在本文中,客户数据泄露谁受到了影响?谁泄露了数据?对Credinet/Sistecredito客户的影响数据泄露对Credinet/Sistecredito的影响保护您的数据如何以及为什么我们报告数据泄露网站Planet是什么?
公司名称和地点:Credinet。总部位于哥伦比亚的co/Sistecredito大小:约100MB的数据,总计143876条记录S
数据存储格式:ElasticSearch
受影响国家:哥伦比亚网站Planet research团队可以揭示一个受重大数据泄露影响的Credinet,这是哥伦比亚金融公司Sistecredito拥有的一个信贷平台。
Sistecredito为希望立即购买商品并稍后在全国不同附属机构付款的客户提供分期付款融资选项。Credinet平台被希望让客户注册Sistecredito服务的零售店所使用,以资助购买在店内销售的商品。
Credinet/Sistecredito在未加密且不受密码保护的Elasticsearch数据库中存储了数十万条记录。该服务器包含敏感形式的数据,黑客可以利用这些数据将数千人置于网络犯罪的严重风险中。
泄漏的客户数据Credinet/Sistecredito在配置错误的Elasticsearch服务器上存储了各种形式的数据,该服务器在使用时没有任何密码保护。结果,Credinet平台泄露了总计100MB的数据,相当于143876条记录。
影响Credinet/Sistecredito客户的暴露数据包括:
Customer PII:包含姓名、姓氏、电子邮件地址、手机号码以及财务数据的日志。
JWT代币:大约3000条泄露的记录中包含“JWT代币”这些可以用来生成“访问令牌”,作为Credinet用户进行身份验证,从而让黑客进入客户帐户。大多数包含JWT令牌的泄露文件也包含客户电子邮件地址。
密码重置链接:属于客户帐户。
服务器上直接影响Credinet平台的泄漏信息包括:
数据库凭据:包括Credinet SQL数据库的明文密码
App secrets:一个日志包含有关Credinet平台数据存储的各种应用机密。
Credinet/Sistecredito暴露了可能被用来严重伤害Credinet/Sistecredito及其客户的敏感客户信息。数据库中包含的
密码重置链接让我们了解了这次违规的影响。这些可以用来让黑客访问数千个用户帐户。
A黑客可以访问数据库中包含的客户电子邮件地址列表,使用这些详细信息(以及重置链接)重置相关用户帐户上的密码。因此,黑客可以利用这些链接重置Credinet数据库中3000多个用户帐户中的任何一个。
PII、重置链接和JWT代币的普及率是受影响客户的最低估计数,略高于3000个用户,尽管这个数字可能要大得多。
下面可以看到泄露的JWT令牌、电子邮件、密码重置链接和其他形式的PII的证据。
但Credinet/Sistecredito的数据泄露很可能直接影响公司自身的业务,导致未来更大的客户数据泄露。这是因为在服务器上发现了另外两种形式的数据。其中一个日志包含“应用程序机密”,提供了有关该平台数据存储的更多详细信息。
研究团队还发现了2个数据库密码,可能会授予黑客额外的访问权限和特权,包括对Credinet SQL数据库的完全控制。出于道德原因,我们的团队没有测试这些密码。
下面可以看到泄露的“应用程序机密”和数据库密码的证据。
Credinet数据库的安全措施不充分意味着该平台(Sistecredito)的所有者可能会受到哥伦比亚工商监督管理局(SIC)的审查,该局调查哥伦比亚企业滥用数据或数据保护措施差劣的任何案件。
如果Credinet/Sistecredito被发现有犯罪意图滥用客户数据,Credinet/Sistecredito将违反哥伦比亚刑法,这将使本案面临另一系列制裁和惩罚。不过,根据目前的证据,这样的事件似乎不太可能发生。
谁受到影响
Sistecredito及其Credinet平台位于哥伦比亚,据信该公司没有在哥伦比亚边境以外开展任何业务。对Credinet/Sistecredito公司注册的分析证实,该公司位于哥伦比亚,而Alexa交通分析显示,该公司只与哥伦比亚公民打交道。
谁泄露了数据
Sistecredito使用Credinet平台开展业务,并允许哥伦比亚各地的商店向用户注册其金融服务。
Sistecredito总部位于哥伦比亚安蒂奥基亚省的恩维加多镇。Sistecredito是一家大型企业,目前拥有约300名员工,年销售额为1578万美元(USD)。
公开数据库的内容在整个过程中无数次引用了Credinet/Sistecredito,甚至包含指向Sistecredito网站和Credinet平台的链接。因此,很明显,该数据库属于Credinet/Sistecredito。
对Credinet/Sistecredito客户的影响
只有Credinet/Sistecredito可以知道数据库是否被不道德的黑客访问,但是,数据库打开的时间长度确实会使平台的用户面临严重的网络犯罪风险。
身份盗窃和欺诈
泄露的个人信息,如客户姓名、姓氏、电子邮件地址、手机号码和财务数据,可用于协助其他几个平台的欺诈活动。网络罪犯可以利用这些数据伪装成受害者并实施欺诈。
诈骗、网络钓鱼和恶意软件
电话号码和电子邮件地址等联系信息可用于针对诈骗、网络钓鱼和恶意软件用户。
黑客可以利用客户的个人信息,包括他们的财务记录,与用户建立信任,说服他们交出资金,交出额外的PII,或点击将恶意软件下载到客户计算机上的链接。
黑客可以冒充Credinet或Sistecredito的代表。如果黑客通过电子邮件联系用户,他们可能会试图强迫受害者点击链接。这是一次网络钓鱼攻击。一旦受害者点击链接,恶意软件就可能被下载到用户的计算机上,从而帮助黑客进行进一步的犯罪活动。
账户接管
密码重置链接和JWT代币可用于接管客户账户。
JWT代币可用于验证自己是否为Credinet账户持有人。黑客还可以使用密码重置链接重置任何Credinet帐户上的密码。
服务器泄露的用户列表和电子邮件地址列表可用于针对这些攻击的受害者。一旦黑客访问了一个帐户,他们可以看到额外的PII,并可以进行其他欺诈活动。
对Credinet/Sistecredito的影响
Credinet,以及平台所有者Sistecredito,似乎会因这一违约行为而遭受多笔经济和声誉损失。
数据隐私侵权行为
工商监管局(SIC)是哥伦比亚的数据保护机构,可能会调查Credinet/Sistecredito的数据行为。
根据哥伦比亚第1581号法律,数据控制器和处理器必须维护有关客户数据的严格安全措施和标准。这禁止在未经客户同意的情况下修改或披露客户的数据,无论是否有意。
SIC可以对违反1581年法律的犯罪者处以最高2000倍哥伦比亚最低法定工资的罚款,以及哥伦比亚更广泛的数据保护立法。
《哥伦比亚刑法典》将任何数据违规视为严重犯罪,如果一个实体未经授权,故意泄露客户数据,以谋取个人或第三方利益。
任何违规行为都可能导致责任人被处以哥伦比亚最低法定工资100至1000倍的罚款,以及48至96个月的监禁。不过,目前没有证据表明Credinet/Sistecredito故意泄露客户数据。
除了这些费用,受影响的用户甚至有权从Credinet/Sistecredito获得赔偿。任何寻求赔偿的法律行为都可能对受影响方产生影响,从而对公司造成进一步的财务损害。
业务损失
此类事件造成的声誉损害是有形的。客户用他们的个人数据信任公司,当一家公司泄露这些数据时,信任的元素就被破坏了。无论是否有意泄露数据,都侵犯了受害者的人权。Credinet/Sistecredito将客户置于风险之中,这对该品牌的形象造成了不良影响。
不良宣传可能会导致一些消费者在未来避免使用Credinet和Sistecredito,而现有客户如果感到不安全或担心数据安全,可能会终止与该公司的关系。
商业间谍
Credinet/Sistecredito面临严重的商业间谍风险,其开放的Elasticsearch服务器上包含大量客户数据。
竞争对手的公司可以针对Credinet数据库的客户名单提供优惠,甚至可以根据其他形式的PII定制他们的方法。随着用户迁移到竞争对手手中,这可能会让Credinet平台和Sistecredito的金融服务失去业务。其他竞争者甚至可以冒充