalcem omogočilo, da zlahka prodrejo v zaščito, ne da bi se zatekli k nasilju ali sili.
Hitro ukrepanje programske opreme Fieldwork je pohvalno, zlasti ker je obveščanje o kršitvah podatkov pogosto naletelo na ostre kritike, zanikanje in nasprotne obtožbe o sabotaži podjetij. Pogosteje si podjetja vzamejo svoj ljubek čas, da zapolnijo varnostne luknje. Tam so bili kar nekaj primerov pri čemer podjetja naravnost zanikala obstoj izpostavljene ali nezavarovane zbirke podatkov . Zato je veselo opazovati, da podjetja hitro poznajo situacijo in hitro ukrepajo.
Oznake Spletna varnost
