安全研究员杰里迈亚·福勒与网站星球研究团队一起发现了一个不受密码保护的数据库,其中包含822789条记录。该数据集包含有关卡车运输、运输公司和个别司机的详细信息。这些数据似乎与信用账户、贷款、还款和债务催收有关。这包括银行信息和税务ID号。许多税号与似乎是SSN(社会安全号码)的税号一致,并以明文形式存储。
经过进一步研究,有多个参考资料,包括佛罗里达州一家名为TransCredit的公司的内部电子邮件和用户名。我们立即向TransCredit发送了一份负责任的披露通知,不久之后,公众访问受到限制。这些记录似乎包含美国和加拿大的卡车和运输公司的数据。
根据他们的网站:TransCredit利用来自老龄供应商的大型网络的可靠数据来创建我们的报告。我们的DISC和Premier信用报告是最全面的行业特定信用报告,显示了独特的信用评分和支付趋势。我们提供可靠的信用报告,您可以快速访问这些报告,做出明智的决策
以下是我们发现的:
Total Records:822789
内部记录,其中包括客户的名字和姓氏、电子邮件、银行信息、税务ID号,似乎是SSN和EIN(雇主识别号)。
这些人可能面临利用内幕信息进行有针对性的社会工程攻击的风险。
关于收款、付款历史、新申请人、状态和进度的详细说明。对“TransCredit”和“Transcore”
内部密码和登录ID/用户名、帐号的引用。我们只能假设这些可以用来访问用户门户。(我们不会规避密码保护或出于道德原因尝试验证用户凭据)。
索引命名:
文件还显示数据存储的位置,以及网络如何从后端运行的蓝图。数据库面临勒索软件攻击的风险,该攻击会加密数据。
TransCredit如何工作
这个过程与美国个人的传统信用评分非常相似。信用评分是一个数字,试图确定一个人的信誉,以及此人支付账单的可能性。对于个人而言,该评分来自三大信用机构之一:益百利、TransUnion和Equifax。以一种非常相似的方式,TransCredit为运输业创建了一个“信用评分”,对托运人和经纪人进行评级,然后分配一个从0到99的风险评估分数,0表示高风险,99表示最低风险。一旦他们应用了评分系统,就可以了解托运人、司机和运输公司的风险。一些航空公司依赖评分系统,并取消评级较差的托运人的资格。本次披露的记录包含个人和公司的信息,以及他们是否逾期付款、未付款、破产、托收等公司和独立运营商的信息。
运输业面临的风险2
大流行加上司机和劳动力短缺给美国供应链带来了重大问题。尽管你可能没有意识到这一点,但运输业影响着每一位美国和加拿大消费者。当供应链中断,商品无法交付时,我们会看到人们在收银台或网上购物时感受到的价格飙升。目前的通胀飙升是供应限制满足了无法满足的强劲需求的结果。
运输公司面临的真正危险是欺诈和诈骗。该数据库包含的信息足以创建一系列具有高度针对性的欺诈或诈骗。掌握内幕信息的罪犯可能很容易获得信任,公司或个人在获得税务ID或其他数据的验证时,也不会那么可疑。这是一种社会工程,当罪犯验证信息并为经济利益创造信任地位时。这可以简单地说:“我打电话是关于账号1234和税号1234。我们需要你更新你的付款信息。”。
以下是影响运输业的几个最常见的骗局:
运输部(DOT)。犯罪分子可以声称存在违规行为,并要求付款,否则他们的驾照将被吊销。没有人希望触犯法律或放慢业务运营,因此他们通常会付出代价。
网络钓鱼在任何行业都是一个问题,但在这种情况下,每个帐户都有电子邮件地址、电话号码、个人姓名和其他潜在的敏感数据。这将允许一种更具针对性和危险性的方法,称为“鱼叉式网络钓鱼”。据估计,仅在2019年,企业就被骗走了17亿美元。针对网络钓鱼的唯一真正防御措施是对每笔交易的了解和尽职调查。教育员工不要向任何人提供信息,直到他们确认此人或企业是他们所说的人。
保理欺诈涉及运输公司发送发票预付款请求。这些可能是价格虚高,也可能是对一项永远不会提供的服务的完全欺诈。
维修发票诈骗。据估计,单辆卡车每年的维护和维修费用高达15000美元。对于许多运输公司来说,这是一大笔钱,也是一种例行快递。对于犯罪分子来说,维修发票是一个完美的目标,可以让他们措手不及地抓住一家公司,一旦付款,这笔钱几乎永远不会被退回。
运输业对诈骗并不陌生,但这种数据泄露可能为犯罪分子提供了一个信息金矿,然后可以用来针对他们的受害者。为了防止多种欺诈,公司唯一能做的就是验证每一个付款或信息请求。2020年,美国的运输服务市场估计为1.7万亿美元。信用检查有助于车队避免欺诈和经纪活动,这些欺诈和经纪活动只会导致拖欠付款,并在过程中收取数千美元。另一个问题是屡犯者以新的名字创办新企业。信用报告可以识别这些构成商业风险的公司和个人。下一步是什么?
尽管数据库和600k“信用报告”中有许多关于TransCredit的参考,但我们没有收到TransCredit任何人的回复,以验证数据是否确实属于他们。目前尚不清楚这些数据是由承包商或有权访问这些报告的第三方披露的,还是事实上这是TransCredit的内部数据库?还有一些登录记录,其中包含结构为[受电子邮件保护]的电子邮件,假设这些帐户可能是由运输公司创建的,用于检查合作伙伴、司机或其他行业联系人的分数和评级。该数据库提供了对评分过程的深入了解,以及对运输业信用评分的幕后观察。
我们强烈建议运输行业的任何人重新审视您的数据保护政策,与您的员工和团队讨论欺诈和欺诈意识。使用唯一和复杂的字符更改密码。监控交易和信用账户的可疑活动。
由于记录的敏感性和我们的伦理研究方法,我们不下载我们发现的数据。目前尚不清楚该数据库被暴露了多长时间,也不清楚还有谁获得了这些潜在的敏感记录的访问权,这些记录是任何有互联网连接的人都可以访问的。目前还不清楚公司、个人或当局是否按照佛罗里达州法律的要求收到了数据泄露的通知。我们的主要目标始终是数据保护,并确保公众尽快限制对这些敏感记录的访问。我们没有暗示TransCredit、其合作伙伴或附属公司有任何不当行为,我们正在强调我们的发现,以提高对网络安全教育的认识。