Laporan: Giant Bizongo Rantai Pasokan India Menderita Pelanggaran Data yang Menghancurkan

JASA SEO SURABAYA

Tim keamanan Website Planet telah mengidentifikasi pelanggaran data yang mengkhawatirkan dalam perusahaan akuisisi kemasan Bizongo, platform rantai pasokan digital yang berbasis di Mumbai, India.

Pada akhir Desember 2020, tim kami menemukan bucket yang salah dikonfigurasi yang dimiliki oleh Bizongo, menyebabkan informasi pelanggan yang sangat sensitif tidak aman dan berpotensi terpapar oleh peretas, dan individu berbahaya lainnya. Mengingat besarnya pelanggaran, mungkin ada lebih dari seribu bisnis yang terkena dampak, bersama dengan ratusan ribu orang.

Bizongo adalah pasar pengemasan online dengan jaringan luas lebih dari 400 klien yang mencakup banyak industri, dan telah mengirimkan lebih dari 860 juta paket hingga saat ini.

Siapa pun yang telah menerima paket melalui Bizongo, atau memesan dengan perusahaan berisiko mengalami pelanggaran data ini.

Data Pelanggan Bocor

  • Data PII: Nama, alamat pengiriman, alamat penagihan, dan nomor telepon pembeli telah diungkapkan.
  • Rincian Pembayaran: Tagihan berisi detail pembelian dan detail keuangan klien, bersama dengan nomor pelacakan pengiriman dan data keuangan pembeli dan penjual.

Bizongo meninggalkan data pelanggan tanpa jaminan di bucket Amazon Web Services (AWS) S3 mereka yang salah dikonfigurasi, layanan penyimpanan cloud yang banyak digunakan. Untuk jangka waktu tertentu, nama, alamat, nomor, dan detail keuangan pembeli dan penjual dapat diakses oleh pihak ketiga yang berpotensi membahayakan.

Hasilnya, 2.532.610 file telah diekspos, setara dengan 643GB data. Keranjang Bizongo sudah tayang pada saat ditemukan, dan berisi beberapa file dengan tanggal terkini.

Menurut tim keamanan kami, ada dua jenis file berbeda yang disimpan di bucket. Tagihan pelanggan dan label pengiriman yang dibiarkan tanpa jaminan, seperti yang Anda lihat pada contoh di bawah ini.

Bizongo
Tagihan pelanggan terungkap dalam pelanggaran data.
Bizongo
Beberapa tagihan yang bocor terlihat berbeda, dan mungkin sedikit lebih tua.
Bizongo
Label pengiriman juga terungkap.

Periode waktu pasti di mana data ini tanpa jaminan saat ini tidak diketahui. Namun, kami dapat memberi tahu Anda bahwa pelanggaran telah diidentifikasi dan dilaporkan pada 30 Desember 2020. Meskipun kami tidak pernah menerima tanggapan dari Bizongo terkait pelanggaran data ini, tim keamanan Website Planet memeriksa bucket lagi pada 8 Januari 2021, pada saat itu. pelanggaran itu ditutup.

Bizongo bekerja dengan lebih dari 750 produsen, dan memasok kemasan ke lebih dari 400 klien. Artinya, mungkin ada lebih dari seribu bisnis yang terpengaruh.

Sulit untuk mengetahui dengan pasti berapa banyak orang yang terpengaruh, mengingat satu bisnis dapat memesan ke satu alamat, sementara bisnis lainnya dapat mengirim paket ke beberapa alamat, atau membuat pesanan melalui beberapa nama. Pasti ada ribuan orang yang berisiko, dan mengingat skala operasi Bizongo, berpotensi lebih dari itu.

Meskipun India belum memberlakukan undang-undang perlindungan data khusus, Bizongo masih bertanggung jawab atas pengungkapan data pribadi yang tidak tepat. Individu yang terkena dampak berhak mendapatkan tindakan hukum dan kompensasi.

Siapa yang Terkena Dampak

Bizongo adalah merek bisnis-ke-bisnis, yang berarti bahwa pelanggaran ini terutama akan memengaruhi bisnis lain dan bukan masyarakat umum.

Fokus utama Bizongo adalah melayani bisnis India, dan tidak ada bukti yang menunjukkan bahwa layanan mereka menjangkau melampaui batas India. Meskipun perusahaan baru saja mengubah domain situs webnya menjadi ‘dotcom,’ menunjukkan ada potensi untuk bisnis internasional.

Klien Bizongo yang dikenal meliputi: Saso, Jodhpur, Delhivery, Box 8, Bunge, Neolite, snapdeal, Carnival Group, Jio, Cure.fit, swiggy dan Flipkart. Ada kemungkinan bahwa klien ini telah terpengaruh oleh pelanggaran tersebut.

Setiap bisnis India atau pemasok kemasan yang telah menggunakan platform Bizongo juga berisiko mengalami pelanggaran data ini. Pihak terkait harus mencari klarifikasi lebih lanjut tentang data mereka, dan pelanggaran ini, dari Bizongo sendiri.

Siapa yang Membocorkan Data?

Bizongo adalah pasar pengemasan online B2B yang merampingkan pengadaan dan pengiriman solusi pengemasan untuk bisnis di seluruh India. Bizongo menghubungkan klien dengan produk produsen pengemasan, menghentikan proses negosiasi. Mereka adalah perusahaan yang relatif baru, didirikan pada tahun 2015, dan saat ini mempekerjakan antara 250-500 anggota staf.

Sejauh ini Bizongo telah mengirimkan lebih dari 860 juta paket di seluruh negeri, dengan solusi pengemasan yang disediakan di berbagai industri – mulai dari ritel, logistik, teknik, kosmetik, e-commerce, dan banyak lainnya. Bizongo telah mengumpulkan lebih dari $ 79 juta dalam pendanaan, dengan investor menjanjikan $ 9 juta pada awal 2021 (sesuai crunchbase).

Meskipun keranjang AWS S3 adalah produk Amazon, Amazon tidak bertanggung jawab atas pelanggaran data ini. Keterpaparan tersebut kemungkinan besar disebabkan oleh kesalahan manusia pada pihak Bizongo, di mana keranjang telah salah dikonfigurasi.

Dampak pada Pengguna Akhir

Kami tidak dapat mengetahui dengan pasti apakah data yang tidak aman telah diakses oleh peretas dan penipu yang tidak etis. Namun, ada kemungkinan bahwa data yang bocor telah ditemukan, dalam hal ini ada sejumlah risiko yang harus diwaspadai oleh pengguna.

  • Pencurian Identitas dan Penipuan – Data pribadi yang bocor, seperti nama, alamat, dan nomor telepon, dapat digunakan untuk menargetkan korban, dan membantu dalam aktivitas penipuan di beberapa platform lain.
  • Scam – Nomor telepon yang terekspos dapat digunakan untuk menargetkan korban dengan penipuan. Di sini, penipu akan mencoba membangun kepercayaan dengan menggunakan informasi pribadi Anda. Mereka cenderung mencoba menipu korban agar mengungkapkan detail rekening bank mereka, atau informasi sensitif dan pribadi lainnya.
  • Spionase Bisnis – Bisnis dapat menjadi sasaran pesaing yang mengetahui tentang daftar pengguna yang bocor.
  • Pencurian – Informasi pribadi yang tersedia dan detail pengiriman berarti produk dalam jumlah besar dapat disadap, dan rentan terhadap pencurian.

Dampak pada Bizongo

Hukum Privasi Data

Seperti yang disebutkan sebelumnya, Bizongo diharuskan untuk memberikan tingkat keamanan yang memadai untuk data klien dan mitranya. Meskipun pelanggaran ‘aturan’ ini tidak dapat dihukum oleh undang-undang (hingga saat ini), pihak yang terkena dampak berhak untuk melakukan tindakan hukum, dan kompensasi, jika data mereka bocor.

Kehilangan Bisnis

Pelanggaran data ini juga berpotensi merusak reputasi Bizongo, dengan hilangnya bisnis sebagai akibat yang umum.

Kegagalan Bizongo untuk mengamankan data klien dan merek terkait dengan benar menempatkan mereka sebagai organisasi yang tidak dapat dipercaya. Bisnis yang ingin mencoba platform sekarang dapat menghindari Bizongo sama sekali.

Jika Bizongo tidak dapat memastikan keamanan klien dan mitranya, klien dan mitra yang ada tersebut juga dapat menjalankan bisnis mereka di tempat lain.

Spionase Kompetitif

Ini adalah tindakan menggunakan spionase (mata-mata) untuk mendapatkan keuntungan komersial atau finansial atas pesaing bisnis.

Pelanggaran data membuka Bizongo terhadap jenis ancaman ini, bersama dengan semua pemasok dan klien yang informasinya terungkap. Peretas mungkin dapat menyamar sebagai anggota bisnis, atau klien, untuk mengakses informasi rahasia seperti akun, atau bahkan rahasia dagang.

Pesaing akan dapat mencuri informasi, dan dengan akses ke poin harga dan detail klien, dengan mudah memotong dan merusak operasi bisnis Bizongo.

Status Pelanggaran Data

Pelanggaran ditemukan pada 30 Desember 2020, dan kami memberi tahu Bizongo tentang pelanggaran tersebut pada hari yang sama. Kami juga mengungkapkan pelanggaran ke AWS pada 2 Januari 2021.

Bizongo tidak menanggapi upaya kami untuk menghubungi. Tim keamanan kami memeriksa kembali status bucket pada 8 Januari. Untungnya, ember itu ditemukan aman, dan celahnya ditutup.

Dengan contoh yang jelas tentang label pengiriman bermerek dan tanda terima pelanggan, menemukan pemilik database yang dilanggar cukup mudah. Semua data yang terpapar diidentifikasi sebagai akurat, dengan data milik individu nyata.

Melindungi Data Anda

Sangat disayangkan, berada di ujung pelanggaran data yang salah, dan tidak terlalu menyenangkan. Meskipun demikian, ada beberapa langkah yang dapat Anda lakukan untuk meminimalkan risiko penipuan, scamming, phishing, atau spionase.

Pertama-tama, jika Anda takut data Anda disimpan di database yang tidak aman, Anda dapat meminta agar data Anda dihapus. Cukup hubungi perusahaan yang dimaksud dan minta mereka untuk mengeluarkan Anda dari database mereka. Mereka harus mematuhinya, sesuai dengan standar privasi.

Anda juga harus ekstra waspada saat bercakap-cakap dengan pihak yang tidak dikenal melalui telepon, atau email. Jika pihak yang tidak dapat dipercaya meminta Anda untuk mengklik link, atau mendownload file, tolak untuk melakukannya sampai Anda benar-benar yakin bahwa ini adalah interaksi yang sah, dan bukan scam. Mintalah bukti audit jika diperlukan, dan bahkan pertimbangkan untuk menerapkan prosedur keamanan tambahan di masa mendatang.

Demikian pula, Anda harus waspada terhadap pihak yang tidak dikenal yang menanyakan terlalu banyak pertanyaan tentang operasi bisnis Anda. Anda dapat melindungi dari serangan tambahan dari peretas, atau pesaing, dengan memastikan bahwa basis data Anda sendiri aman dan terjamin.

Kami menyarankan Anda menyewa seorang profesional keamanan siber untuk memastikan bahwa basis data Anda dilindungi dari individu yang berbahaya.

Bagaimana dan Mengapa Kami Melaporkan Pelanggaran Data

Kami ingin membantu pembaca kami tetap aman saat menggunakan situs web atau produk online apa pun.

Sayangnya, sebagian besar pelanggaran data tidak pernah ditemukan atau dilaporkan oleh perusahaan yang bertanggung jawab. Jadi, kami memutuskan untuk melakukan pekerjaan itu dan menemukan kerentanan yang membahayakan orang.

Kami mengikuti prinsip peretasan etis dan tetap mematuhi hukum. Kami hanya menyelidiki database terbuka dan tidak terlindungi yang kami temukan secara acak, dan kami tidak pernah menargetkan perusahaan tertentu.

Dengan melaporkan kebocoran ini, kami berharap dapat menjadikan internet tempat yang lebih aman bagi semua orang.

Apa itu Website Planet?

Website Planet adalah sumber daya nomor satu untuk desainer web, pemasar digital, pengembang, dan bisnis yang hadir secara online. Anda akan menemukan alat dan sumber daya untuk semua orang, dari pemula hingga ahli – dan kejujuran adalah prioritas utama kami.

Kami memiliki tim ahli riset keamanan etis berpengalaman yang mengungkap dan mengungkap kebocoran data serius sebagai bagian dari layanan gratis untuk komunitas online pada umumnya. Ini termasuk kerentanan di perusahaan real estat dan di perusahaan tunjangan pajak pernikahan di seluruh dunia yang membocorkan data pribadi.

Anda dapat membaca tentang bagaimana kami menguji lima host web populer untuk melihat betapa mudahnya mereka diretas di sini.

Leave a Reply

Your email address will not be published. Required fields are marked *