Programari de treball de camp
Es va descobrir que la informació financera i privada sensible de centenars d’usuaris de targetes de crèdit s’emmagatzemava en una base de dades que no estava protegida. Els investigadors que executaven un programa d’exploració senzill van descobrir una base de dades exposada a Internet propietat de Fieldwork Software. Sorprenentment, les dades contenien amplis detalls financers de clients empresarials. A més de les dades de la targeta de crèdit, es podria accedir i explotar potencialment altra informació altament sensible, com ara noms associats, etiquetes GPS i fins i tot comunicacions entre el client i el proveïdor de serveis. L’aspecte preocupant és que els projectes d’exploració que exposaven la base de dades filtrant són bastant fàcils de desplegar i són utilitzats cada cop més per grups professionals de pirateria informàtica per explotar informació financera o plantar programari maliciós.
Investigadors que treballen per a la ciberseguretat de vpnMentor que van descobrir la base de dades aparentment exposada de Fieldwork Software van oferir la seva descobriments a través d’una publicació al bloc . L’equip, format per Noam Rotem i Ran Locar, va indicar que es mantenien exposats uns 26 GB de dades. És clar que la base de dades no es va deixar exposada intencionadament. Tanmateix, el descobriment posa de manifest els perills que la informació financera es pugui explotar per a qualsevol grup de programadors que sàpiga on buscar o iniciar una recerca aleatòria de cercadors o bases de dades que no estiguin correctament protegits. Curiosament, la mida de les dades pot no ser gran, però, la naturalesa de la informació es pot aprofitar per llançar diversos robatoris financers digitals massius.
La base de dades Elasticsearch sense protecció exposa 2.000 milions de registres d’usuaris de dispositius domèstics intel·ligents: investigadors de seguretat, Noam Rotem i Ran Locar, de vpnMentor van revelar recentment en el seu informe, que una empresa xinesa de plataformes de gestió d’IoT amb seu a Shenzhen, ... https://t.co/a9eqEqTFt6 pic.twitter.com/AyQ8QPrVli
- CS Threat Intel (@cipherstorm) 5 de juliol de 2019
El programari de treball de camp propietat d’Anstar tenia una base de dades filtrant que estava protegida amb protocols de seguretat deficients
Els investigadors de ciberseguretat de vpnMentor van descobrir allò exposat i essencialment protegit amb protocols de seguretat deficients durant un projecte d’escaneig web. El projecte en curs de la companyia, essencialment, ensuma a Internet buscant ports. Aquests ports són essencialment portes d’entrada a bases de dades que normalment s’emmagatzemen als servidors. El projecte forma part d’una iniciativa per buscar i descobrir ports accidentalment o deixats oberts o sense seguretat sense voler . Aquests ports es poden aprofitar fàcilment per desfer o recopilar dades.
En diverses ocasions, aquests ports s'han convertit en la font de la filtració per a la divulgació accidental de dades corporatives sensibles. A més, diverses grups emprenedors de pirates informàtics sovint examinar amb cura les dades i buscar-ne més rutes potencials a explotar . Els identificadors de correu electrònic, els números de telèfon i altres dades personals s’utilitzen sovint per llançar atacs que depenen de l’enginyeria social. Aparentment, s’han utilitzat correus electrònics i trucades telefòniques per aconseguir que les víctimes obrin correus electrònics i fitxers adjunts maliciosos .
S'han filtrat dades sensibles dels clients: els nostres pirates informàtics ètics van trobar una base de dades oberta de Fieldwork, proveïdor de programari per a pimes, que contenia números de targeta de crèdit de l'usuari final, adreces i fins i tot codis d'alarma i contrasenyes >> https://t.co/NluDR1wVLF #databreach pic.twitter.com/ecrYw6Gzht
- vpnMentor (@vpnmentor) 8 de juliol de 2019
El programari de treball de camp és essencialment una plataforma destinada a les petites i mitjanes empreses (PIMES). El mercat objectiu més reduït de l’empresa propietària d’Anstar són les pimes que ofereixen serveis al pas dels clients. Les pimes que ofereixen serveis a casa necessiten molta informació i eines de seguiment per garantir una gestió òptima del servei al client i la gestió de la relació amb els clients. La plataforma de Fieldwork es basa principalment en el núvol. La solució ofereix a les empreses un seguiment dels seus empleats que fan trucades domèstiques. Això ajuda a establir i mantenir registres CRM. A més, la plataforma ofereix diverses funcions de servei al client, inclosos sistemes de planificació, facturació i pagament.
La base de dades exposada contenia informació financera i personal dels clients comercials de Fieldwork Software. Per cert, amb 26 GB, la mida de la base de dades sembla bastant petita. Tanmateix, segons la informació, la base de dades incloïa noms de clients, adreces, números de telèfon, correus electrònics i comunicacions enviades entre usuaris i clients. Sorprenentment, això només era una part de la base de dades. Altres components que van quedar exposats van incloure les instruccions enviades als empleats de servei i les fotos dels llocs de treball que els empleats van prendre per registrar-les.
Si això no és prou dolent, la base de dades també incloïa informació personal sensible de les ubicacions físiques dels clients. Segons els informes, la informació incloïa ubicacions GPS de clients, adreces IP, detalls de facturació, signatures i dades completes de la targeta de crèdit, inclosos el número de la targeta, la data de caducitat i el codi de seguretat CVV.
https://twitter.com/autumn_good_35/status/1148240266626605056
Tot i que es mostrava la informació dels clients, la pròpia plataforma de Fieldwork Software també va continuar sent vulnerable. Això es deu al fet que la base de dades també incloïa enllaços d’inici de sessió automàtics que s’utilitzaven per accedir al portal del servei Fieldwork. En paraules senzilles, les claus digitals del sistema i administració del backend de la plataforma també estaven presents a la base de dades. No cal dir que un pirata informàtic maliciós o emprenedor podria penetrar fàcilment a la plataforma principal de Fieldwork sense grans dificultats. A més, un cop a l’interior, un pirata informàtic podria interrompre fàcilment la plataforma i fer que perdés la seva reputació, van advertir els investigadors de ciberseguretat de vpnMentor,
' L’accés al portal és una informació especialment perillosa. Un mal actor pot aprofitar aquest accés no només utilitzant el client detallat i els registres administratius allà emmagatzemats. També podrien bloquejar l’empresa fora del compte fent canvis de fons . '
El programari de treball de camp actua ràpidament i incompleix els connectors:
Els investigadors de ciberseguretat de vpnMentor van assenyalar categòricament que Fieldwork Software va actuar de manera molt ràpida i va tapar la bretxa de seguretat. Essencialment, vpnMentor va divulgar l'existència de la base de dades de filtració a Fieldwork abans de la divulgació pública, i aquest va tancar la filtració als 20 minuts de rebre el correu electrònic dels investigadors.
@TeriRnNY
Gràcies pel vostre informe. Només cal que actualitzeu l'estat d'aquest problema: vpnMentor ha confirmat que ORVIBO va assegurar el sistema de bases de dades i també van actualitzar l'article relacionat. Ajudeu-lo a actualitzar-lo a https://t.co/8VeYYYwWnd . Gràcies pic.twitter.com/gGo1uadG3M- ORVIBO (@ORVIBO) 4 de juliol de 2019
Tot i això, durant un temps no revelat, tota la plataforma Fieldwork Software, la seva base de dades de clients i els seus clients també tenien un risc elevat de penetració i explotació. El que preocupa és que la base de dades no només contenia informació digital sensible, sinó que també contenia informació sobre ubicacions físiques o reals. Segons els investigadors que van dur a terme la investigació, la base de dades contenia “ horaris de cita i instruccions per accedir als edificis, inclosos codis d’alarma, codis de caixa de seguretat, contrasenyes i descripcions d’on s’amagaven les claus '. Concedit, aquests registres es van purgar després de 30 dies de creació, però, tot i així, els pirates informàtics podrien organitzar atacs a ubicacions físiques amb aquesta informació. Conèixer les ubicacions de claus i codis d’accés permetria als atacants penetrar fàcilment en seguretat sense recórrer a la violència ni a la força.
La ràpida acció de Fieldwork Software és encomiable sobretot perquè la notificació d’infraccions de dades sovint es troba amb severes crítiques, negació i contraacusacions de sabotatge corporatiu. El més freqüent és que les empreses es prenguin el seu propi moment dolç per tapar els forats de seguretat. Hi ha hagut bastants casos en què les empreses ho han negat totalment l'existència de bases de dades exposades o no protegides . Per tant, és encoratjador veure que les empreses prenen coneixement de la situació i actuen amb rapidesa.
Etiquetes Seguretat cibernètica
