Laporan: Perangkat Lunak Manajemen Pengiriman AS Terkena Pelanggaran Data

JASA SEO SURABAYA

Nama dan lokasi perusahaan: Tidak diketahui

Ukuran pelanggaran: 4.361 file terekspos (103 GB)

Jumlah orang yang terpapar: 4.000+

Format Penyimpanan Data: Bucket AWS S3

Negara yang Terkena Dampak: Amerika Serikat

Sebuah perusahaan perangkat lunak yang berbasis di AS, berfokus pada pengiriman perangkat lunak manajemen transportasi untuk perantara pengangkutan multinasional, telah terungkap dalam pelanggaran data 103GB oleh salah satu pelanggan mereka, mempengaruhi lebih dari 4.000 orang termasuk karyawan perusahaan, perwakilan penjualan dan orang-orang yang bekerja untuk ketiga- pembawa pesta.

Sebagai bagian dari melakukan pemindaian server rutin untuk potensi kerentanan, file Situs Planet tim menemukan bahwa perusahaan yang terpengaruh telah terpapar oleh AWS S3 Bucket yang salah dikonfigurasi, sehingga membuatnya tidak aman dan rentan terhadap gangguan.

Kurangnya keamanan yang memadai berarti pengguna yang tidak sah berpotensi mengakses Bucket hanya dengan memasukkan URL yang benar.

Siapa Aljex

Aljex adalah perusahaan perangkat lunak berbasis di AS yang mengembangkan perangkat lunak transportasi yang digunakan oleh pialang pengiriman global. Perusahaan ini menawarkan kepada kliennya sistem manajemen transportasi eksklusif yang menangani perantara pengiriman dan pencocokan pengiriman digital.

Perusahaan ini telah beroperasi selama lebih dari 20 tahun dan melayani baik perusahaan rintisan kecil maupun raksasa industri. Menurut Aljex, brokernya mengeksekusi lebih dari US $ 3,5 miliar pendapatan transaksional setiap tahun.

Data Terpapar

Detail terkait pengiriman, karyawan, perwakilan penjualan, dan operator pihak ketiga Aljex diungkapkan oleh keranjang yang tidak diklaim, termasuk Informasi Identifikasi Pribadi (PII):

Rincian pengiriman

  • Informasi pengiriman
  • Nama penerima barang
  • Asal dan tujuan pengiriman
  • Alamat
  • Nomor telepon (operator dan penerima)

Data akun klien Aljex termasuk:

  • Nama lengkap
  • Nomor telepon
  • Alamat email
  • Nama Pengguna Aljex
  • Sandi teks biasa
Aljex
Detail karyawan

Detail operator:

  • Informasi operator
  • Nama lengkap
  • Alamat email
  • Alamat
  • Nomor telepon
  • Kata sandi
Aljex
Detail operator

Detail perwakilan penjualan klien Aljex

  • Nama lengkap
  • Email perusahaan
  • Nama pengguna Aljex
  • ID perwakilan penjualan
Aljex
Detail perwakilan penjualan

Siapa yang terpengaruh?

Beberapa kelompok orang dan datanya terekspos termasuk karyawan Aljex, perwakilan penjualan, dan operator pihak ketiga.

Aljex

Datanya Bocor?

Amazon S3 Bucket salah dikonfigurasi dan tidak memiliki langkah-langkah keamanan dasar dan informasi pengguna berpotensi terekspos ke pihak ketiga yang tidak berwenang.

Siapa pun dengan URL yang benar dapat mengakses Bucket dan file di dalamnya. Perlu diketahui bahwa hal ini disebabkan oleh kesalahan konfigurasi bucket di pihak pemilik (tidak diketahui), dan bukan karena masalah pada host server.

Dampak Pelanggan

Dampak yang mungkin terjadi pada pelanggan bisa sangat parah, mengingat jenis informasi yang bocor.

Pertama dan terpenting, peretas dapat memanfaatkan data yang bocor untuk membantu identifikasi penipuan di platform lain. Penipuan phishing dan malware juga dapat diterapkan melalui email yang dikirim ke alamat email orang, termasuk “umpan-klik” yang dipersonalisasi untuk membujuk target agar mengklik ke situs web yang tidak aman.

Spionase perusahaan dan praktik anti-persaingan dapat terjadi karena pengguna jahat bermigrasi atau menargetkan klien potensial di daftar pengguna Aljex.

Nama pengguna dan kata sandi yang bocor juga sangat membahayakan karena peretas dapat membajak akun yang terpengaruh dan menyebabkan kerusakan parah pada operasi bisnis Aljex, serta mitra dan operatornya.

Status Pelanggaran Data

Tim peneliti kami pertama kali mendeteksi pelanggaran pada 24 Desember 2020. Kami menghubungi Aljex pada 30 Desember 2020 dan Amazon Web Services (AWS) pada 2 Januari 2021 untuk memberi tahu mereka tentang temuan kami.

Kami akhirnya menghubungi Descartes, pemilik Aljex, untuk mengungkapkan kebocoran pada 1 Februari 2021. Mereka menghubungi kami sehari setelah memberi tahu kami bahwa ember itu bukan milik mereka dan bahwa mereka akan “berusaha untuk mencoba mengidentifikasi dengan siapa hal ini mungkin terkait dan beri tahu mereka bahwa mereka memiliki AWS S3 Bucket terbuka dalam penyiapan mereka ”. Beberapa jam kemudian pada hari itu ember diamankan.

Melindungi Data Anda

Tidak banyak yang bisa dilakukan oleh karyawan, perwakilan penjualan, pelanggan, dan operator Aljex untuk mencegah kebocoran data mereka. Kesalahan kebocoran server sepenuhnya ada pada pemilik bucket.

Bagaimana dan Mengapa Kami Melaporkan Pelanggaran Data

Website Planet adalah entitas yang berupaya membantu pembacanya tetap aman saat menggunakan situs web atau layanan online apa pun. Namun, mengingat sebagian besar pelanggaran data tidak pernah ditemukan atau dilaporkan oleh perusahaan yang terpengaruh, menyampaikan informasi risiko saat ini dapat menjadi masalah. Sebagai hasilnya, kami berusaha mengidentifikasi kerentanan online yang ada yang membuat orang berisiko, untuk lebih mempersiapkan mereka menghadapi risiko yang mereka hadapi saat online.

Sebagai sebuah organisasi, kami mengikuti prinsip peretasan etis dan kami selalu bekerja sesuai dengan hukum. Kami hanya menyelidiki database yang tidak aman dan tidak terlindungi yang ditemukan secara acak. Kami tidak pernah menargetkan perusahaan tertentu dan kami selalu melaporkan semua temuan kami kepada pihak yang berwenang, termasuk perusahaan yang terkena dampak itu sendiri.

Dengan melaporkan kebocoran ini, kami membantu menjadikan internet lebih aman untuk semua orang.

Apa itu Website Planet?

Website Planet adalah sumber daya nomor satu untuk desainer web, pemasar digital, pengembang, dan bisnis yang hadir secara online. Anda akan menemukan alat dan sumber daya yang berguna untuk semua orang, mulai dari pemula hingga ahli serta melaporkan perkembangan terbaru dalam keamanan siber. Kejujuran dan transparansi adalah prioritas utama kami.

Kami memiliki tim ahli riset keamanan etis berpengalaman yang mengungkap dan mengungkap kebocoran data serius sebagai bagian dari layanan gratis untuk komunitas online. Ini termasuk kerentanan di portal real estate Rumania dan Database yang berisi catatan pengadilan yang membocorkan data pribadi.

Baca tentang bagaimana kami menguji lima host web populer untuk melihat betapa mudahnya mereka diretas, di sini.

Leave a Reply

Your email address will not be published. Required fields are marked *