Jonathan Greig Medarbejderskribent
Jonathan Greig er journalist baseret i New York City.
Fuld bio den 11. februar 2022 | Emne: Sikkerhed
Digital planlægningsplatform FlexBooker er blevet beskyldt for at afsløre følsomme data fra millioner af kunder, ifølge sikkerhedsforskere hos vpnMentor.
Forskerne sagde, at det Ohio-baserede teknologiselskab brugte en AWS S3-spand til at gemme data, men implementerede ingen sikkerhedsforanstaltninger, hvilket efterlod indholdet fuldstændigt eksponeret og let tilgængeligt for alle med en webbrowser.
De 19 millioner afslørede filer omfattede fulde navne, e-mailadresser, telefonnumre og aftaledetaljer.
FlexBooker reagerede ikke på anmodninger om kommentarer fra ZDNet men vpnMentor sagde, at de kontaktede virksomheden og Amazon om problemet.
“Vi kontaktede dem i januar, hvortil de sendte, hvad der så ud til at være et automatisk svar om lækagen, der påvirkede dem i december. Vi forsøgte at forklare, at det var et nyt brud, men hørte ikke tilbage,” sagde en talsmand for vpnMentor . “Det er grunden til, at vi besluttede at kontakte AWS direkte (som Flexbooker skrev på deres side, arbejdede de sammen med Amazon), og kort efter var spanden sikret (Amazon informerede sandsynligvis Flexbooker, da Amazon ikke skulle gøre det selv). “
I januar undskyldte FlexBooker for et databrud, der involverede følsomme oplysninger fra 3,7 millioner brugere. På det tidspunkt fortalte virksomheden til ZDNet, at en del af dets kundedatabase var blevet brudt, efter dets AWS-servere blev kompromitteret den 23. december. FlexBooker sagde, at deres “systemdatalager også blev tilgået og downloadet” som en del af angrebet.
De tilføjede, at de arbejdede sammen med Amazon for at gendanne en sikkerhedskopi, og de var i stand til at bringe driften tilbage på omkring 12 timer.
“Vi sendte en meddelelse til alle berørte parter og har arbejdet med Amazon Web Services, vores hostingudbyder, for at sikre, at vores konti er gensikret,” sagde en talsmand. “Vi beklager dybt ulejligheden forårsaget af dette problem.”
Forskere hos vpnMentor sagde, at de ikke var opmærksomme på dette databrud, da de scannede internettet for potentielle sårbarheder i december. Inden den 23. januar bekræftede vpnMentor det seneste problem og kontaktede FlexBooker den 25. januar. Amazon blev kontaktet samme dag, og den 26. januar havde Amazon løst problemet.
“Flexbookers forkert konfigurerede AWS-konto indeholdt over 19 millioner HTML-filer, som afslørede, hvad der så ud til at være automatiserede e-mails sendt via FlexBookers platform til brugere. Dette betyder, at op til 19 millioner mennesker potentielt blev afsløret, afhængigt af hvor mange mennesker, der foretog flere bookinger på en hjemmeside ved hjælp af Flexbooker. “, sagde forskerne i rapporten.
“Hver e-mail så ud til at være en bekræftelsesmeddelelse for bookinger foretaget via platformen og afslørede både FlexBooker-kontoindehaveren og den eller de personer, der foretog en reservation. For eksempel brugte et VVS-forsyningsfirma FlexBooker til at planlægge konsultationer mellem medarbejdere og kunder. I dette tilfælde blev PII-data for begge personer afsløret.”
En af aftalerne afsløret af FlexBookers platform.
vpnMentor
Lækagerne er alarmerende, fordi de inkluderede links med unikke koder, der kunne bruges til at oprette aflysningslinks, redigere links og se aftaledetaljerne, der var skjult i e-mails.
S3-bøtten var også live, da vpnMentor opdagede den, hvilket betyder, at den konstant blev opdateret med ny information, hvilket afslørede flere og flere mennesker hver dag.
vpnMentor inkluderede skærmbilleder af aftalerne, som spændte fra COVID-19-test til aflivning af kæledyr og børnepasningsaftaler. Babysitter-e-mails afslørede også børns følsomme oplysninger.
“Få dage efter bruddet blev sikret, observerede vi hackere på det mørke web igen, der solgte private data, der tilsyneladende var ejet af Flexbooker. Det er ikke klart, om dette var fra det tidligere brud, det vores team opdagede, eller en blanding af begge. Det viser dog risikoen for virksomheder, der ikke sikrer deres brugeres data tilstrækkeligt, og hvor hurtigt hackere kan få stjålet data ud i det fri,” forklarede forskerne.
I januar sagde den australske sikkerhedsekspert Troy Hunt, der driver Have I Been Pwned -webstedet, der sporer overtrådte oplysninger, sagde , at den første mængde stjålne data inkluderede hashes til adgangskoder og delvise kreditkortoplysninger for nogle konti. Hunt tilføjede, at dataene “blev fundet ved at blive handlet aktivt på et populært hackingforum.”
En FlexBooker-talsmand bekræftede Hunts rapport og fortalte ZDNet at de sidste 3 cifre af kortnumre var inkluderet i bruddet, men ikke fulde kortoplysninger, udløbsdato eller CVV.
Sikkerhed
Flere virksomheder bruger multifaktorgodkendelse. Hackere forsøger at slå det Microsoft: Denne Mac-malware bliver smartere og farligere Sådan finder og fjerner du spyware fra din telefon Den bedste antivirussoftware og -apps: Hold din pc, telefon, tablet sikker Hvordan teknologi er et våben i moderne misbrug i hjemmet Big Data Analytics | Sikkerheds-tv | Datastyring | CXO | Datacentre