报告:Office Depot Europe在线公布客户数据

2021 3月3日,安全研究员JeremiahFowler和网站Planet研究团队发现了一个不受密码保护的Elasticsearch数据库,其中包含近100万条记录。暴露的记录被标记为“生产”,包含客户姓名、电话、实际地址等。监控和文件日志暴露了许多本不应公开访问的内部记录。

在大量的记录样本中,有多处提到了Office Depot。我们立即向Office Depot发送了一份负责任的信息披露,数据库在几个小时内就得到了保护。3月5日,我们收到了Office Depot Europe安全运营团队一名团队成员的回复,感谢我们的通知,并提高了对数据泄露的认识。

此次泄密可能为网络犯罪分子提供了足够的信息,使其以社会工程攻击的客户为目标,或试图访问这些账户。

数据库包含的内容:

总记录数:974050
公开的索引类型包括:监控kibana、
Apm度量、文件节拍、心跳日志。
数据集中有许多对“Officedepot”的引用,例如主机名、IP地址和路径,表明服务器是他们的。公开的数据包括*SSH登录信息、内部员工的仪表板和用户组日志,以及欧洲客户记录,其中大部分是德国客户记录。
*(SSH支持与服务器或远程机器的安全连接)
记录被标记为“生产”,包含客户PII,如姓名、电话号码、物理地址(家庭和/或办公室)、@members。易趣地址和散列密码。泄露还暴露了市场日志和订单历史,暴露了客户过去的购买和成本。该数据库面临勒索软件或其他恶意攻击的风险。提供中间件或构建信息,以便为漏洞提供辅助路径。(中间件连接第三方软件应用程序,过时或未修补的中间件可能成为进入网络的后门)。更多的技术记录包括IP地址、端口、路径和存储信息,网络罪犯可以利用这些信息深入网络。

这些记录公开了有关网络内部工作的详细信息。此屏幕截图显示了“操作系统故障”,使潜在的攻击者清楚地了解如何利用已知漏洞或其他入侵方法。

隐私影响

任何不必要的数据泄漏都会对客户和暴露的内部网络构成潜在风险。坏人窃取信息并将其用于欺诈目的的可能性总是存在的。任何有互联网连接的人都可以访问这些记录。

注:我们从不下载或提取我们找到的数据,只拍摄几张截图以进行验证。我们对任何潜在的敏感信息进行修订,以保护用户或客户的隐私。

所有包含PII的记录均基于欧盟,许多记录引用了德国。在欧盟,有非常明确的数据保护规则和财务处罚。2018年5月25日,欧盟通过了《通用数据保护条例》(GDPR)。这一变化使数据保护监管机构能够处以高额罚款,并制定严格的报告准则。最高罚款金额最高为2000万欧元或企业全球年营业额的4%,以较高者为准。欧盟的数据暴露必须在72小时内报告给相关部门。

最佳做法和风险

除了建议正确配置您拥有的任何服务器以限制对其的访问之外,我们还建议对所有数据进行加密。公司和组织继续以明文形式收集和存储敏感数据,或使用过时的加密算法。最大的错误之一是对记录进行加密,但将加密密钥包含在同一数据库中。这将允许任何人只需解锁数据,就可以完全访问这些记录。

补丁管理和更新对于管理漏洞至关重要。安全环境总是在变化,确保应用程序和中间件是最新的是减轻这些风险的最佳方法之一。过时的软件版本可能会产生过时的漏洞。

永远不要低估监控和错误日志的价值。日志文件的真正风险在于,它们可以公开小数据块,这些数据块共同充当拼图块,以创建网络的更大画面。这可能包括有关中间件的详细信息,这些中间件可以作为恶意软件、操作系统甚至云存储帐户的第二途径。一旦网络罪犯或国家黑客了解网络或基础设施是如何建立和运行的,就很容易启动攻击计划。我们并不是暗示Office Depot Europe或其客户是这种攻击的目标,而是强调了如何利用这种暴露的潜在风险。

在本例中,有许多内部记录本不应公开披露。当个人识别信息(PII)被暴露时,它简化了针对这些个人的能力。一旦网络罪犯掌握了这些信息,他们就可以直接针对客户或员工,并参考特定于账户的信息。举个例子,假设一个罪犯打电话给客户,他们确认了最近的订单。接下来罪犯说你的账单信息有问题,你能给我提供你购买的信用卡号码吗?客户没有理由对此表示怀疑,因为打电话的人可以验证只有零售商知道的真实细节。这就是社会工程攻击的工作原理,也是当今最常见的欺诈形式之一。

实体店到电子商务

Office Depot Europe是美国公司Office Depot Inc.的欧洲业务。2017年1月,奥雷利乌斯集团收购了Office Depot的欧洲业务。Office Depot Europe总部位于荷兰文洛,通过其两个主要品牌Office Depot和Viking在13个国家运营,在法国和瑞典设有零售店。Office Depot Europe以Viking品牌在网上直接向中小型企业和个人销售其产品。

似乎其中许多记录都与Office Depot的eBay商店有关。有客户姓名、电话号码、实际地址、@members。易趣网。com帐户和哈希密码。这包括B2C(企业对客户)或B2B(企业对企业)、在线客户编号和后端客户编号等客户类型。

Office Depot Europe以快速专业的方式保护数据并限制公众访问。目前尚不清楚这些数据被暴露了多长时间,也不清楚还有谁可以访问这些记录。根据Binary Edge IoT搜索引擎,首次检测到暴露的端口:2/22/21,上午10:31。这表明数据库可能被错误配置为允许公众访问长达10天。数据没有被自动勒索软件或其他针对无密码保护数据库的恶意脚本破坏,这简直是奇迹。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注