در میان سایر داده ها ، شرکت مؤسسات امنیت سایبری در معرض دید قرار گرفته است

تیم تحقیقاتی امنیت سایبری vpnMentor ، به سرپرستی Noam Rotem و Ran Locar ، یک سطل نا امن AWS S3 را با بیش از 5.5 میلیون پرونده و بیش از 343 GB در اندازه کشف کرده اند که هنوز ناشناخته مانده است.

Timeline of Discovery and Reaction Owner

بعضی اوقات میزان نقض داده ها و صاحب اطلاعات آشکار است و این مسئله به سرعت حل می شود. اما این اوقات نادر است. بیشتر اوقات ، ما به روزهای تحقیق نیاز داریم تا بدانیم چه چیزی در معرض خطر است یا چه کسی اطلاعات را در معرض نمایش قرار داده است.

شناخت یک نقض و تأثیر احتمالی آن ، دقت و زمان زیادی را می طلبد. ما برای انتشار گزارش های دقیق و قابل اعتماد بسیار تلاش می کنیم ، و اطمینان می دهیم که هر کسی که آنها را می خواند ، جدی بودن آنها را می فهمد.

برخی از طرف های تحت تأثیر این حقایق را انکار می کنند ، به تحقیقات ما اعتراض نمی کنند و یا تأثیر آن را تحت تأثیر قرار نمی دهند. بنابراین ، ما باید کاملاً دقیق باشیم و مطمئن شویم که هرچه پیدا کردیم صحیح و درست است.

در این مورد ، پس از چند روز تحقیق ، ما این احتمال را شناسایی کردیم که داده متعلق به InMotionNow باشد و متعاقباً با آن تماس بگیریم شرکت با یافته های ما . اگرچه اکنون سطل نا امن S3 بسته نشده است ، اما هیچ کس از این شرکت تاکنون به تلاش های ما برای دستیابی به این هدف پاسخ نداد ، بنابراین ما قادر به تأیید مالکیت نیستیم.

• تاریخ کشف: 20 دسامبر 2019
• تاریخ InMotionNow (صاحب اطلاعات در نظر گرفته شده) به این موضوع اطلاع داد: 26 دسامبر 2019
• تاریخ آمازون اطلاع داد: 29 دسامبر 2019 ، 7 ژانویه سال 2020 و 30 ژانویه سال 2020
• سطل خرما بسته شد: 17 فوریه 2020
• تاریخ شرکت های دیگر اعلام شده: 16 مارس 2020

پروفایل های شرکت

در این مورد خاص ، تیم تحقیق ما قادر نبود بدون سایه تردید کسی را بررسی کند. دقیقاً ، اطلاعات در معرض اطلاعات را در اختیار دارد. به همین دلیل ، ما تصمیم گرفته ایم که بسیار مهم است که به مردم اطلاع دهیم که داده های آنها و کدام داده ها به دلیل عدم رویه های استاندارد امنیت سایبری آسیب پذیر شده اند.

تحقیقات ما ما را به این فرض رساند كه InMotionNow صاحب داده ها است. ما به آنها رسیدیم و هیچ کس پاسخ نداد ، و هیچ نشان مشخصی در سطل در معرض آن وجود نداشت. با این حساب ، ما را شامل می کنیم و کلیه شرکت هایی را که داده های آنها در سطل پیدا شده است . اگر این امر در واقع به InMotionNow تعلق داشته باشد ، آنها می دانند چه کسی اطلاعات را افشا می کند ، و اگر اینگونه نباشد ، شرکت ها می توانند خودشان را بررسی کنند. تیم ما در 16 مارس 2020 نیز به این شرکت ها رسیده است.

InMotionNow یک شرکت نرم افزاری مدیریت پروژه است که از سال 1999 شروع به کار کرد و مقر آن در نزدیکی رالی ، کارولینای شمالی است. آنها دارای استانداردهای امنیتی سازگار با FDA ، با هدف عمودی مشتریان هدف خود هستند.

در اینجا یک لیست غیر جامع از شرکت هایی وجود دارد که مواد بازاریابی آنها در سطل S3 نا امن یافت شده است:

شرکت سایبر امنیت ISC2.org داده های متعددی نیز در این نقض درج شده بود.

شرکت بیمه Brotherhood Mutual ، که در درجه اول به مؤسسات مذهبی در سراسر ایالات متحده خدمت می کند.

دانشگاه هایی مانند ایالت کنت در اوهایو و Purdue در ایندیانا [ ، همچنین مجموعه ای از پرونده ها و اطلاعات موجود در سطل S3 وجود دارد.

هتل و کازینو Potawatomi در میلواکی ، ویسکانسین.

شرکت الکترونیکی مصرفی ، زاگ (ZAGG) ، که طراحی می کند و لوازم جانبی تلفن همراه تولید می کند.

سازمان غیرانتفاعی ، موسسه آزادی انجمن ، که آزادی های اصلاح اول ایالات متحده را برای همه فراهم می کند.

سازمان هایی که تحت تأثیر انواع مقررات صنعت بهداشت قرار گرفتند ، مهم نبودند. د آنها شامل می شوند ، اما محدود به این موارد نیستند:

ژنتیک بی شمار (MYGN) – شرکت آزمایش ژنتیک و بیماری.

Health Performance – ارائه دهنده تجهیزات و تجهیزات فیزیوتراپی.

نمونه ای از داده ها مدخل ها

در اینجا لیستی از داده هایی که تیم تحقیق ما یافته و توانسته است شناسایی کند:

Data Impacted

• گزارش های تحلیلی
• ارائه های داخلی ، از جمله:
  • استراتژی شرکت
  • مبلغ درآمد سالانه [19659030] تعداد مشتری فعلی
• مطالب آموزشی
• درخواست مشتری داخلی ، از جمله:
  • نام درخواست کننده
  • نام پروژه و جزئیات
• استراتژی های بازاریابی و وثیقه
• برچسب های محصول
• هوش تجاری
• لیست های پستی با PII مربوطه

لیست اهدا کنندگان دانشگاه ، از جمله:

• نام کامل
• ایمیل های شخصی و کاری
• شماره های تلفن مستقیم
• ] اعتبارنامه (د gree، school، year)
• مبلغ اهدا شده

کشورهایی که تحت تأثیر قرار گرفته

این کشورهایی هستند که در ما مشتریانی را یافتیم که در نقض داده ها گنجانده شده اند ، اما ما پرونده ای را باز نکردیم و این امکان وجود دارد که تعداد بیشتری مشتری در کشورهای اضافی وجود داشته باشد که تحت تأثیر قرار گرفتند.

• فرانسه
• ایالات متحده آمریکا

تأثیر نقض اطلاعات

اطلاعات محرمانه

موارد حاوی این نقض اطلاعات اغلب اطلاعات خصوصی و / یا محرمانه را در نگه می دارد. وعده تأسیسات و سیستمهای ایمن ، نقاط فروش اصلی مشتریانی مانند ارتش و زنجیره تأمین آن است – و نقض آن ضمانت نه تنها عدم موفقیت در خدمات است ، بلکه بالقوه خطر امنیتی را در کنار آن قرار می دهد.

سرقت هویت

دانستن نام کامل ، تولد ، و ، بله ، حتی سابقه حبس یک فرد می تواند اطلاعات کافی را به مجرمان برای سرقت هویت آن شخص فراهم کند.

سرقت هویت همیشه به معنای این نیست که دزد ادعا می کنند که آنها یک فرد خاص در زندگی واقعی هستند؛ همچنین به آنها اجازه می دهد تا درگیر تقلب در اعتبار شوند ، حساب بانکی خود را تخلیه کنند و در برابر کلاهبرداری علیه خانواده ، دوستان و سایر همدستان قربانی سرقت هویت شرکت کنند.

نقض حق چاپ

هرکسی که دسترسی داشته باشد تعداد بیشماری از اسناد دارای حق نسخه برداری موجود در این سطل S3 می تواند به راحتی آنها را بارگیری کند بدون اینکه هزینه مطالب آنها را بپردازد و همچنین آنها را به طور غیرقانونی بارگیری در یک شبکه تورنت ، به صورت رایگان در دسترس همه.

Fraud

ترکیبی از مواد مارک تجاری و لیست های تماس باعث می شود که هر کسی که دارای انگیزه های مخرب است ، مرتکب تقلب شود. می توان صدور گواهینامه های کاذب از دانشگاه ها ، و توجه به دانش خودی را برای به دست آوردن اعتبار کاذب ممکن است.

جاسوسی شرکت ها

کامل ورود به سیستم های رمزگذاری نشده برای مدیران به نظر می رسد که در این موجود است نقض . از دست دادن کنترل این دسترسی می تواند منجر به گرفتن مجرمان سایبری در حساب های و به دست آوردن اطلاعات غیر محرمانه در مورد فروشگاه ها ، کارمندان و مشتریان شود.

مشاوره از متخصصان

شرکتی که این سطل را در اختیار دارد می تواند. اگر اقدامات امنیتی اساسی برای محافظت از سطل S3 را انجام داده باشد ، به راحتی از این نقض داده خودداری کرده اید. اینها شامل می شوند ، اما به این موارد محدود نمی شوند:

1. سرورهای خود را ایمن کنید.
2. قوانین دسترسی مناسب را اجرا کنید.
3. هرگز سیستمی را که نیاز به تأیید اعتبار نداشته باشد ، روی اینترنت نگذارید.

هر شرکتی می تواند آنرا تکرار کند. همان مراحل ، بدون توجه به اندازه آن برای راهنمایی بیشتر درباره نحوه محافظت از مشاغل خود ، راهنمای ما برای تأمین امنیت وب سایت و پایگاه داده آنلاین از هکرها را بررسی کنید.

تهیه یک سطل باز S3

] لازم به ذکر است که سطلهای S3 با باز و در معرض دید عموم عیب و نقص AWS نیستند. آنها معمولاً نتیجه خطا توسط صاحب سطل هستند. آمازون دستورالعمل های مفصلی را در اختیار کاربران AWS قرار می دهد تا به آنها کمک کند تا سطل های S3 را ایمن سازند و آنها را در خصوصی نگه دارند.

در مورد این سطل S3 نا امن ، سریعترین راه برای رفع این خطا این است:

• سطل را تهیه کنید. پروتکل های احراز هویت خصوصی و اضافه کردن.
• بهترین روش های دسترسی و احراز هویت AWS را دنبال کنید.
• لایه های محافظ بیشتری را به سطل S3 اضافه کنید تا محدودیت های بیشتری را برای افرادی که می توانند از هر نقطه ورودی به آن دسترسی داشته باشند محدود کنید.

نقض داده

اگر فکر می کنید ممکن است اطلاعات شخصی یا شرکتی خود را در مورد این سطل S3 نا امن داشته باشید – و نگران این هستید که چگونه این نقض می تواند روی شما یا سایر آسیب پذیری های داده ها تأثیر بگذارد ، راهنمای کامل ما برای حفظ حریم خصوصی آنلاین را بخوانید برای کمک به بهتر محافظت در اینترنت در آینده. این روش های مختلفی را برای شما نشان می دهد که مجرمان سایبری کاربران اینترنت را هدف قرار می دهند و مراحلی را که می توانید برای ایمن ماندن بردارید ، انجام می دهد.

همچنین می توانید از VPN برای مخفی کردن داده های جمع آوری شده توسط صاحب این سطل استفاده کنید. یک VPN آدرس IP و کشور محل اقامت شما را نقاب می کند ، حتی اگر اطلاعات شما در معرض دید شما باشد ، یک لایه محافظت اضافه نیز به شما می دهیم.

چگونه و چرا ما نقض آن را کشف کردیم

تیم تحقیقاتی vpnMentor سطل تنظیم شده کشف شده را کشف کرد. به عنوان بخشی از یک پروژه نقشه برداری گسترده وب . محققان ما از اسکن پورت برای بررسی بلوک های خاص IP استفاده می کنند و سوراخ های باز سیستم را برای نقاط ضعف آزمایش می کنند. آنها هر سوراخ را برای فاش شدن داده ها بررسی می کنند.

وقتی تخلف داده ها را می یابند ، از تکنیک های تخصصی برای تأیید هویت صاحب سطل S3 استفاده می کنند . سپس شرکت را نسبت به نقض هشدار می دهیم. در صورت امکان ، ما به کسانی که تحت تأثیر این نقض قرار گرفته اند نیز هشدار می دهیم.

ما توانستیم به سطل S3 دسترسی پیدا کنیم زیرا کاملاً نا امن و بدون رمزگذاری بود . با استفاده از یک مرورگر وب ، این تیم می تواند به کلیه پرونده های میزبانی شده در سطل دسترسی داشته باشد.

هدف از این پروژه نقشه برداری وب کمک به ایمن تر کردن اینترنت برای همه کاربران است. به عنوان هکرهای اخلاقی ، ما هنگام کشف اشکالات در امنیت آنلاین آنها به عنوان یک شرکت اطلاع رسانی خواهیم کرد.

با این حال ، این اخلاق نیز به این معنی است که ما نیز مسئولیت وظیفه خود را برعهده داریم. . این امر به ویژه در مورد نقض داده های این شرکت صادق است که حاوی چنین اطلاعات عظیم و خصوصی است.

درباره ما و گزارش های قبلی

vpnMentor بزرگترین وب سایت بررسی VPN در جهان است. آزمایشگاه تحقیقاتی ما یک سرویس طرفدار پاداش است که می کوشد در حالی که به سازمان های مربوط به محافظت از داده های کاربران خود آموزش می دهد ، به جامعه آنلاین کمک کند تا از خود در برابر تهدیدات سایبری دفاع کند. مشتریان آن همچنین اخیراً فاش کردیم که یک شرکت متعلق به هتل های بزرگ هتل های زنجیره ای AccorHotels بیش از 1 ترابایت از اطلاعات مهمانان را در معرض دید شما قرار داده است. همچنین ممکن است بخواهید گزارش نشت VPN ما و گزارش آمار حفظ حریم خصوصی داده ها را بخوانید.