Laporan: Office Depot Eropa Mengungkap Data Pelanggan Secara Online

JASA SEO SURABAYA

Pada 3 Maret 2021, peneliti keamanan Jeremiah Fowler dan tim peneliti Website Planet menemukan database Elasticsearch yang tidak dilindungi kata sandi yang berisi kurang dari satu juta catatan. Catatan yang terbuka diberi label sebagai “Produksi” dan berisi nama pelanggan, telepon, alamat fisik, dan lainnya. Pemantauan dan catatan file mengekspos banyak catatan internal yang seharusnya tidak dapat diakses publik.

Ada banyak referensi ke Office Depot dalam sampel besar catatan. Kami segera mengirimkan pengungkapan yang bertanggung jawab ke Office Depot dan database diamankan dalam beberapa jam. Pada tanggal 5 Maret, kami menerima balasan dari anggota tim dengan tim Operasi Keamanan di Office Depot Eropa yang berterima kasih kepada kami atas pemberitahuan dan meningkatkan kesadaran akan paparan data.

Kebocoran ini dapat memberikan informasi yang cukup bagi penjahat dunia maya untuk menargetkan pelanggan dengan serangan manipulasi psikologis atau mencoba mendapatkan akses ke akun tersebut.

Apa yang Berisi Basis Data:

  • Total Rekaman: 974.050
  • Jenis indeks yang diekspos meliputi: monitoring-kibana,
    Apm-metrik, filebeat, log detak jantung.
  • Ada banyak referensi ke “Officedepot” dalam kumpulan data seperti nama host, alamat IP, dan jalur yang menunjukkan server itu milik mereka.
  • Di antara data yang terpapar adalah * informasi Login SSH, dasbor dan log grup pengguna karyawan internal, serta catatan pelanggan Eropa dengan paling banyak mereferensikan Jerman.
    * (SSH memungkinkan koneksi aman ke server atau mesin jarak jauh)
  • Catatan tersebut diberi label “Produksi” dan berisi PII pelanggan seperti nama, nomor telepon, alamat fisik (rumah dan / atau kantor), alamat @ members.ebay, dan sandi berciri. Kebocoran ini juga mengungkap log Marketplace dan riwayat pesanan, yang mengungkap pembelian dan biaya masa lalu pelanggan.
  • Basis data berisiko terkena ransomware atau serangan jahat lainnya.
  • Middleware atau membangun informasi yang memungkinkan jalur sekunder untuk kerentanan. (Middleware menghubungkan aplikasi perangkat lunak pihak ketiga, dan middleware yang sudah kadaluwarsa atau belum ditambal dapat menjadi pintu belakang ke dalam jaringan). Catatan yang lebih teknis termasuk alamat IP, Ports, Pathways, dan info penyimpanan yang dapat dieksploitasi oleh penjahat dunia maya untuk mengakses lebih dalam ke jaringan.

Laporan: Office Depot Eropa Mengungkap Data Pelanggan Secara Online

Rekaman memaparkan informasi rinci tentang cara kerja bagian dalam jaringan. Tangkapan layar ini menunjukkan “Kerusakan Sistem Operasi” dan akan memberi penyerang potensial pemahaman yang jelas tentang cara mengeksploitasi kerentanan yang diketahui atau metode mengganggu lainnya.

Laporan: Office Depot Eropa Mengungkap Data Pelanggan Secara Online
Bagaimana informasi pelanggan disimpan dalam teks biasa.

Implikasi Privasi

Setiap kebocoran data yang tidak diinginkan berpotensi menimbulkan risiko bagi pelanggan dan jaringan internal yang terekspos. Selalu ada kemungkinan nyata pelaku kejahatan mencuri informasi dan menggunakannya untuk tujuan penipuan. Catatan ini dapat diakses oleh siapa saja yang memiliki koneksi internet.

Catatan: Kami tidak pernah mengunduh atau mengekstrak data yang kami temukan dan hanya mengambil beberapa tangkapan layar untuk keperluan verifikasi. Kami menyunting informasi yang berpotensi sensitif untuk melindungi privasi pengguna atau pelanggan.

Semua catatan yang berisi PII berbasis di Uni Eropa dan banyak yang mereferensikan Jerman. Di UE ada aturan perlindungan data yang sangat jelas dan sanksi finansial. Pada 25 Mei 2018, UE mengesahkan Peraturan Perlindungan Data Umum (GDPR). Perubahan ini memungkinkan regulator perlindungan data kemampuan untuk memberlakukan denda tinggi dan pedoman pelaporan yang ketat. Jumlah denda tertinggi adalah maksimum € 20 juta atau 4% dari omset tahunan global suatu bisnis, mana saja yang lebih tinggi. Paparan data di UE harus dilaporkan dalam 72 jam ke otoritas yang tepat.

Praktik Terbaik dan Risiko

Selain merekomendasikan untuk mengonfigurasi dengan benar server apa pun yang Anda miliki untuk membatasi akses ke sana, kami merekomendasikan bahwa semua data harus dienkripsi. Perusahaan dan organisasi terus mengumpulkan dan menyimpan data sensitif dalam teks biasa atau menggunakan algoritme enkripsi yang sudah ketinggalan zaman. Salah satu kesalahan terbesar adalah mengenkripsi catatan tetapi menyertakan kunci enkripsi dalam database yang sama. Ini akan memungkinkan siapa saja untuk membuka kunci data dan memiliki akses penuh ke catatan ini.

Manajemen dan pembaruan patch sangat penting untuk mengelola kerentanan. Lanskap keamanan selalu berubah dan memastikan bahwa aplikasi dan middleware selalu diperbarui adalah salah satu cara terbaik untuk mengurangi risiko ini. Versi lama dan perangkat lunak usang dapat menciptakan kerentanan kritis.

Jangan pernah meremehkan nilai pemantauan dan log kesalahan. Risiko nyata dari file log adalah mereka dapat mengekspos potongan kecil data yang secara kolektif berfungsi sebagai potongan puzzle untuk membuat gambaran jaringan yang lebih besar. Ini dapat mencakup detail tentang middleware yang dapat ditargetkan sebagai jalur sekunder untuk malware, sistem operasi, atau bahkan jalur ke akun penyimpanan cloud. Setelah penjahat dunia maya atau peretas negara bagian memahami bagaimana jaringan atau infrastruktur dibangun dan dioperasikan, mudah untuk meluncurkan rencana serangan. Kami tidak menyiratkan bahwa Office Depot Eropa atau pelanggan mereka menjadi sasaran dalam bentuk serangan ini tetapi hanya menyoroti potensi risiko bagaimana jenis paparan ini dapat dieksploitasi.

Dalam hal ini ada banyak catatan internal yang seharusnya tidak diungkapkan kepada publik. Ketika informasi identitas pribadi (PII) terekspos, kemampuan untuk menargetkan individu tersebut menjadi lebih sederhana. Setelah penjahat dunia maya memiliki informasi ini, mereka dapat langsung menargetkan pelanggan atau karyawan dan merujuk informasi khusus akun. Sebagai contoh, katakanlah secara hipotetis, seorang penjahat menelepon pelanggan dan mereka memvalidasi pesanan terbaru. Selanjutnya penjahat mengatakan ada yang salah dengan informasi penagihan Anda, bisakah Anda memberi saya nomor kartu kredit yang digunakan untuk pembelian Anda? Pelanggan tidak akan memiliki alasan untuk meragukan ini karena penelepon dapat memvalidasi detail nyata yang hanya diketahui oleh pengecer. Ini adalah cara kerja serangan manipulasi psikologis dan merupakan salah satu bentuk penipuan paling umum yang digunakan saat ini.

Toko Fisik ke E-niaga

Office Depot Europe adalah bisnis Eropa dari perusahaan AS Office Depot Inc. Pada Jan 2017 AURELIUS Group mengakuisisi operasi Office Depot di Eropa. Berkantor pusat di Venlo, Belanda, Office Depot Eropa beroperasi di 13 negara melalui dua merek utamanya, Office Depot dan Viking, dengan toko ritel di Prancis dan Swedia. Office Depot Eropa menjual produknya langsung ke bisnis kecil dan menengah serta individu pribadi secara online, dan di bawah nama merek Viking.

Tampaknya banyak dari catatan ini terhubung ke toko eBay Office Depot. Ada nama pelanggan, nomor telepon, alamat fisik, akun @ members.ebay.com, dan kata sandi yang di-hash. Ini termasuk jenis pelanggan seperti B2C (bisnis ke pelanggan) atau B2B (bisnis ke bisnis), nomor pelanggan online dan nomor pelanggan backend.

Office Depot Eropa bertindak cepat dan profesional untuk mengamankan data dan membatasi akses publik. Tidak jelas berapa lama data tersebut terungkap atau siapa lagi yang mungkin memiliki akses ke catatan tersebut. Menurut mesin pencari Binary Edge IoT, port yang terbuka pertama kali terdeteksi: 2/22/21 pada 10:31. Ini akan menunjukkan kemungkinan bahwa database salah konfigurasi untuk memungkinkan akses publik selama 10 hari. Merupakan keajaiban bahwa data tidak dihancurkan oleh ransomware otomatis atau skrip berbahaya lainnya yang menargetkan database yang tidak dilindungi kata sandi.

Leave a Reply

Your email address will not be published. Required fields are marked *