회사명 및 위치: Credinet. 콜롬비아에 본사를 둔 co/Sistecredito 의 크기: 약 100MB 의 데이터, 총 143876 개의 레코드가 있습니다.
데이터 저장소 형식: ElasticSearch
영향을받는 국가: 콜롬비아 웹 사이트 Planetresearch 팀은 콜롬비아 금융 회사인 Sistecredito 의 신용 플랫폼인 Credinet 을 주요 데이터 유출의 영향을 받을 수 있습니다.
Sistecredito 는 즉시 상품을 구매하고 전국의 다른 자회사에서 나중에 지불하고자 하는 고객에게 할부 융자 옵션을 제공합니다. Credinet 플랫폼은 고객이 구매 매장에서 판매되는 상품에 자금을 공급하기 위해 Sistecredito 서비스에 등록하기를 원하는 소매점에서 사용됩니다.
Credinet/Sistecredito 는 Elasticsearch 데이터베이스에 암호화되거나 암호로 보호되지 않은 수천 개의 레코드를 저장합니다. 이 서버에는 해커가 수천 명의 사람들을 사이버 범죄의 심각한 위험에 빠뜨릴 수 있는 민감한 데이터가 포함되어 있습니다.
고객 데이터 유출 Credinet/Sistecredito 는 잘못 구성된 Elasticsearch 서버에 다양한 형태의 데이터를 저장하며 비밀번호 보호 없이 사용합니다. Credinet 플랫폼이 총 100MB 의 데이터를 노출시켰으며, 이는 143876 개의 레코드에 해당합니다.
Credinet/Sistecredito 고객에게 영향을 미치는 위험 데이터는 다음과 같습니다.
고객 pii: 이름, 이메일 주소, 휴대폰 번호 및 재무 데이터가 포함된 로그입니다. JWT 토큰: 약 3000 개의 유출된 레코드에는' JWT 토큰' 이 포함되어 있어 Credinet 사용자로 인증을 위해' 액세스 토큰' 을 생성하여 해커가 고객 계정에 들어갈 수 있도록 합니다. JWT 토큰이 포함된 대부분의 유출 파일에는 고객의 e-메일 주소도 포함되어 있습니다. 비밀번호 재설정 링크: 고객 계정에 속합니다.
서버의 Credinet 플랫폼에 직접적인 영향을 미치는 정보는 다음과 같습니다.
데이터베이스 자격 증명: CredinetSQL 데이터베이스에 대한 일반 텍스트 암호 포함 Appsecrets: 로그에는 Credinet 플랫폼 데이터 저장소에 대한 다양한 응용 프로그램 비밀이 포함되어 있습니다.
Credinet/Sistecredito 는 Credinet/Sistecredito 및 해당 고객을 심각하게 해치는 데 사용될 수 있는 민감한 고객 정보를 노출합니다. 데이터베이스에 포함
비밀번호 재설정 링크를 통해 이러한 위반의 영향을 알 수 있습니다. 해커가 수천 개의 사용자 계정에 액세스하는 데 사용할 수 있습니다.
해커는 데이터베이스에 포함된 고객 이메일 주소 목록에 액세스하여 이러한 상세 정보 (및 재설정 링크) 를 사용하여 관련 사용자 계정의 비밀번호를 재설정할 수 있습니다. 따라서 해커는 이러한 링크를 사용하여 Credinet 데이터베이스에 있는 3000 개 이상의 사용자 계정 중 하나를 재설정할 수 있습니다.
PII, 리셋 링크 및 JWT 토큰의 침투율은 영향을 받는 고객에 대한 최소 추정치로, 3000 명의 사용자보다 약간 높지만 훨씬 클 수 있습니다.
다음은 유출된 JWT 토큰, 이메일, 비밀번호 재설정 링크 및 기타 형태의 PII 증거를 볼 수 있습니다.
그러나 Credinet/Sistecredito 의 데이터 유출은 회사 자체의 업무에 직접적인 영향을 미칠 수 있으며, 이로 인해 향후 더 큰 고객 데이터 유출이 발생할 가능성이 높습니다. 서버에서 다른 두 가지 형태의 데이터가 발견되기 때문이다. 로그 중 하나에는 이 플랫폼의 데이터 저장소에 대한 자세한 정보를 제공하는 "애플리케이션 기밀" 이 포함되어 있습니다.
연구팀은 또한 CredinetSQL 데이터베이스에 대한 전체 제어를 포함하여 해커에게 추가 액세스 및 권한을 부여할 수 있는 두 개의 데이터베이스 비밀번호를 발견했습니다. 도덕적인 이유로 우리 팀은 이 비밀번호를 테스트하지 않았다.
다음은' 앱 비밀' 과 데이터베이스 비밀번호를 누설한 증거를 볼 수 있다.
Credinet 데이터베이스의 보안 조치가 부족하다는 것은 플랫폼 소유자 (Sistecredito) 가 콜롬비아 기업의 데이터 남용 또는 데이터 보호 조치가 부적절한 모든 사건을 조사하는 콜롬비아 공상관리국 (SIC) 의 검토를 받을 수 있음을 의미합니다.
Credinet/Sistecredito 가 고객 데이터를 남용하려는 범죄 의도가 있다고 판단되면 Credinet/Sistecredito 는 콜롬비아 형법을 위반하여 또 다른 제재와 처벌을 받게 됩니다. 그러나, 현재의 증거에 따르면, 이런 사건은 일어날 것 같지 않다.
영향을 받는 사람인 Sistecredito 와 Credinet 플랫폼은 콜롬비아에 위치해 있으며 콜롬비아 밖에서 어떠한 사업도 하지 않았다고 합니다. Credinet/Sistecredito 등록에 대한 분석에 따르면 이 회사는 콜롬비아에 있으며 Alexa 트래픽 분석에 따르면 콜롬비아 시민과만 거래되는 것으로 나타났습니다.
누가 데이터를 유출했는가? Sistecredito 는 Credinet 플랫폼을 사용하여 업무를 수행하고 콜롬비아 각지의 상점에서 금융 서비스를 사용자에게 등록할 수 있도록 허용했다.
Sistecredito 본사는 콜롬비아 안티오키아 주의 Envigado 에 있다. Sistecredito 는 직원 약 300 명, 연간 매출액 1578 만 달러 (USD) 를 보유한 대기업입니다.
오픈 데이터베이스의 내용은 전체 과정에서 Credinet/Sistecredito 를 수없이 참조하며, Sistecredito 웹 사이트와 Credinet 플랫폼에 대한 링크도 포함되어 있습니다. 따라서 데이터베이스가 Credinet/Sistecredito 에 속하는 것은 분명합니다.
Credinet/Sistecredito 고객에게 미치는 영향은 Credinet/Sistecredito 만이 데이터베이스가 불량 해커에 의해 액세스되었는지 여부를 알 수 있지만, 데이터베이스가 열려 있는 기간은 플랫폼 사용자에게 심각한 사이버 범죄 위험을 초래할 수 있습니다.
고객 이름, e-메일 주소, 휴대폰 번호, 재무 데이터 등 신원 도용 및 사기로 유출된 개인 정보는 다른 여러 플랫폼의 사기 활동을 지원하는 데 사용될 수 있습니다. 사이버 범죄자들은 이 데이터를 피해자로 위장하여 사기를 실시할 수 있다.
사기, 피싱, 맬웨어의 전화번호, 이메일 주소 등의 연락처 정보를 사용하여 사기, 피싱, 맬웨어의 대상 사용자를 잠글 수 있습니다.
해커는 재무 기록, 사용자와의 신뢰 구축, 자금 제출, 추가 PII 제출, 고객 컴퓨터에 맬웨어 다운로드 등의 고객 개인 정보를 사용할 수 있습니다.
해커는 Credinet 또는 Sistecredito 의 대표로 가장할 수 있다. 해커가 이메일로 사용자에게 연락하면 피해자가 링크를 클릭하도록 강요할 수 있다. 피싱 공격입니다. 피해자가 링크를 클릭하면 맬웨어가 사용자의 컴퓨터에 다운로드되어 해커가 더 많은 범죄 활동을 할 수 있도록 도울 수 있습니다.
계정 인계 비밀번호 재설정 링크 및 JWT 토큰을 사용하여 고객 계정을 인수할 수 있습니다.
JWT 토큰은 당신이 Credinet 계정 소유자인지 확인하는 데 사용할 수 있습니다. 해커는 비밀번호 재설정 링크를 사용하여 모든 Credinet 계정의 비밀번호를 재설정할 수도 있습니다.
서버가 유출한 사용자 및 이메일 주소 목록을 사용하여 이러한 공격의 피해자를 잠글 수 있습니다. 해커가 계정에 들어가면 추가 PII 를 보고 다른 사기 활동을 할 수 있습니다.
Credinet/Sistecredito 에 미치는 영향 Credinet 과 플랫폼 소유자 Sistecredito 는 이번 위약으로 많은 경제적, 명예적 손실을 입은 것 같다.
데이터 프라이버시 침해
콜롬비아의 데이터 보호 기관인 SIC 는 Credinet/Sistecredito 의 데이터 행동을 조사할 수 있습니다.
콜롬비아 법률 158 1 에 따르면 데이터 컨트롤러 및 프로세서는 고객 데이터와 관련된 엄격한 보안 조치 및 표준을 유지해야 합니다. 고객의 동의 없이 의도적이든 무의식적이든 고객의 데이터를 수정하거나 공개하는 것은 금지되어 있습니다.
SIC 는 158 1 법률 및 콜롬비아의 광범위한 데이터 보호 법률을 위반한 위반자에게 콜롬비아 최저 법정 임금의 2000 배에 달하는 벌금을 부과할 수 있습니다.
콜롬비아 형법은 어떤 데이터 위반도 심각한 범죄로 간주하며, 개인이 개인이나 제 3 자의 이익을 위해 무단 고객 데이터를 의도적으로 유출하는 경우.
어떤 위법 행위라도 콜롬비아 최저 법정임금 65,438+000 ~ 65,438+0000 배에 해당하는 벌금과 48 ~ 96 개월의 감금으로 이어질 수 있다. 그러나 Credinet/Sistecredito 가 의도적으로 고객 데이터를 유출했다는 증거는 없습니다.
이러한 비용 외에도 영향을 받는 사용자는 Credinet/Sistecredito 로부터 보상을 받을 수 있습니다. 보상을 요청하는 모든 법적 조치는 영향을 받는 당사자에게 영향을 주어 회사에 추가적인 경제적 손실을 초래할 수 있습니다.
업무 손실과 같은 사건으로 인한 평판 손실은 유형적이다. 고객은 회사의 개인 데이터를 신뢰하며, 회사가 이 데이터를 누설하면 신뢰의 요소가 파괴된다. 자료가 고의로 유출됐든 아니든 피해자의 인권을 침해했다. Credinet/Sistecredito 는 고객을 위험에 빠뜨리고 브랜드 이미지에 악영향을 줍니다.
부정적인 홍보로 인해 일부 소비자들은 앞으로 Credinet 과 Sistecredito 사용을 피할 수 있으며, 기존 고객은 안전하지 않거나 데이터 보안에 대해 걱정할 경우 해당 회사와의 관계를 종료할 수 있습니다.
커머셜 스파이 크리디넷/시세시세티토는 오픈 Elasticsearch 서버에 대량의 고객 데이터가 포함된 심각한 커머셜 스파이 위험에 직면해 있습니다.
경쟁 업체는 Credinet 데이터베이스의 고객 목록에 할인을 제공할 수 있으며, 다른 형태의 PII 에 따라 방법을 사용자 정의할 수도 있습니다. 사용자가 경쟁업체로 이전함에 따라 Credinet 플랫폼 및 Sistecredito 의 금융 서비스가 손실될 수 있습니다. 다른 경쟁자들은 심지어 가장할 수도 있다.