Planet 연구팀은 미국 도매 및 물류 플랫폼 ePalletInc 에 영향을 미치는 데이터 노출을 발견했다.
EPallet 은 소매업자와 제조업체에 공급망 솔루션을 제공하는 B2B 브랜드입니다.
이 회사가 소유한 아마존 S3 배럴 구성이 잘못되어 이 과정에서 수백 개 다른 회사의 데이터가 드러났다.
노출된 회사 데이터 ePallet 의 통은 개방되어 있으며 비밀번호 보호가 없습니다. 이에 따라 이 회사의 AWSS3 bucket 은 600GB 이상의 데이터에 해당하는 250 만 개 이상의 파일을 노출했습니다.
공개된 파일에는 ePallet 및 ePallet 플랫폼을 통해 상품을 주문, 판매 및 납품하는 회사와 관련된 다양한 형태의 민감한 데이터가 있습니다.
Bucket 에서 ePallet 과 해당 파트너 및 고객 (주문 및 청구서, 주문 첨부 파일, 고객 관련 문서, 기타 인증, ePallet 신용대출 신청) 을 노출하는 5 개의 개별 데이터 세트를 발견했습니다.
주문과 어음 주문 및 어음 (또는 더 정확하게는 선하증권 문서) 은 기업이 ePallet 플랫폼을 통해 도매 상품을 매매하는 거래를 개괄적으로 설명합니다. 통에는 이런 유형의 서류가 수백 개 있다.
주문과 청구서에는 다음과 같은 전자 지갑 고객 및 파트너의 민감한 데이터가 노출됩니다.
회사명, 구매자 및 공급자 주소와 같은 회사 상세내역. 운송회사 정보, 즉 각 운송회사 회사의 이름과 주소입니다. 주문한 상품, 수거/배송일, 중량, 수량 등의 운송 정보. 주의: 선하증권은 화주와 운송회사 사이의 서류입니다. 운송인이 요구하는 물품 및 주문 정보를 상세히 설명하고 영수증으로도 사용할 수 있습니다.
아래 스크린샷에서 주문과 계산서의 예를 볼 수 있습니다.
주문 첨부 고객 주문에 첨부된 주문 첨부입니다. 우리는 통에서 이런 유형의 문서 수천 부를 발견했다.
주문 첨부 파일은 고객 및 파트너의 상세하고 민감한 데이터에 영향을 미칩니다.
운송 정보, 때로는 스캔 가능한 바코드에 있습니다.
아래에서 주문 첨부의 증거를 볼 수 있습니다.
고객 관련 파일이 잘못 구성된 버킷에서 고객 관련 파일을 발견했습니다. 이들은 ePallet 플랫폼을 사용하는 기업에 대한 ePallet 에서 수집한 문서인 것 같습니다.
고객 관련 문서에는 다음과 같은 일련의 민감한 고객 데이터가 포함되어 있습니다.
회사명 회사 주소 S3 연락처 상세내역 (회사 전화 번호, 팩스 번호 및 전자 메일 주소 S3 재무 정보 (경우에 따라), 즉 회사 수익 3 기타 다양한 회사 상세내역 (회사 연령, 직원 수 등).
고객 관련 파일의 유형은 다양하며 많은 정보가 포함되어 있으며 그 중 일부는 이 보고서에 요약되어 있지 않습니다. 이러한 문서에는 회사 프로필 (회사 상세 보고서), 다른 기업의 신용 신청 및 세금 관련 문서가 포함됩니다. EPallet 에는 리셀러 라이센스 및 납세 증명서 (비영리 단체) 가 필요합니다. 이는 이러한 문서 중 일부를 설명할 수 있습니다.
아래 스크린샷에서 고객과 관련된 도서증을 볼 수 있습니다.
다른 인증서 다른 인증서도 통에 저장됩니다. 이 증명서들은 전자지갑을 통해 상품을 판매하는 회사에 수여된 것 같다. 이 인증서들은 많은 기관에서 발급하여 여러 가지 목적으로 사용한다. 예를 들어, 증명서는 식품회사에 수여된' 유태인 증명서' 로, 그 제품이 유대인 기관의 승인을 받았다는 것을 나타낸다.
인증서는 대량의 공급업체 데이터 (일반적으로 회사 이름 및 인증서 세부 사항) 를 구체적으로 설명하지는 않지만, 사이버 범죄의 형태로 e-ePallet 공급업체를 상대하는 데 사용될 수 있습니다.
전자 지갑은 이러한 인증서를 존재의 증거로 저장할 수 있습니다. 아래에서 다른 인증의 증거를 볼 수 있습니다.
신용대출 신청 신용대출 신청은 전자 지갑, 업무 운영 및 직원과 관련된 정보를 공개한 오픈 AWSS3 버킷에 저장됩니다. EPallet 은 다른 기업에 이러한 신용대출 신청을 제출했다.
EPalletcreditapplications 는 다양한 형태의 민감한 기업 데이터를 공개했습니다.
회사명, 전화번호, e-메일 주소, 팩스 번호, 사원명, 즉 CEO 의 이름과 회사 나이, 부동산 임대/소유권 상태 등 다양한 회사 상세 정보.
다음은 신용대출 신청의 예입니다.
EPallet 의 AmazonS3 bucket 은 실시간으로 발견되면서 업데이트 중입니다. AWSS3 bucket (이 경우 ePallet) 의 소유자는 보안을 담당합니다. 아마존은 전자 지갑 데이터 유출의 잘못이 아닙니다.
배럴 폴더 이름의 4 자리 ID 번호 수 (각각 고유한 비즈니스를 나타내는 것으로 간주됨) 에 따라 수백 개 기업이 전자 지갑 데이터 유출의 영향을 받는 것으로 추정됩니다.
데이터 유출로 인해 전자 지갑은 법적 제재를 받을 수 있다.
누가 영향을 받습니까? EPallet 이 잘못 구성된 아마존 S3 통은 회사 데이터와 고객 기업 ("구매자" 가 epallet.com 사용) 및 파트너 (상품 제조업체/공급업체 및 운영자, ePallet. com 에서 제품을 판매하는 데이터) 를 노출시킵니다.
EPallet 은 미국 밖에서 운영되지 않으며, 통에 있는 모든 정보는 미국 회사에만 관련된 것 같습니다.
대기업은 전자 지갑의 웹 사이트를 통해 제품을 판매한다. MMs, Twix, Skittles, Snickers 는 epallet 에서' 특색 공급업체' 로 등재됐다. 그리고 다른 인기 있는' 제조 파트너' 들도 길레에서 ArmHammer 까지 이 사이트에서 제품을 판매하고 있습니다. 우리는 이 회사들 중 어떤 회사도 이 통에 관한 정보를 공개했는지 확인할 수 없다. 누가 데이터를 게시했습니까?
EPalletInc. 20 17 에 설립된 EPalletinc 는 미국 캘리포니아 아굴라 산에 본사를 둔 온라인 도매 공급망 서비스 회사입니다.
EPallet 웹 사이트 (epallet.com) 는 기업과 제조업체를 연결하고 소매업자가 도매 상품의 트레이를 직접 구매할 수 있도록 하는 인공 지능 중심 플랫폼입니다.
그' 온라인 도매시장' 외에도 ePallet 은 통신업체와 협력하여 웹사이트를 통해 주문한 상품에 물류 솔루션을 제공한다. 이를 통해 배포 프로세스가 간소화되고 제조업체와 고객에게 새로운 영업 기회가 제공됩니다.
EPallet 은 식품을 전문으로 취급하지만, 이 회사는 유아용품, 의료용품, 가정용품 등 슈퍼마켓에 있을 수 있는 다른 제품도 판매하고 있다. EPallet 의 직원은 25 명 미만이고 수입은 500 만 달러 미만이다.
EPallet 고객 및 파트너에 미치는 영향 불량 해커 및 악성 참가자가 open AWSS3 bucket 의 콘텐츠를 방문했는지 알 수 없습니다. 그러나 이 경우 ePallet 의 고객과 파트너는 여러 가지 방법으로 데이터 유출의 영향을 받을 수 있습니다.
BEC, 사기, 피싱, 맬웨어 e-메일 이러한 데이터 유출로 고객, 공급업체 및 운영자는 피싱 공격, 사기, 맬웨어 공격을 받을 수 있습니다. 사이버 범죄자는 고객 관련 문서의 이메일 주소와 전화 번호를 사용하여 기업에 연락할 수 있습니다.
피싱 시도와 사기에서 해커는 다른 형태의 노출 정보를 참조하고 피해자와 신뢰를 쌓으며 통신의 원인을 설명할 수 있다.
상업 이메일 누출 (BEC) 공격은 표적된 피싱 시도이다. 범죄자들은 유출된 이메일 계정을 사용하여 사용자에게 알려진 출처인 척 메시지를 보내고 합법적인 연락 이유를 가지고 있다. 삽두에 표시된 연락처 정보, 직원 이름 및 납품 정보로 BEC 가 가능해졌습니다.
예를 들어 해커는 운영자, 제품 공급업체 또는 전자 지갑으로 위장한 대표를 통해 고객에게 연락할 수 있습니다. 해커는 주문/제공 세부 사항을 참조하여 피해자와 신뢰를 쌓고 배달에 문제가 있다고 주장할 수 있습니다.
해커는 고객 또는 전자 지갑을 대표한다고 주장하는 공급업체 또는 운영자에게 연락할 수 있습니다. 마찬가지로 해커는 주문 세부 사항을 참고하여 문제를 암시할 수 있다. 아마도 해커들은 일부 주문이 아직 도착하지 않았기 때문에 환불이 필요하다고 주장합니다.
해커는 회사 세부 정보, 재무 정보 또는 인증서를 활용하여 통신을 중심으로 서술을 만들 수도 있습니다.
피해자가 사이버 범죄자를 신뢰하면 공격자는 피해자나 피해자 기업으로부터 개인이나 민감한 정보를 얻으려고 시도할 수 있습니다. 이를 피싱 시도라고 합니다. 해커도 피해자가 악의적인 링크를 클릭하도록 설득하려 할 수 있다. 클릭 한 후에는 악성 링크를 통해 피해자의 장치에 맬웨어를 다운로드하여 사이버 범죄를 보완할 수 있습니다.
사이버 범죄자들도 이런 신뢰를 이용해 피해자를 유행에 가담하게 하는 사기에 가담할 수 있다. 예를 들어, 해커는 가짜 송장 사기에서 기업이 가짜 송장을 지불하도록 설득하거나 환불 사기에서 사기 환불을 제출할 수 있습니다.
절도, 강도, 입실 절도는 주문의 높은 가치나 통의 재무 정보에 따라 기업이 공격의 표적이 될 수 있다.
주문과 화물도 절도와 강도의 목표가 될 수 있다. 운송회사 정보, 배송일, 배송 주소, 배송일 등 다양한 주문 및 배송 정보가 발표되었습니다.