هزاران – فیلترشکن آسان ۱ دقیقه ای

به رهبری نوام روتم و ران لوکار، تیم تحقیقاتی vpnMentor اخیراً کشف کردند که غول صوتی مصرف‌کننده Sennheiser به طور تصادفی یک حساب ابری قدیمی پر از داده‌های مشتری را در فضای باز گذاشته است.

در حالی که به نظر می‌رسد حساب مورد نظر غیر فعال بوده است. از سال 2018، بیش از 28000 مشتری Sennheiser افشا شدند و اطلاعات خصوصی حساس به بیرون درز کرد. این نشان دهنده نظارت گسترده یک شرکت بزرگ، چند ملیتی و مشهور است. ]اندازه داده در گیگابایت 55 گیگابایت مشکوک شماره. از فایل‌ها 407000+ شماره. افراد در معرض 28000+ محدوده تاریخ/خط زمان 15 دسامبر – 18 مارس محدوده جغرافیایی در سرتاسر جهان[7]داده‌های ارائه شده در سراسر جهان[1965906 پشتیبان گیری از پایگاه داده تاثیر بالقوه سرقت هویت. تقلب مالیاتی؛ تقلب دربیمه؛ کلاهبرداری پستی؛ تصاحب حساب بانکی؛ کلاهبرداری از کارت بدهی یا اعتباری؛ کلاهبرداری وام مسکن فرمت ذخیره داده پیکربندی نادرست سطل AWS S3

نمایه شرکت

Sennheiser در شهر Wedemark آلمان در سال 1945 توسط Dr.Ritznhe تأسیس شد. تا به امروز، این یک کسب و کار خصوصی و خانوادگی است که در Wedemark مستقر است.

این شرکت تجهیزات صوتی با کیفیت بالا را برای استفاده شخصی و تجاری، از جمله میکروفون، هدفون، تجهیزات ضبط، و هدست های هوانوردی تولید می کند.

. ]سنهایزر در بیش از 50 کشور در سراسر جهان فعالیت دارد، با تقریباً 2800 کارمند و گردش مالی سالانه 756.7 میلیون یورو در سال 2019. فروشندگان تماس گرفتند: 28 اکتبر 2021

تاریخ پاسخ: 1 نوامبر 2021

تاریخ اقدام: 1st نوامبر 1breach داده‌های مالک زمان و 1 نوامبر 19، داده‌های مربوط به زمان 2059 واضح است و مشکل به سرعت حل می شود. اما این مواقع نادر است. ما اغلب قبل از اینکه بفهمیم چه چیزی در خطر است یا چه کسی داده‌ها را در معرض خطر قرار می‌دهد، به روزها تحقیق نیاز داریم.

درک یک نقض و تأثیر بالقوه آن نیازمند توجه دقیق و زمان است. ما سخت کار می‌کنیم تا گزارش‌های دقیق و قابل اعتمادی را منتشر کنیم، و اطمینان حاصل کنیم که همه کسانی که آنها را می‌خوانند، جدیت آنها را درک می‌کنند. بنابراین، ما باید دقیق باشیم و مطمئن شویم همه چیزهایی که می‌یابیم درست و دقیق است.

در این مورد، Sennheiser از سطل S3 خدمات وب آمازون (AWS) برای ذخیره داده‌های جمع‌آوری‌شده از عموم استفاده می‌کرد. از طریق فعالیت های مختلف خود سطل های S3 یک راه حل محبوب ذخیره سازی ابری سازمانی هستند. با این حال، این به کاربران بستگی دارد که تنظیمات امنیتی را به درستی تعریف کنند تا از داده های ذخیره شده در آن محافظت کنند.

Sennheiser نتوانست هیچ گونه تدابیر امنیتی را در سطل S3 خود اجرا کند، و محتویات را کاملاً در معرض دید قرار می دهد و به راحتی برای هر کسی که یک مرورگر وب دارد قابل دسترسی است. و مهارت‌های فنی.

ما به‌سرعت Sennheiser را به‌عنوان مالک داده‌ها به دلیل چندین عامل، از جمله فایل‌هایی با نام شرکت و کارکنان Sennheiser که در زیرساخت‌های سطل فهرست شده‌اند، شناسایی کردیم. نقض، ما با شرکت تماس گرفتیم تا به آن اطلاع دهیم و کمک خود را ارائه دهیم. سنهایزر چند روز بعد پاسخ داد و از ما خواست جزئیات یافته های خود را ارائه دهیم. ما نشانی اینترنتی منتهی به سرور ناامن را فاش کردیم و جزئیات بیشتری درباره محتوای آن ارائه کردیم. علیرغم عدم دریافت پاسخ مجدد از شرکت، سرور چند ساعت بعد ایمن شد.

نمونه ای از ورودی ها در سطل S3

Sennheiser از سطل S3 خود برای ذخیره بیش از 55 گیگابایت داده از بیش از 28000 مشتری استفاده می کرد. بین سال‌های 2015 تا 2018.

در حالی که مشخص نیست این داده‌ها چگونه جمع‌آوری شده‌اند، به نظر می‌رسد از مشتریان و کسب‌وکارهایی باشد که نمونه‌هایی از محصولات Sennheiser را درخواست می‌کنند. در نتیجه، حجم وسیعی از داده‌های اطلاعات شناسایی شخصی (PII) در معرض نقض قرار گرفت، از جمله:

نام‌های کامل
آدرس‌های ایمیل
شماره تلفن
آدرس منزل[1965] نمونه‌ای از شرکت‌ها[1965]
تعداد کارمندان شرکت درخواست‌کننده

داده‌های PII افشا شده در پایگاه‌داده Sennheiser، SENHEISER همچنین حاوی یک پشتیبان39 پشتیبان است[196] اما این محافظت شد، و به دلایل اخلاقی، ما سعی نکردیم به آن دسترسی پیدا کنیم. مشتریان و تامین کنندگان Sennheiser در سراسر جهان، اکثر افراد تحت تاثیر قرار در آمریکای شمالی و اروپا مستقر بودند. قبل از ایمن شدن، آنها می توانستند از داده های افشا شده در طیف گسترده ای از طرح های جنایی استفاده کنند.

داده های افشا شده برای هکرهای ماهر کافی بود تا بسیاری از رایج ترین اشکال کلاهبرداری را انجام دهند، از جمله:

سرقت هویت
کلاهبرداری مالیاتی
کلاهبرداری از بیمه
کلاهبرداری از طریق نامه
تصرف حساب بانکی
کلاهبرداری از کارت بدهی یا اعتباری
کلاهبرداری از کارت بدهی یا اعتباری[19659047
6959047 میلیون دلار داده‌های افشا شده برای بهره‌برداری از دستاوردهای مجرمانه کافی نبود، همچنین می‌توان از آن برای اجرای کمپین‌های فیشینگ پیچیده استفاده کرد.

در یک کمپین فیشینگ، مجرمان به قربانیان ایمیل‌های جعلی و پیام‌های متنی تقلید از شرکت‌ها و سازمان‌های واقعی ارسال می‌کنند. با ایجاد اعتماد قربانی، آنها امیدوارند که آنها را فریب دهند و آنها را به یکی از اقدامات زیر فریب دهند:
1. ارائه اطلاعات PII اضافی (به عنوان مثال، شماره های تامین اجتماعی) یا اطلاعات خصوصی (به عنوان مثال، جزئیات حساب بانکی) که می تواند در فعالیت های کلاهبرداری استفاده شود. فهرست شده در بالا.
2. وارد کردن جزئیات کارت بدهی یا اعتباری در یک درگاه پرداخت جعلی به طوری که بتوان آنها را خراش داد و توسط مجرمان استفاده کرد یا در وب تاریک فروخته شد. به عنوان بدافزار، جاسوس‌افزار، و باج‌افزار.
اگر داده‌ها با استفاده از فرمی از نوع «درخواست نمونه» جمع‌آوری شده باشد، مجرمان سایبری می‌توانند از جزئیات برای ایجاد ایمیل‌های فیشینگ فوق‌العاده قانع‌کننده که به عنوان Sennheiser ظاهر می‌شوند استفاده کنند و مشتریان قبلی را فریب دهند تا اطلاعات شخصی اضافی یا ارائه دهند. با کلیک بر روی یک لینک مخرب. cheme موفق در نظر گرفته شود.

برای Sennheiser

از آنجایی که Sennheiser در اروپا مستقر است، و این نشت بسیاری از شهروندان اروپایی را تحت تأثیر قرار داد، این شرکت در صلاحیت GDPR اتحادیه اروپا است. در نتیجه، باید نقض داده را گزارش کند و فوراً آسیب‌پذیری را که باعث افشای سرورش شده است، برطرف کند. در غیر این صورت، ممکن است با تحقیقات بیشتر و جریمه‌هایی توسط نهاد نظارتی مواجه شود.

Sennheiser همچنین می‌تواند به دلیل قرار دادن بسیاری از افراد در معرض کلاهبرداری و حملات آنلاین با نظارت عمومی و رسانه‌ها مواجه شود. هر گونه تبلیغات منفی که از داستان ایجاد می شود می تواند مشتریان بالقوه را به یکی از رقبای متعدد آن در صنعت صوتی سوق دهد. Sennheiser می‌توانست به راحتی از افشای اطلاعات مشتریان خود اجتناب کند اگر اقدامات امنیتی اولیه را انجام می‌داد. اینها شامل، اما محدود به موارد زیر نیست:
1. ایمن سازی سرورهای آن.
2. اجرای قوانین دسترسی مناسب.
3. هرگز سیستمی را که نیازی به احراز هویت ندارد در اینترنت باز نگذارید. ذخیره شده و استفاده نشده است.
هر شرکتی بدون توجه به اندازه‌اش می‌تواند همان مراحل را تکرار کند.

برای راهنمایی عمیق‌تر در مورد محافظت از کسب‌وکارتان، راهنمای ما برای ایمن‌سازی وب‌سایت و داده‌های آنلاین خود در برابر هکرها را بررسی کنید.

ایمن‌سازی یک سطل باز S3

توجه به این نکته مهم است که سطل‌های S3 باز و قابل مشاهده برای عموم، نقص AWS نیستند. آنها معمولاً نتیجه خطای صاحب سطل هستند. آمازون دستورالعمل های دقیقی را به کاربران AWS ارائه می دهد تا به آنها کمک کند سطل های S3 را ایمن کنند و آنها را خصوصی نگه دارند.

در مورد Sennheiser، سریع ترین راه برای رفع این خطا این است:
- سطل را خصوصی کنید و پروتکل های احراز هویت اضافه کنید.
- بهترین شیوه‌های دسترسی و احراز هویت AWS را دنبال کنید.
- لایه‌های حفاظتی بیشتری به سطل S3 خود اضافه کنید تا افرادی که می‌توانند از هر نقطه ورودی به آن دسترسی داشته باشند را محدود کنید.
برای مشتریان Sennheiser

اگر شما مشتری Sennheiser و نگران این هستید که چگونه این نقض ممکن است شما را تحت تأثیر قرار دهد، مستقیماً با شرکت تماس بگیرید تا بدانید چه اقداماتی را برای محافظت از داده های شما انجام می دهد. این به شما راه‌های زیادی را که مجرمان سایبری کاربران اینترنت را هدف قرار می‌دهند، و اقداماتی را که می‌توانید برای ایمن ماندن انجام دهید، نشان می‌دهد. . محققان ما از اسکنرهای وب در مقیاس بزرگ برای جستجوی فروشگاه های داده ناامن حاوی اطلاعاتی که نباید در معرض دید قرار گیرند استفاده می کنند. سپس آن‌ها هر ذخیره‌سازی داده را برای هر گونه اطلاعاتی که درز کرده است بررسی می‌کنند.

تیم ما توانست به این سطل S3 دسترسی پیدا کند زیرا کاملاً ایمن و رمزگذاری نشده بود. ]ما از تکنیک‌های خبره برای تأیید مالک داده‌ها استفاده می‌کنیم، که معمولاً یک تجارت تجاری است.

ما به عنوان هکرهای اخلاقی، موظف هستیم زمانی که نقص‌هایی در امنیت آنلاین آن شرکت پیدا می‌کنیم به آن اطلاع دهیم. ما با Sennheiser تماس گرفتیم تا نه تنها آن را از آسیب‌پذیری آگاه کنیم، بلکه راه‌هایی برای ایمن‌سازی سیستمش پیشنهاد کنیم. کاربران Sennheiser باید از نقض داده‌ای که بسیاری از داده‌های حساس آنها را فاش می‌کند آگاه باشند.

هدف از این پروژه نقشه‌برداری وب کمک به ایمن‌تر کردن اینترنت برای همه کاربران است.

ما داریم. هیچ مدرک یا راهی برای دانستن اینکه آیا داده‌های گزارش‌های ما توسط شخص دیگری درز پیدا کرده است یا خیر. فقط صاحب سطل می تواند این را بداند.

ما تمام تلاش خود را می کنیم تا با تماس با شرکت ها و اطمینان از اینکه آنها در اسرع وقت پایگاه داده افشا شده خود را ایمن می کنند، از این اتفاق جلوگیری کنیم. اطلاعاتی که در طول تحقیقات امنیتی خود با آن مواجه می شویم.

درباره ما و گزارش های قبلی

vpnMentor بزرگترین وب سایت بررسی VPN در جهان است. آزمایشگاه تحقیقاتی ما یک سرویس حرفه‌ای است که در تلاش است تا به جامعه آنلاین کمک کند تا از خود در برابر تهدیدات سایبری دفاع کند و در عین حال سازمان‌ها را در مورد محافظت از داده‌های کاربران خود آموزش دهد.

تیم تحقیقاتی امنیت اخلاقی ما برخی از تأثیرگذارترین نقض‌های داده را کشف و افشا کرده است. سال‌های اخیر.

این شامل نقض گسترده داده‌ها می‌شود که داده‌های 10000 رستوران آمریکایی را فاش می‌کند. ما همچنین فاش کردیم که یک شرکت متعلق به غول هتلداری اروپایی AccorHotels حریم خصوصی و امنیت مهمانان هتل در سراسر جهان را به خطر انداخته است. همچنین ممکن است بخواهید گزارش نشت VPN و گزارش آمار حریم خصوصی داده ما را بخوانید.
به ما کمک کنید تا از اینترنت محافظت کنیم! و به هکرهای اخلاقی اجازه می دهد تا به صورت ناشناس هرگونه نقض داده را که به صورت آنلاین پیدا می کنند گزارش کنند. از طرف دیگر، هر کسی می‌تواند در هر زمان و از هر مکان، بدون به خطر انداختن حریم خصوصی شما، یک نقض را در اینجا در vpnMentor ارسال کند.
خرید وی پی ان
- yw_clark در Can a vpn change the carrier which is shown to other people?
- imyourealdad در Can a vpn change the carrier which is shown to other people?
وی پی ان
فیلتر شکن

برچسب: هزاران

غول فناوری صوتی هزاران اطلاعات مشتری را در معرض نمایش قرار داد

نمایه شرکت

نمونه ای از ورودی ها در سطل S3

برای Sennheiser

ایمن‌سازی یک سطل باز S3

برای مشتریان Sennheiser

درباره ما و گزارش های قبلی

خرید وی پی ان

وی پی ان

فیلتر شکن