Le SécuritéDétectifs L'équipe de cybersécurité a découvert une fuite de données majeure affectant la société de logiciels appelée StoreHub.
StoreHub est basé en Malaisie et fournit un système logiciel de point de vente (POS) qui est principalement utilisé dans les restaurants et les magasins de détail.
Les données exposées ont été stockées sur le serveur Elasticsearch d'un StoreHub qui a été laissé ouvert sans aucune protection par mot de passe ni cryptage. Le serveur non protégé a potentiellement compromis les informations de milliers de restaurants et de magasins de détail, ainsi que leur personnel et environ 1 million de clients.
Qui est StoreHub ?
StoreHub a été fondée en 2013 en Malaisie et a actuellement son siège social à Petaling Jaya. Leur produit est utilisé par plus de 15,000 XNUMX entreprises selon leur site Web, principalement dans la région de l'Asie du Sud-Est.
La société vend des logiciels de point de vente principalement aux entreprises F&B (alimentation et boissons), telles que les restaurants, mais également aux magasins de détail.
Le logiciel de point de vente est principalement utilisé pour traiter et enregistrer les achats et les transactions dans les entreprises en contact avec les clients (restaurants, cafés, bars, magasins, etc.), ainsi que pour émettre des reçus et suivre les ventes d'articles particuliers - tels que les repas dans un restaurant, ou vêtements individuels dans un magasin.
StoreHub propose également une suite complète d'outils de gestion d'entreprise et d'analyse. Il s'agit notamment du commerce électronique et de la livraison en ligne, de la gestion des stocks, de la gestion des employés, des programmes de fidélité et de l'analyse des clients.
En conséquence, StoreHub a pu collecter des données auprès de plus d'un million de personnes de toute l'Asie du Sud-Est, principalement des clients d'entreprises utilisant son logiciel.
Qu'est-ce qui a été exposé ?
Notre équipe de cybersécurité a découvert que Storehub avait mal configuré l'un de ses serveurs Elasticsearch, provoquant la fuite de plus de 1.7 milliard d'enregistrements et de plus d'un téraoctet de données. Cela a exposé près d'un million de clients en Malaisie et potentiellement dans les pays d'Asie du Sud-Est.
StoreHub vend des logiciels de point de vente aux entreprises en contact avec les clients, de sorte que les données exposées se répartissent en deux catégories :
- Données des clients des entreprises utilisant StoreHub
- Données des entreprises utilisant StoreHub
Données des clients des entreprises utilisant StoreHub
Les informations personnellement identifiables (PII) exposées par les clients comprennent :
- Noms complets
- Les numéros de téléphone
- Adresses physiques
- Les adresses de courriel
- Type d'appareil utilisé
Le serveur a également exposé des données relatives aux paiements et aux informations de commande appartenant aux clients, exposant des PII telles que :
- Dates des transactions
- Articles commandés
- Emplacements des magasins
Certains des détails de la commande exposaient des informations de carte de crédit partiellement masquées.
Données des entreprises utilisant StoreHub
La fuite a également affecté les entreprises utilisant StoreHub et les membres de leur personnel. Les informations divulguées par les entreprises comprennent:
- Heures d'arrivée et de départ des employés
- Noms des employés
- Noms de magasin
- Stocker les adresses physiques
- Stocker les adresses e-mail
Notre équipe de cybersécurité a également constaté des fuites de jetons d'accès, que des acteurs malveillants pourraient utiliser pour se connecter et modifier les sites Web des entreprises, causant potentiellement plus de dommages. Ce que nous n'avons pas pu tester pour des raisons éthiques.
Le tableau ci-dessous présente une ventilation de cette fuite de données StoreHub.
Nombre d'enregistrements divulgués | Plus de 1.7 milliard |
Nombre d'utilisateurs concernés | Environ. 1 millions |
Taille de la fuite | Plus de 1 To |
Emplacement du serveur | Singapour |
Emplacement de la société | Petaling Jaya, Malaisie |
Notre équipe de cybersécurité a découvert cette fuite le 12 janvier 2022. Le contenu du serveur semble avoir été exposé depuis au moins fin novembre 2021.
Après avoir trouvé la fuite, notre équipe de cybersécurité a suivi les règles du piratage éthique en laissant le serveur et les données intacts, puis en contactant l'entreprise responsable.
Nous avons envoyé un e-mail à StoreHub dès que nous avons découvert la fuite. Le 18 janvier, nous leur avons envoyé un e-mail de suivi et nous avons envoyé un e-mail au directeur de la technologie de StoreHub. Nous n'avons reçu aucune réponse le 27 janvier, nous avons donc contacté le CERT malaisien et Amazon Web Services (la société d'hébergement). Les deux ont répondu rapidement.
Nous avons pu divulguer la fuite au CERT malaisien le 28 janvier. Le CERT malaisien nous a demandé plus d'informations le 2 février, mais le serveur était alors sécurisé. Nous estimons que le serveur a été sécurisé entre cette période du 28 janvier au 2 février.
Impact des fuites de données
Les informations personnelles exposées exposent les victimes au vol et à la fraude de la part d'acteurs malveillants qui mettent la main sur les informations personnelles.
Nous n'avons aucun moyen de confirmer si des pirates contraires à l'éthique ont découvert cette fuite de données, mais les entreprises et les clients concernés doivent être en alerte pour les menaces potentielles suivantes.
Escroqueries et fraudes
Les PII exposées rendent les clients vulnérables aux tentatives de fraude. Par exemple, les acteurs malveillants pourraient appeler les victimes et gagner leur confiance en confirmant les informations d'achat impliquant le prix et la date d'une transaction, voire les quatre derniers chiffres d'un numéro de carte de crédit.
Après avoir gagné la confiance, les mauvais acteurs pourraient obtenir de la victime des informations supplémentaires qui pourraient alors leur permettre d'infliger un préjudice réel en accédant à leur banque ou en abusant des informations de carte de crédit.
Vol de compte
La fuite contient des jetons de compte, qui appartiennent très probablement aux entreprises utilisant le serveur StoreHub. Les acteurs malveillants pourraient utiliser ces jetons pour se connecter en tant qu'entreprises ou clients et éventuellement modifier les détails du compte.
Cela pourrait nuire à l'entreprise de diverses manières, selon ce que les mauvais acteurs choisissent de faire. Pour des raisons éthiques, nous ne pouvons pas tester les capacités des jetons exposés. Cependant, un exemple théorique est qu'ils pourraient permettre à de mauvais acteurs de modifier le menu sur le compte d'un restaurant ou de supprimer entièrement la liste de l'entreprise. Les jetons exposés pourraient également mettre les clients en danger, car de mauvais acteurs pourraient potentiellement modifier le site pour collecter des PII encore plus sensibles et compromettre davantage les victimes.
Risque de vol de propriété pour les clients
Les informations détaillées de la fuite créent de nombreuses vulnérabilités pour les clients. Les informations contenues dans la fuite pourraient permettre aux acteurs malveillants de suivre et d'intercepter les commandes que le client a déjà payées.
La fuite indique également les heures auxquelles certains clients quittent généralement leur domicile. Entre de mauvaises mains, ces informations pourraient mettre la propriété des clients en danger en cas d'effraction physique.
Risque de vol de propriété pour les entreprises
La fuite contient de longues listes d'heures d'arrivée et de départ du personnel, qui indiquent exactement aux acteurs malveillants combien d'employés se trouvent généralement dans le magasin à des heures précises. S'ils avaient l'intention de s'introduire physiquement par effraction et de voler l'entreprise, ces informations contribueraient au vol.
Prévention de l'exposition des données
Que pouvez-vous faire pour protéger vos données et minimiser votre risque de cybercriminalité ?
Voici quelques façons de minimiser votre risque d'exposition des données :
- Ne fournissez vos informations personnelles qu'aux personnes et aux entreprises en qui vous avez confiance.
- Ne visitez que des sites Web sécurisés. Les sites Web sécurisés ont des noms de domaine qui commencent par « https » et/ou un symbole de cadenas fermé.
- Faites très attention lorsqu'on vous demande de fournir les formes d'informations personnelles les plus importantes (c'est-à-dire les numéros de sécurité sociale, les numéros d'identification gouvernementaux et les préférences personnelles).
- Création mots de passe super forts en utilisant une combinaison de lettres, majuscules, chiffres et symboles. Mettez à jour vos mots de passe régulièrement.
- Ne recyclez pas les mots de passe entre les services. Utiliser un Password Manager le cas échéant
- Ne cliquez pas sur les liens dans les e-mails, les SMS ou n'importe où ailleurs sur Internet à moins d'être absolument certain que la source/l'expéditeur est authentique. En cas de doute, rendez-vous sur le site Web de l'entreprise et recherchez le lien.
- Modifiez vos paramètres de confidentialité sur les réseaux sociaux. Vos comptes ne doivent afficher votre contenu et vos informations personnelles qu'aux utilisateurs et amis de confiance.
- Limitez les tâches que vous effectuez et les informations que vous affichez lorsque vous êtes connecté au Wi-Fi public. Par exemple, n'achetez pas un produit et saisissez les détails de votre carte de crédit sur le WiFi public.
- Utilisez des sources en ligne pour en savoir plus sur la cybercriminalité, la protection des données et les mesures que vous pouvez prendre pour éviter les attaques de phishing et les logiciels malveillants.
À propos de nous
SafetyDetectives.com est le plus grand site Web d'analyse d'antivirus au monde.
Le laboratoire de recherche SafetyDetectives est un service pro bono qui vise à aider la communauté en ligne à se défendre contre les cybermenaces tout en éduquant les organisations sur la manière de protéger les données de leurs utilisateurs. L'objectif primordial de notre projet de cartographie Web est de contribuer à faire d'Internet un endroit plus sûr pour tous les utilisateurs.
Nos rapports précédents ont mis en lumière plusieurs vulnérabilités et fuites de données de haut niveau, y compris plus de 200 millions d'utilisateurs exposés par Société chinoise de gestion des médias sociaux Socialarks, ainsi qu'une brèche à Plateforme brésilienne d'intégration de commerce électronique Hariexpress qui a divulgué plus de 1.75 milliard d'enregistrements.
Pour un examen complet des rapports de cybersécurité SafetyDetectives au cours des 3 dernières années, suivez Équipe de cybersécurité SafetyDetectives.
- "
- &
- 000
- 2021
- 2022
- 28
- 420
- 7
- a
- A Propos
- accès
- accès
- Selon
- Compte
- acquérir
- à travers
- propos
- adresses
- affectant
- à opposer à
- Tous
- déjà
- Amazon
- Amazon Web Services
- analytique
- antivirus
- de n'importe où
- Asie
- Banque
- barres
- ci-dessous
- jusqu'à XNUMX fois
- Milliards
- milliards
- violation
- Breakdown
- la performance des entreprises
- entreprises
- Appelez-nous
- capacités
- prudent
- causer
- certaines
- chef
- Chief Technology Officer
- Selectionnez
- fonds à capital fermé
- Vêtements
- recueillir
- combinaison
- Communautés
- Sociétés
- Société
- De l'entreprise
- complètement
- connecté
- contient
- contenu
- pourriez
- d'exportation
- crée des
- crédit
- carte de crédit
- Lecture
- des clients
- Clients
- cyber
- la cybercriminalité
- Cybersécurité
- données
- fuite de données
- protection des données
- page de livraison.
- Selon
- détaillé
- détails
- dispositif
- chiffres
- découvert
- Commande
- domaine
- down
- pendant
- e-commerce
- e-commerce
- l'éducation
- employés
- chiffrement
- estimation
- etc
- éthique
- exactement
- exemple
- exposé
- trouver
- suivre
- Abonnement
- nourriture
- document
- Fondée
- fraude
- De
- plein
- plus
- gagner
- généralement
- Gouvernement
- les pirates
- piratage
- Siège social
- vous aider
- Histoire
- hébergement
- Comment
- How To
- Cependant
- HTTPS
- important
- comprendre
- inclut
- Y compris
- individuel
- individus
- d'information
- Internet
- inventaire
- IT
- lui-même
- Janvier
- laboratoire
- le plus grand
- fuite
- Fuites
- Laisser
- lumière
- Probable
- lignes
- LINK
- Gauche
- inscription
- Liste
- Location
- Fidélité
- majeur
- a prendre une
- Malaisie
- malware
- gestion
- cartographie
- Médias
- Membres
- messages
- million
- PLUS
- (en fait, presque toutes)
- plusieurs
- noms
- nombre
- numéros
- Offres Speciales
- Financier
- en ligne
- ouvert
- de commander
- passer commande
- organisations
- payé
- particulier
- mots de passe
- Paiements
- Personnes
- période
- personnel
- phishing
- attaques de phishing
- Physique
- Physiquement
- pièces
- plateforme
- Point
- PoS
- défaillances
- précédent
- prix
- la confidentialité
- Pro
- processus
- Produit
- Programmes
- Projet
- propriété
- protéger
- protection
- fournir
- de voiture.
- fournit
- public
- achat
- achats
- but
- Les raisons
- reçu
- record
- Articles
- région
- Rapports
- un article
- réponse
- responsables
- au Deck restaurant
- Restaurants
- détail
- Avis
- Analyse
- plus sûre
- SOLDE
- vente
- sécurisé
- sécurisé
- sécurité
- service
- Services
- magasins
- depuis
- site
- SMS
- So
- Réseaux sociaux
- réseaux sociaux
- Logiciels
- quelques
- groupe de neurones
- Boutique
- STORES
- combustion propre
- tâches
- équipe
- Technologie
- raconte
- tester
- Le
- vol
- milliers
- des menaces
- fois
- Tokens
- les outils
- suivre
- Tracking
- Transactions
- La confiance
- confiance
- Mises à jour
- us
- utilisé
- utilisateurs
- variété
- victimes
- vulnérabilités
- Vulnérable
- façons
- web
- services Web
- Site Web
- sites Internet
- Quoi
- tout en
- WHO
- Wi-fi
- Wifi
- sans
- monde
- pourra
- années
- Votre