Archives de rapports de violation de données - 2017

Dans cet article de blog, nous avons rassemblé les 22 violations les plus importantes qui se sont produites en 2017. Tous les rapports ont été réalisés par Chris Vickery - un chasseur de violation de données, qui s'était associé à Mackeeper pour fournir des rapports sur la sécurité et les violations de données les plus chaudes "sur le blog Mackeeper.

Il s'agit du deuxième article d'une série de rapports de violation de données. Allez ici pour lire les archives des rapports de violation de données 2016 .

Cliquez sur un nom de fuite de données pour lire le rapport:

• Broissance militaire
• World Wrestling Entertainment 3 millions de fuites de courriels
• Harak1r1 l'attaque de ransomware Bitcoin 0.2
• Spasurgica: les dossiers des clients des clients de la chirurgie plastique canadienne fuisent
• Interprètes Unlimited: Données personnelles des employés et des clients fuient
• La société de télémarketing fuit près de 400 000 fichiers sensibles
• Fuite de données IndyCar
• Fuite de données sur les services d'impression et de marketing PIP
• Broissance approfondie à l'aéroport INTL
• Le numéro Amazon AWS élimine Internet
• Les chercheurs en sécurité de Mackeeper découvrent les données sensibles des États-Unis
• Violation de données de l'école
• Rapport: 313 grandes bases de données sont devenues publiques
• La société de financement automobile fuit 500K des informations du client en ligne
• Logiciel de communication mondiale: une quantité massive de données en ligne
• Compagnie de remboursement d'impôt touristique mexicain: fuite dans les dossiers des clients
• Mackeeper Research Center découvre un botnet malveillant infecté par Elasticsearch massif
• La société de suivi automatique divulgue des centaines de milliers de disques en ligne
• Employé sans fil Verizon: exposition en ligne des données confidentielles
• Rapport: le développeur de clavier virtuel a divulgué 31 millions d'enregistrements clients
• Les photos privées d'Ashley Madison sont devenues virales
• Rapport: Les cybercriminels volent la base de données des électeurs de l'État de Californie

Lecture et outils essentiels:

• Avec Mac Security Guide, vous plongerez plus profondément dans les paramètres de sécurité macOS
• Obtenez un antivirus Mac qui gardera votre Mac en temps réel
• Installez un VPN pour Mac pour avoir une connexion sécurisée chaque fois que vous utilisez Internet
• Le guide de suppression des logiciels malveillants pour les propriétaires de Mac vous montrera comment supprimer divers types de logiciels malveillants
• Comment vérifier votre guide Mac pour les logiciels malveillants vous indiquera comment repérer et supprimer les logiciels malveillants de votre Mac
• Run, j'ai été PWND pour vérifier si vos e-mails sont dans une violation de données
• Passez quelques minutes à lire notre guide sur la façon d'éviter une violation de données

Broissance militaire

Militaryleep.org est un portail patient où les utilisateurs peuvent créer leurs comptes, discuter des options de traitement et poser des questions sur leurs troubles du sommeil. Des chercheurs du Mackeeper Security Research Center ont découvert une base de données Mongo accessible au public qui contient les données médicales privées de milliers d'anciens combattants militaires qui souffrent de troubles du sommeil.

La base de données contenait une base de données totale de 2 concerts contenant plus de 1 300 messages (communications sensibles entre les patients et les médecins) et des données personnelles de plus de 1 200 utilisateurs, y compris leurs noms, e-mails, numéros de cellules personnels, mots de passe non chiffrés et rang militaire / rang. Les informations les plus dommageables découvertes sont les notes stockées et les journaux de discussion où les patients posent des questions sur les problèmes médicaux sensibles qu'ils éprouvent et croient que la communication est confidentielle. De nombreuses adresses e-mail sont @ US.Army.mil et nous pouvons supposer traiter à la fois des membres actifs et anciens des militaires.

La vie privée médicale est extrêmement importante pour les citoyens et les anciens combattants militaires et si les détails sont divulgués sur leurs diagnostics et leur traitement, cela pourrait affecter leur emploi actuel, leur emploi futur, les autorisations de sécurité ou d'autres domaines de leur vie. Pire encore, la crainte que les employeurs puissent discriminer un demandeur ou un employé sur la base de leurs dossiers médicaux divulgués ou de leur probabilité de maladie. C'est pourquoi la protection des dossiers médicaux est si importante et chaque étape pour la cybersécurité doit être prise.

Le site est enregistré auprès du Dr Emerson Wickwire Ph.D., basé au Maryland,. Et selon son site Web personnel, «Mes intérêts de recherche se concentrent sur les processus de sommeil biobehavioral, y compris le sommeil en tant que thérapie pour le corps et le cerveau, les troubles du sommeil les plus courants, le sommeil dans des populations spéciales et la diffusion des meilleures pratiques.»

Heureusement, cette base de données n'a pas été victime du Harak1r1 le 0,2 Ransomware Bitcoin - un acteur malveillant qui cible MongoDB non protégé dans le monde entier. Peu de temps après, nous avons envoyé des notifications par e-mail à la base de données fermées, mais sans aucun mot ni commentaire des développeurs.

Nous tenons à remercier la dissidence de Databreaches.net pour avoir aidé à couvrir / sécuriser cette violation. Assurez-vous de lire son histoire ici.

La base de données Militaryleep.org a été découverte un jour après que des milliers de bases de données de Mongo mal configurées ont été infectées et que toutes les données ont été supprimées et ont tenu une rançon pour 0,2 Bitcoin pour récupérer leurs dossiers. Cette malheureuse fuite de données vient peut-être d'éviter leurs données de supprimer par le ransomware Bitcoin Harak1r1. Plus tôt cette semaine, le Mackeeper Research Center a découvert qu'une base de données connectée à Emory Healthcare était estimée.

World Wrestling Entertainment fuit 3 millions de courriels

World Wrestling Entertainment était également connu sous le nom de la WWE est une entreprise de divertissement américaine populaire et promoteur de la lutte professionnelle. Bien que la lutte soit leur objectif principal, ils gagnent également des revenus des films, de la musique, des jeux vidéo, des licences de produits, des ventes directes de produits, etc.

Cette semaine, des chercheurs en sécurité de Mackeeper ont découvert deux seaux Amazon S3 ouverts et accessibles en bourse qui contenaient une énorme trate d'informations collectées par des agences de tiers spécifiquement à des fins de marketing de la WWE. Nous estimons qu'environ 12% de toutes les informations (plusieurs gigaoctets) ont été définies sur l'accès «public» et disponible pour toute personne ayant une connexion Internet à afficher et à télécharger.

Quelle fuite de données WWE contient

Le premier du seau Amazon S3 non sécurisé contenait un gros groupe d'e-mails dans des fichiers TXT. Les données sont passées de 2014-2015 et contiennent les noms des fans, le courrier électronique, l'adresse physique et les résultats d'une enquête démographique de leurs fans en demandant l'éducation, l'âge et la race, l'âge des enfants et le sexe des enfants. Le nombre total de dossiers était de 3 065 805 et les chercheurs ont vérifié s'il y avait des doublons et dans l'échantillonnage, il semble qu'ils étaient tous uniques.

Champs de données pour les enregistrements 3M:

Malgré tous les scripts et sans doute des matchs mis en scène, ils ont une base de fans et suivant. La WWE est regardée par 15 millions de fans chaque semaine aux États-Unis seulement et en 2016, ils ont annoncé qu'ils se développaient en Chine en leur donnant une nouvelle base de fans potentielle de 1,4 milliard!

L'une des archives stockées avec un accès public comprenait également un fichier de configuration avec un autre nom de seau lié à la WWE.

Le deuxième seau était également partiellement (environ 12 à 15% des données) définie pour l'accès du public et contenait une autre partie géante des données marketing et clients, y compris les détails de facturation (adresses, noms d'utilisateurs, etc.) de plusieurs centaines de milliers de clients européens à partir de 2016.

Les documents comprenaient également des feuilles de calcul avec le suivi des médias sociaux des comptes de médias sociaux de la WWE, comme YouTube avec des totaux hebdomadaires de jeu, des partages, des commentaires et un aperçu plus approfondi de la façon dont ils gèrent leurs interactions des réseaux sociaux et mesurer les interactions des fans. La liste a même été décomposée par le pays, donc on pourrait imaginer qu'ils peuvent mieux cibler leurs annonces ou leur contenu localisé.

En outre, il y a été un grand cache de messages Twitter, enregistré en tant que résultats de recherche pour les mots clés spécifiés liés à la WWE.

Les grandes sociétés de divertissement ne partagent jamais ce genre de choses publiquement, donc c'est une vision rare de la façon dont la WWE utilise les mégadonnées pour comprendre leur base de fans et le contenu qu'ils produisent.

Les deux seaux ont été sécurisés dans quelques heures après avoir envoyé des messages de notification aux e-mails des développeurs de WWE Corp trouvés dans le premier seau. Cependant, aucune réponse ou commentaire n'a été reçue quant à la durée de l'exposition de ces données, du nombre de clients exposés leurs informations et du nombre d'adresses IP qui peuvent avoir accédé à la base de données.

Bien qu'il s'agisse d'une organisation mondiale de divertissement, il est très peu connu sur le fonctionnement intérieur en coulisses de l'entreprise privée. Selon certaines estimations, la WWE est une valeur de valeur jusqu'à 4 milliards de dollars. De nombreux dossiers ont été protégés et n'ont pas permis un accès externe. Aucune information sur les lutteurs ou le personnel n'était accessible, mais la fuite des e-mails, des noms et d'autres données des fans est un réveil de cybersécurité.

Cette nouvelle vient dans les talons d'une série de hacks impliquant les photos nues divulguées des Divas de la WWE et même un scandale de sex tape impliquant la superstar britannique Paige. Les stars de la WWE étaient également les stars de la WWE Maryse, Victoria et Alexia Bliss.

ATTENTION - Des parties de cet article peuvent être utilisées pour publication si elles sont correctement référencées et un crédit est accordé au Mackeeper Security Research Center.

Une autre victime de Harak1r1 le 0,2 Bitcoin Ransomware

Comme vous le savez peut-être, les dossiers médicaux sont protégés aux États-Unis en vertu de la loi fédérale et des États. Les hôpitaux, les médecins et les assureurs peuvent faire face à de grandes amendes et pénalités lorsque les dossiers médicaux sont divulgués en ligne. Le 30 décembre 2016, le Mackeeper Security Research Center a découvert une base de données Mongo mal configurée qui contenait des centaines de milliers de ce qui semblait être des dossiers de patients et d'autres informations sensibles.


L'IP a été hébergée sur Google Cloud et les résultats pour les noms de domaine hébergés sur cette adresse (IP inversé) identifié Emory Brain Health Center. Le 3 janvier 2017, lorsque l'équipe de recherche est retournée examiner les données, il a été identifié que la base de données avait été victime du Harak1r1 le 0,2 Ransomware Bitcoin.


Cette méthode de rançon non traditionnelle prend et supprime les données des victimes et la détient jusqu'à ce que la rançon soit payée. Les données sont complètement anéanties à partir de la base de données et ne sont pas simplement cryptées comme les types les plus courants d'attaques de ransomwares. Voir les détails ici.


Dans le scan d'origine de la base de données par le Mackeeper Security Research Center, le nombre estimé d'enregistrements exposés semble être supérieur à 200 000! Ils ont été tombés en panne dans les noms de fichiers et enregistrements suivants:

• «Clinicworkflow» contenait 6 772 dossiers (numéro de dossier médical, adresse, date de naissance, nom, nom de famille)
• «Orthopedics» contenait 31 482 dossiers (prénom, nom de famille, numéro de dossier médical, adresse, e-mail)
• 'Orthopaedic2' contenait 157 705 enregistrements (téléphone portable, prénom, nom de famille, adresse, e-mail)
• 'Orthoworkflow' contenait 168 354 enregistrements (téléphone portable, prénom, nom de famille, date de naissance, adresse, e-mail)

Le message suivant a été trouvé dans la base de données:

Exemple de texte d'enregistrements et de collecte de données qui a maintenant été extrait par le Harak1r1 le ransomware Bitcoin 0.2. Cet exemple a été pris avant la suppression des données.

La grande question: si la base de données découverte par le Mackeeper Security Research Center appartenait en fait à Emory Healthcare. Ont-ils pris les mesures appropriées pour informer leurs clients et les autorités concernant ce vol et violation de données?


En coopération avec la dissidence de Databreaches.net, nous avons contacté plusieurs contacts dans le but d'identifier le lien avec Emory Healthcare ou d'obtenir un commentaire sur la façon dont ils prévoient de récupérer leurs données ou d'informer les patients.

Spasurgica: la chirurgie plastique canadienne divulgue les dossiers des clients

Les fichiers contenaient avant et après des photos d'augmentation mammaire, d'implants et de réduction. Spasurgica offre également une réduction labiale, une liposuccion et un large éventail d'options de chirurgie plastique que de nombreux clients souhaiteraient privé. Les images, les descriptions et les antécédents médicaux de chaque patient donnent un aperçu intime du type de données divulgué. Ce ne sont pas seulement les adresses personnelles et les dossiers médicaux, ce sont des photos intimes du corps du patient. Il y avait également un accès à des fichiers texte non cryptés contenant des noms d'utilisateur et des mots de passe pour les comptes, les imprimantes et d'autres connexions protégées par mot de passe.

L'équipe de Mackeeper est reconnaissante de dissidence de Databreaches.net qui a participé à cette enquête et a aidé à informer le bureau de la fuite du Dr Mohamed Elmaraghy. L'accès a depuis été fermé et n'est plus disponible publiquement. Nous n'avons jamais eu de nouvelles de Spasurgica, bien que plusieurs e-mails de notification aient été envoyés immédiatement après la découverte.

En savoir plus sur son histoire ici.

Mots de passe d'infrastructure réseau en texte brut.

Les archives des images des patients contenaient des centaines d'images.

Les noms des patients sont associés aux images.

Les dossiers médicaux peuvent être extrêmement privés et sensibles. Ce n'est qu'un exemple de l'un des milliers de fichiers numérisés ou de fax montre un patient qui a non seulement partagé comment ses parents sont morts et chaque problème médical majeur qu'elle a rencontré, mais comprenait également des détails sur la dépendance à la cocaïne. La toxicomanie et les dossiers de santé peuvent malheureusement influencer l'emploi ou comment les employeurs considèrent les employés ayant des conditions médicales privées ou des défis.

La loi canadienne protège les patients dans les fuites de données

Selon le site Web du commissaire à l'information et à la vie privée de l'Ontario, il existe un processus strict concernant le vol ou la fuite de données médicales privées. En vertu de la loi de 2004 sur la protection de l'information sur la santé personnelle (PHIPA), les médecins sont obligés de garder confidentiels les informations sur la santé personnelle de leurs patients. PHIPA prévoit également une obligation légale pour les médecins de maintenir et de se conformer aux pratiques d'information qui protègent les informations personnelles de la santé personnelle de leurs patients contre le vol, la perte ou la divulgation non autorisée. Si des informations sur la santé personnelle sont volées, perdues ou consultées par des personnes non autorisées.

La loi exige le confinement et la notification:

S'il est confronté à une violation de la vie privée, il y a deux priorités qui doivent être traitées immédiatement:

• Contintement: Identifiez la portée de la violation potentielle et prenez les mesures nécessaires pour la contenir.
  Notification: les personnes touchées doivent être averties dès que possible.
• Enquêter et résoudre: une fois la violation contenue et les parties concernées, vous devez mener une enquête interne.

***

Interprètes fuites de données personnelles illimitées

L'appareil contenait les informations privées (notre estimation est de 4 500 enregistrements) des clients, des employés, des données salariales, des numéros de sécurité sociale, des e-mails et des données beaucoup plus sensibles en texte brut dans le cadre des feuilles de calcul Excel et des fichiers .txt.

Les dossiers spéciaux comprenaient tous les détails d'accès au serveur, toutes les connexions par e-mail, les mots de passe pour presque tous les employés.

L'administrateur technique du site Web est répertorié dans l'enregistrement WHOIS et il y avait une mine de documents personnels stockés sur l'appareil qui appartiennent à l'informatique.

En règle générale, les numéros de sécurité sociale ne devraient jamais être stockés dans un document de texte brut et lorsqu'ils sont combinés avec des noms, des adresses, des e-mails et d'autres informations identifiables, il fournit aux cybercriminels toutes les informations dont ils ont besoin.

Les données découvertes par les chercheurs de Mackeeper ont même eu le nombre de traducteurs d'argent gagnés avec la société l'année précédente. Ce seul document fournit suffisamment d'informations qui permettraient aux criminels de produire de fausses déclarations de revenus, d'obtenir des prêts ou d'autres formes de fraude.

Interprètes offrant des services de traduction illimités tels que l'interprétation sur place, la vidéo, le téléphone et une gamme d'autres services. Selon leur site Web, «nous agissons en tant que« entremetteur », vous trouvant le service linguistique le mieux adapté qui convient à vos besoins». Leur profil client comprend des entreprises comme Google, Boeing, United States Postal Service et autres.

Nous avons travaillé sur cette affaire avec Zack Whittaker de ZDNET, qui a pu contacter le président de l'entreprise et l'alerter sur l'incident (nos notifications initiales envoyées par e-mail au gestionnaire informatique de l'entreprise ont été laissées inaperçues) .Nas Le dispositif a été isolé. L'entreprise demande des conseils et une société d'audit de sécurité tierce. Mais l'entreprise informera les gens - les traducteurs - de l'exposition.

Les données étaient en streaming pendant "quatre à six mois", a-t-il déclaré.

Vous pouvez lire Zack'sstory sur ZDNET.

La société de télémarketing fuit près de 400 000 fichiers sensibles

Des chercheurs du Mackeeper Security Research Center ont fait l'une des plus grandes découvertes à ce jour avec plusieurs centaines de mille fichiers accessibles au public. Les fichiers appartiennent à une société de marketing controversée basée en Floride VICI Marketing LLC et incluent des milliers d'enregistrements audio où les clients donnent leurs noms, adresses, numéro de téléphone, numéros de carte de crédit, numéros de CV et plus encore. En 2009, VICI Marketing LLC a accepté de payer 350 000 $ pour régler une plainte par le bureau du procureur général de la Floride selon laquelle l'entreprise a obtenu des informations sur les consommateurs volées et n'a pas pris de mesures appropriées pour garantir que les données ont été acquises légitimement. Les chercheurs ont confirmé qu'en dépit de l'amende et des pénalités, ils n'ont toujours pas obtenu des données sur les clients ou l'entreprise et qu'il y a une gamme de dates d'enregistrements remonte à plusieurs années. En vertu de l'accord: si les termes de l'injonction sont violés, VICI pourrait être soumis à une peine civile de 1 million de dollars.


Il y a suffisamment d'informations dans chaque appel pour fournir aux cybercriminels tout ce dont ils ont besoin pour voler les informations de carte de crédit ou commettre un large éventail de crimes. Certains enregistrements n'arrivent pas aux clients que les appels sont enregistrés ou stockés. Onze États exigent le consentement de chaque partie à un appel téléphonique ou une conversation afin de rendre l'enregistrement légal. Ces lois sur le «consentement bipartite» ont été adoptées en Californie, au Connecticut, en Floride, en Illinois, au Maryland, au Massachusetts, au Montana, au New Hampshire, en Pennsylvanie et à Washington.


Un stockage de données inapproprié ou des bases de données erronées peuvent arriver aux entreprises grandes et petites, mais pour une entreprise qui a déjà payé un prix élevé et a fait l'objet de violations réglementaires, il semble qu'ils prendraient la cybersécurité plus au sérieux. Dans le cas de 2009 où ils ont été accusés d'avoir obtenu des informations sur les consommateurs volées, l'avocat de VICI, Robby Birnbaum, a affirmé "nous n'en avons pas la preuve". Selon les termes du règlement de 2009, le VICI est interdit en permanence d'acquérir ou d'utiliser des données sans diligence raisonnable, en utilisant des données d'origine illégale ou discutable, l'accès et l'utilisation de données pour le télémarketing de consommation sans diligence raisonnable en arrière-plan et le télémarketing illégal.


Les fichiers que les chercheurs de la sécurité de Mackeeper ont découverts contient des centaines de milliers de dossiers et pourraient prendre plusieurs semaines pour les parcourir et il n'est pas clair si les données sensibles sont vendues ou acquises par les tiers. Les chercheurs ont téléchargé une copie de 28 Go de la sauvegarde à des fins de vérification et supprimeront en toute sécurité les documents accessibles au public une fois le dossier fermé. Mackeeper travaille en étroite collaboration avec les forces de l'ordre et la sécurité intérieure des États-Unis dans les cas où les données font partie d'une enquête criminelle ou civile. Il n'y a aucun acte répréhensible suspecté à ce moment autre que de fuir jusqu'à 17 649 enregistrements audio avec des numéros de carte de crédit et des fichiers clients privés.


Il y a également 375 368 enregistrements audio qui peuvent être qualifiés en tant que "appels à froid", avec certains de ceux qui contiennent également des informations personnelles.


Internet s'il est plein de plaintes sur le fonctionnement de VICI Marketing LLC ou de réclamation et d'allégations d'anciens employés. Lors de la recherche d'examens des clients et de commentaires des employés, nous avons découvert un article de blog décrivant comment VICI offrirait aux clients un cadeau promotionnel que s'ils ne payaient que l'expédition. Ils ont offert une crème DM / Rejuvaglow peau qui devait coûter 3,95 $ et a fini par coûter 92,61 $ après la fin de tout. Un ancien employé du nom de Justin Tyme dit:

Au moment où le consommateur se rend compte de ce qui s'est passé, il a déjà été facturé plus de 100 $ ou plus…. Lorsque le client appelle un remboursement, il donne l'impression que vous ne pouvez pas en obtenir un en leur offrant pour garder les produits et en leur donnant uniquement des remboursements partiels. Je suis sûr que certains d'entre vous ont rendu le produit à l'expéditeur et refusé les expéditions, non? Et lorsque vous appelez pour vous poser des questions sur votre remboursement, vous avez dit que vous ne pouvez pas en avoir un parce que vous n'avez pas renvoyé le produit correctement et il n'a pas été transformé dans l'entrepôt !!! La même personne vous disant que cela peut clairement voir dans votre compte que le produit a été retourné avec succès, mais il le marque «pas de RMA» afin que l'entreprise ne sache pas à votre argent. »


Bien que nous ne puissions pas vérifier les affirmations d'anciens employés, de nombreuses plaintes en ligne racontent la même histoire et décrivent exactement les mêmes méthodes de vente et de facturation.

Fuite de données IndyCar

La majorité de ces sauvegardes semblent être simplement opérationnelles, mais ce qui se démarque, ce sont les informations de connexion des employés d'IndyCar ainsi que les comptes d'utilisateurs de 200K contenant des domaines tels que le courrier électronique, l'adresse physique, le nom et le nom de famille, le hachage de mot de passe, le nom d'utilisateur, la question et la réponse de sécurité, la date de naissance et de sexe. Ce qui fait essentiellement de trouver un trésor de vol d'identité.

Il est important de souligner que le babillard IndyCar dont ces comptes proviennent a depuis été retiré. Il n'est donc pas nécessaire de modifier votre mot de passe de connexion IndyCar Forum. Cependant, si vous êtes le type de personne qui réutilise les mots de passe (et c'est dommage que la plupart des gens soient), vous devez réinitialiser tous les comptes qui pourraient utiliser le même mot de passe. Si les gens malveillants rencontraient cet ensemble de données, ils pourraient déchiffrer ces mots de passe et tenter de les utiliser sur vos autres comptes en ligne dès maintenant.

Cela m'amène à quelque chose que je me suis demandé depuis un certain temps maintenant - pourquoi les entreprises tiennent-elles des hachages de mot de passe longtemps après que le site associé a été fermé? Ce n'est rien d'autre que la responsabilité. Ils mettent des clients en danger sans gain. Il n'y avait absolument rien à gagner à IndyCar en conservant ces hachages de mot de passe. Et maintenant, ils sont confrontés à des relations publiques négatives à mesure que le mot de la situation se rend aux fans de course.

Je peux seulement supposer que les avocats et les gens de gestion des risques travaillant pour IndyCar ignoraient que les connexions du forum disparues étaient stockées. Prendre de gros risques, sans risque de récompense, ce n'est pas la façon dont ces types de personnes gardent leur emploi. Si vous lisez ceci et que vous gérez les risques dans une grande entreprise, vous devriez vraiment poser à votre personnel informatique deux questions importantes:

1. Que stockons-nous?
2. En avons-nous vraiment besoin?

Fuite de données sur les services d'impression et de marketing PIP

La majorité du serveur de 400 Go se consacre à la conception de fichiers et d'images relatives à l'entreprise d'impression. Les informations les plus sensibles sont contenues dans les dossiers «Outlook Archives» et «scans». Ceux-ci contiennent environ 50 Go de documents numérisés concernant les affaires judiciaires, les dossiers médicaux, les entreprises bien connues et les célébrités. Il existe une archive de correspondance où les clients de l'entreprise demandent aux gestionnaires de faire des copies des documents ci-joints. Cette archive contient plus de 2 200 messages et certains d'entre eux ont des numéros de carte de crédit et des détails de facturation en texte brut.

PIP Printing and Marketing Services, Aprint et Design Company, est une société primée d'impression et de production qui possède des emplacements de franchise partout aux États-Unis et Ranksamong Entrepreneur Franchise 500.

Ce n'est qu'un autre exemple de la façon dont nos vies sont devenues numériques et même quelque chose d'aussi simple que les documents d'impression peut exposer les données sensibles des clients. Mackeeper Security recommande à toute entreprise qui reçoit et stocke les données des clients sensibles prennent toutes les étapes possibles pour la sécuriser et la protéger.

Parmi les données sensibles: les documents des anciens joueurs de football professionnel américain, avec des données, comprenaient des informations sur la retraite de la NFL, le numéro de sécurité sociale, les s et certaines informations médicales; Des milliers de fichiers confidentiels des magasins de détail Hustler Hollywood de Larry Flynt. Les fichiers remontent à 2010 et comprennent la documentation RH, les enquêtes internes, les numéros de vente, les objectifs et les relevés de profit et de perte pour chaque magasin.

Une fois de plus, nous montre les dangers de toute entreprise grande ou petite qui ne sécurisait pas correctement leurs données en ligne. Les fuites peuvent être plus que gênantes lorsqu'ils exposent les données de vente confidentielles et les communications internes.

Note importante

Les informations découvertes par le Mackeeper Security Research Center ont été accessibles au public et aucun mot de passe n'est nécessaire pour accéder aux données.

Tout d'abord, il est apparu sur notre radar fin octobre 2016. Malgré nos tentatives d'informer la société d'impression, nos appels et e-mails n'ont jamais été abordés sérieusement. Nous avons également enregistré un appel avec une réceptionniste qui agissait bizarre et ne voulait pas transférer les informations davantage.

Nous sommes reconnaissants à Tomspring de ThreatPost qui a aidé dans cette affaire et mené sa propre enquête. Voir plus de détails en suivant son histoire sur ThreatPost: https: //thereatpost.com/printing-and-marketing-firm-leaks-high-profile-customers-data/123530/

Broissance approfondie à l'aéroport INTL

L'ensemble de données qui fuit comprend tout, des lettres d'investigation TSA sensibles aux numéros de sécurité sociale des employés, aux mots de passe du réseau et à 107 gigaoctets de correspondance par e-mail. Jusqu'à ce que j'aie informé la direction de l'installation mardi dernier, il existait un réel risque pour la sécurité et la sécurité de cet aéroport américain.

Il s'agit d'une étude de cas importante sur la façon dont les pratiques commerciales peuvent entraîner des violations de données. Selon les documents présents, l'autorité portuaire de New York et du New Jersey contracte la direction de Stewart International à une entreprise privée nommée Avport. Cette entreprise se contracte ensuite avec un seul gars informatique qui n'est que sur place deux ou trois fois par mois.

Vous ne pouvez pas vous attendre à ce qu'une personne maintienne une infrastructure réseau aéroportuaire. Cela est une recette pour les tours de sécurité. Ceci est un exemple classique de ce qui peut mal tourner avec la privatisation. Les entreprises à but lucratif ont toutes les incitations, trop souvent, la priorité aux revenus par rapport aux meilleures pratiques.

Ceci est souligné par la performance de la réponse aux incidents d'AVPorts. Dans une industrie au niveau de la gestion de l'aéroport, chaque employé doit avoir au moins une formation sur la préparation aux violations de données superficielles. La première personne avec qui j'ai parlé à Avports a été très gentille avec moi, mais à un moment donné m'a demandé si cela «pourrait attendre demain».

La réponse à cette question est non. Lorsque votre entreprise fuit des documents créés par le gouvernement avec des phrases telles que «confidentiel», «pour un usage officiel uniquement» et «une libération non autorisée peut entraîner une pénalité civile ou une autre action», vous ne pouvez pas simplement attendre demain. Cela nécessite une action immédiate.

Réponse initiale

J'ai été quelque peu soulagé lorsqu'un COO AVPorts m'a rappelé quelques minutes plus tard, vers 12 heures du Pacifique Us Time. Il m'a assuré que j'entendrais bientôt leur personnel informatique pour enquêter et remédier à la situation.

Trois heures et demie plus tard, je n'avais entendu parler de personne et la violation de données était toujours en direct. J'ai décidé d'appeler l'autorité portuaire. Ils m'ont demandé d'appeler le terminal Stewart et ont fourni un numéro de téléphone. Au cours de ce prochain appel, aux opérateurs de terminaux, le port exposé du serveur a été fermé au monde extérieur. On ne sait pas s'il s'agissait ou non de timing de coïncidence, car les gars du terminal ont affirmé que leur département ne pouvait pas faire un tel changement.

Le gars informatique

Quelques heures plus tard, vers 19 h Pacific, j'ai finalement reçu un appel du gars informatique. La conversation a pris un ralentissement initial. Il m'a informé que j'avais commis un crime en téléchargeant ces données et utilisé l'analogie de l'introduction et du vol des éléments de la maison de quelqu'un (qui ne pouvait pas être plus éloigné de la vérité).

Heureusement, la conversation s'est manifestée lorsque je lui ai expliqué que mes actions n'étaient en aucun cas criminelles. L'appareil avait été configuré d'une manière qui distribuait ces fichiers publiquement sans nom d'utilisateur, mot de passe ou une autre mesure d'authentification en place. Quelle que soit l'intention, cette machine agissait en substance en tant que serveur Web public.

Explications possibles

Alors, comment est-ce arrivé? Voici quelques indices - le gars informatique avec qui j'ai parlé m'a informé qu'il y a quelques mois, l'aéroport avait expérimenté l'utilisation d'un logiciel de sauvegarde connu sous le nom de ShadowProtect. J'ai été informé qu'une partie du processus impliquait l'ouverture du port 873 sur le pare-feu et que le service ShadowStream, qui fait partie de ShadowProtect, a peut-être utilisé un aspect du service de synchronisation à distance (RSYNC). C'est exactement ce qu'on m'a dit dans cette conversation.

Cela peut être un peu un hareng rouge et une seule partie du puzzle. Dans les sauvegardes, j'ai pu localiser une chaîne de messagerie indiquant qu'AVPorts a acheté au moins un appareil NAS de sauvegarde Buffalo Terastation en mars 2016.

Ceux d'entre vous qui suivent mon travail peuvent se souvenir de cette même marque et modèle de dispositif NAS au centre d'une violation de données financières AmeriRise récemment signalée. En fait, j'ai fait plusieurs autres résultats récents de violation impliquant cet appareil particulier.

Mon hypothèse est qu'il peut y avoir une ouverture par défaut du port 873 sur un certain nombre de terastations de buffles. Gardez à l'esprit que le port 873 avait été intentionnellement ouvert sur le pare-feu de Stewart International pendant une partie de l'expérience avec ShadowProtect.

La théorie du travail actuelle est que ces deux facteurs ont aligné et abouti à un scénario de violation. Mais tout cela soulève la question: une telle surveillance se produirait-elle si Avports employait même un gars informatique à temps plein à Stewart?

Vous obtenez ce que vous payez, même dedans.

Pour plus d'informations, consultez l'article ZDNET.

***

Les portions d'attention de cet article peuvent être utilisées pour publication si elles sont correctement référencées et le crédit est accordé au chercheur de la sécurité de Mackeeper , Chris Vickery.

Le numéro Amazon AWS élimine Internet

Il n'est toujours pas clair quel était le problème avec les services. En outre, le problème persiste et affecte partiellement les sites Web basés sur la côte est. Comme le dit Amazon sur son compte Twitter officiel, «S3 connaît des taux d'erreur élevés. Nous travaillons dur sur la récupération».

AWS est un service de stockage Cloud Amazon qui est populaire auprès des grandes entreprises telles que Netflix, Adobe Systems, Airbnb, BMW, etc. Mackeeper s'appuie également sur AWS pour que les opérations fonctionnent en douceur. Mais le nombre de petites entreprises qui utilise AWS est difficile à imaginer.

Vous pouvez consulter les dernières mises à jour de correctifs sur le tableau de bord Amazon Service Health.

Cependant, de nombreux internautes ont trouvé la panne des services drôles et ont donné des conseils à Amazon:

Les chercheurs en sécurité de Mackeeper découvrent les données sensibles des États-Unis

Les chercheurs ont découvert une mine de documents sensibles qui comprenaient du personnel par éligibilité et des rapports d'accès qui contenaient les noms, le rang, les numéros de sécurité sociale de plusieurs centaines de membres du service. Au bas de chaque page se trouve un avis qui se lit:

«En vertu de la loi de 1974 de la vie privée, vous devez protéger les informations du personnel récupérées par le biais de ce système. La divulgation d'informations est régie par le titre 5, United»

Le document le plus choquant était une feuille d'écart d'investigations ouvertes qui comprenait le nom, le rang, l'emplacement et une description détaillée des accusations. The investigations range from discrimination and sexual harassment to more serious claims. One example is an investigation into a Major General who is accused of accepting $50ka year from a sports commission that was supposedly funneled into the National Guard. There were many other details from investigations that neither the Air Force or those being investigated would want publically leaked.

There is a file that contains Defense Information Systems instructions for encryption key recovery. This is a comprehensive step-by-step guide of how to regain access to an encryption key and all of the urls where someone can request information regarding a Common Access Card (CAC) and Public Key Infrastructure (PKI). The possible danger of leaking the email addresses and personal information of senior military officials is that through social engineering and other methods, bad actors could potentially gain access.

Among the sensitive documents was a scanned image of the Lieutenant's JPAS account (Joint Personnel Adjudication System) from the Department of Defence. This included the login URL, user ID, and Password to access the system. JPAS accounts are only provisioned for authorized individuals and we can assume there would be classified information to anyone who would access the account. The database also included a copy of the North Atlantic Treaty Organization (NATO) Information Security Training Manual and many other documents that may or may not be publically available.


The device has since been taken offline and it is unclear if anyone other than members of the MacKeeper Research Team had access to the files or how long they were available.

Please see more details on the story in Zack's feature at ZDnet: https://www.zdnet.com/article/leaked-us-military-files-exposed/

Schoolhouse data breach

Schoolzilla, a student data warehousing platform, made the all-too-common mistake of configuring their cloud storage (an Amazon S3 bucket) for public access. I discovered the bucket after noticing a few other unsecured buckets related to the Tableau data visualization platform. There was an exposed “sz.tableau” bucket, so I started looking for other “sz” iterations. That's when I came across “sz-backups”, which turned out to be the main repository for Schoolzilla's database backups.

I downloaded several of the production backups, the largest was titled “Web_Data_FULL” and weighed in at 12 gigs. After loading them into a local MSSQL instance I did some review and concluded that this was most likely real student data and did indeed come from Schoolzilla. The possibility of a false-flag operation is always in the back of my head (a scenario in which an unscrupulous company creates a false data breach that appears to originate from a competitor).

Schoolzilla was quick to respond when I submitted a data breach notification ticket. They secured the data and opened dialogue with me to learn the full extent of the issue. I applaud their incident response. This was the first situation of its kind for them and they reacted professionally. It must have been grueling for the CEO to phone each client and relay the unpleasant news, but they did it within only a few days of my report.

Additionally, Schoolzilla understood the problem and took responsibility. They did not try to shoot the messenger or claim that I had somehow “hacked” them. That's worth an extra-large gold star on the board for them.

Unlike most reports, I do not have any redacted screenshots to share for this one. The sheer volume of private student data, including scores and social security numbers for children, convinced me that it should be purged from my storage in an expedited fashion. I did however seek guidance from the US Department of Education before overwriting my copies just in case they wanted them preserved for any investigatory purposes. Unfortunately, the Department's voicemail box is currently full and I could not leave a message.

A message from Schoolzilla's CEO regarding the situation can be found here: https://schoolzilla.com/commitment-information-security/

Information for editors:

The MacKeeper Security Research Center was established in Dec 2015 with the goal of helping to protect data, identifying data leaks and following a responsible disclosure policy. Our mission is to make the cyber world safer by educating businesses and communities worldwide. Many of our discoveries have been covered in major news and technology media, earning the MacKeeper Security Research Center a reputation as one of the fastest-growing cyber data security departments.

Auto financing company leaks 500K of customer's info online

As part of our research on publicly available Amazon AWS S3 buckets, MacKeeper Security Researchers discovered yet another repository, (mis)configured for public access, which contained 88 megabytes of spreadsheet documents in *.csv format with names of hundreds of auto dealerships around the United States.

Upon further investigation we were able to identify what appeared to be customer purchase information (such as full names, address, zip,last 4 SSN digits), credit scores (FICO auto scores), year, makes, and models. Once it was clear this was automotive financing data we found the name of who we believed were associated with the exposed data.

The files allegedly belong to Alliance Direct Lending Corporation, an automobile finance company in that refinances auto loans or uses a network of dealers to match with pre-qualified buyers.

The leaked data contained 124 files (each of them containing from 5 to 10 thousand records, which brings us to 550K - 1M customer details in total), with financing records broken down by dealerships and 20 audio recordings of customers agreeing to auto loans or refinancing of auto loans. These consent calls were the customers agreeing that they understood they were getting an auto loan, confirming that the information was correct and true. They included the customers' name, date of birth, social security numbers, and phone numbers. These calls were in both English and Spanish.

A member of MacKeeper Security Research called and spoke with an IT administrator who looked at the url of the publically accessible data and confirmed that it appeared to belong to Alliance Direct Lending. When searching online for Alliance Direct Lending it appears that they really dohave a solid reputation and nearly all of the reviews are positive, but data breaches can and do happen. This is yet another wake up call for anyone dealing with financial data, social security numbers, or other sensitive data to audit your data often. One simple misconfiguration could allow your entire organization's data storage publically available online to anyone looking for it.

Did anyone else see this data?

It is unclear if anyone other than security researchers accessed it or how long the data was exposed. According to the bucket properties, it was last modified on Dec 29, 2016. It contained 210 public items and 790 private ones (not available but listed) - logs. The IT Administrator claimed that it had only recently been leaked and was not was not up for long. He thanked us for the notification and the data was secured very shortly after the notification call.

The danger of this information being leaked is that cyber criminals would have enough to engage in identity theft, obtain credit cards, or even file a false tax return. Alliance Direct Lending is based in California where the law requires notification of a breach when a California resident's unencrypted personal information is compromised. California was the first state in the US to require notification of security breaches (its law became effective in 2003).

Information for editors:

The MacKeeper Security Research Center was established in Dec 2015 with the goal of helping to protect data, identifying data leaks, and following responsible disclosure policy. Our mission is to make the cyber world safer by educating businesses and communities worldwide. Many of our discoveries have been covered in major news and technology media, earning the MacKeeper Security Research Center a reputation as one of the fastest-growing cyber data security departments.

Troy Hunt did a great job describing all details about that, so this is why I have reached out to him first to see if this dump is something special.

After running a sample set at his HIBP project, Troy identified 243,692,899 unique emails, with almost every single address is already in HIBP, mostly centred around the big incidents.

And while it is not the news itself, the availability of this data almost publicly (I mean, unprotected MongoDB equals publicly) is alarming.

During our research, we were surprised to see as many as 313 large databases, with a size over 1GB, with several terabytes of data, hosted in the US, Canada, and Australia.

The database in question is hosted on a cloud-based IP, and it is unclear who actually owns it. We sent notification emails to the hosting provider, but usually, it is not the quickest way to shut it down.

After a series of 'ransomware' attacks targeted on MongoDBs left without authorization in the beginning of this year, I was not sure if somebody still uses early versions of Mongo where default configuration is possible. It appears that “Eddie” did.

Database is 75 gigs in size and containsdata structured in a readable json format which included at least 10 previously leaked sets of data from LinkedIn, Dropbox, Lastfm, MySpace, Adobe,Neopets. RiverCityMedia, 000webhost, Tumblr, Badoo,Lifeboat etc.

The lesson here is simple: most likely, your password is already there and somebody might be trying to use this just now. So isn't that a good time to change it now?

***

Attention - Portions of this article may be used for publication if properly referenced and credit is given to MacKeeper Security Research Center.

313 large databases went public

Troy Hunt did a great job describing all details about that, so this is why I have reached out to him first to see if this dump is something special.

After running a sample set at his HIBP project, Troy identified 243,692,899 unique emails, with almost every single address is already in HIBP, mostly centred around the big incidents.

And while it is not a news itself, the availability of this data almost publicly (I mean, unprotected MongoDB equals publicly) is alarming.


During our research, we were surprised to see as many as 313 large databases, with size over 1GB, with several terabytes of data, hosted in US, Canada and Australia.


The database in question is hosted on a cloud-based IP, and it is unclear who actually owns it. We sent notification email to the hosting provider, but usually it is not the quickest way to shut it down.


After a series of 'ransomware' attacks targeted on MongoDBs left without authorization in the beginning of this year, I was not sure if somebody still uses early versions of Mongo where default configuration is possible. It appears that “Eddie” did.


Database is 75 gigs in size and containsdata structured in readable json format which included at least 10 previously leaked sets of data from LinkedIn, Dropbox, Lastfm, MySpace, Adobe,Neopets. RiverCityMedia, 000webhost, Tumblr, Badoo,Lifeboat etc.


The lesson here is simple: most likely, your password is already there and somebody might be trying to use this just now. So isn't that a good time to change it now?

***

Attention - Portions of this article may be used for publication if properly referenced and credit is given to MacKeeper Security Research Center.

Global communication software left a massive amount of data online

Online communication has become a vital part of today's business environment and it is essential that business owners have tools and analytics to gauge efficiency, communication, and a range of data sets. One of the top companies that provide cloud-based unified communications has just leaked more than 600GB of sensitive files online.

The MacKeeper Security Center has discovered not just one but two cloud-based file repositories (AWS S3 buckets with public access) that appear to be connected to the global communication software and service provider BroadSoft, Inc. They have created an infrastructure for cloud unified communications tools that can be service provider hosted or cloud-hosted by BroadSoft. The publically traded company has over 600 service providers across 80 countries and supports millions of subscribers according to their website. Their partners are some of the biggest names in the communication business, telecom, media, and beyond, including Time Warner Cable, AT&T, Sprint, Vodafone among many other well-known companies. When 25 of the worlds top 30 service providers by revenue all use BroadSofts infrastructure and with so many subscribers it is easy to see that this data leak could have a massive reach.

BroadSoft business applications

• UC-One = single, integrated business communications solution
• Team-One = chat, take notes, track tasks and share files in organized workspaces.
• Also provides access to Google, Drive, Salesforce and other apps? Team-One is integrated with over 50 other popular apps.
• CC-One= omni-channel, cloud contact center solution that uses predictive analytics to lower operating costs and improve business performance.
• Hub =unified experience, bringing together BroadSoft Business and cloud apps

Other BroadSoft Business Platforms include BroadWorks, BroadCloud, Carrier, PaaS, Reseller, BroadSoft Mobility.

How the leak happened

The problem is that the repository was configured to allow public access and exposed extremely sensitive data in the process. They used Amazon's cloud but misconfigured it by leaving it accessible. Amazon AWS buckets are protected by default but somehow were left publically available. It is most likely that they were forgotten by engineers and never closed the public configuration. This would allow anyone with an internet connection to access extremely sensitive documents. Not only could they access the documents but any “Authenticated Users” could have downloaded the data from the URL or using other applications. With no security in place just a simple anonymous login would work.

This leak shows once again just how insecure data can be when improper security settings are used. In this instance the same mistake leaked the data and information of potentially millionsof BroadSofts customers and that their partners service. This is not unique to BroadSoft and happens to companies big and small, but what does stand out is the size and scope of their business. Their infrastructure and portfolio of applications is used by millions of customers and many of them had their data exposed. It is unclear if BroadSoft will be notifying affected customers of this data exposure or if the partner companies who use their infrastructure will.

How it was discovered

In July MacKeeper Security researchers discovered an Amazon S3 cloud-based data repository that was connected to the WWE (World Wrestling Entertainment) hosted on the public 'wwe-test' S3 domain. This raised the flag that many administrators could potentially open a back up for testing and never close it. After the discovery researchers began testing other variations of the '-test' suffix and came across 2 of the connected repositories (one using the underscore sign '_' - not recommended by Amazon). Searching for the test resporsities is how it was discovered and we can only assume there are many more cloud-based data leaks actively available that started out as a testing ground, but were never secured.

On Aug 29th a security notice was sent to engineers based in BroadSofts Indian office (Bangalore) whose email communications was found in the repository. He replied “Who gave you my contact and it does not belong to us”. Then ironically one of the two repositories was closed to public access almost immediately after the notification. This would logically conclude that engineers may have been trying to do damage control by denying that the 600GB of data belonged to Broadsoft or their clients.

The second bucket was quickly secured only after a notification email to Charter-related people was sent.

What the leak contained

In short, the repository contained a massive amount of sensitive information and researchers estimate It would take weeks to fully sort through all of the data. The most potentially damaging discovery was the fact that it contained internal development information such as SQL database dumps, code with access credentials, access logs, and more. These are all things that should not be publicly available online. The two repositories contained thousands and thousands of records and reports for a number of Broadsoft clients with Time Warner Cable (TWC) appearing to be the most prominent and including applications like Phone 2 Go, TWC app, WFF etc.

Much of the internal development data apparently saved by Broadsoft engineers related to Time Warner Cable, Bright House Networks (BHN/Charter). For example “User Profile Dump, 07-07-2017” text file contains more than 4 million records, spanning the time period 11-26-2010 - 07-07-2017, with Transaction ID, user names, Mac addresses, Serial Numbers, Account Numbers, Service, Category details, and more. Other databases also have billing addresses, phone numbers etc. for hundreds of thousands of TWC customers.

Bob Diachenko, chief communications officer, MacKeeper Security Center:

The threat and risk

Cyber criminals and state-sponsored espionage is a real threat to major corporations, businesses of all sizes, and individuals. We see more and more examples of how bad actors use leaked or hacked data for a range of crimes or other unethical purposes. One example is the infamous Yahoo email breach and the belief that it was used to identify dissidents, trade secrets, and gather other sensitive data. The bottom line is that data is valuable and there will always be someone looking for it. Improperly securing data is just as bad if not worse because it was preventable. BroadSoft accidentally leaked not only customer and partner data but also internal credentials that criminals could have easily used to monitor or access their network and infrastructure.

The MacKeeper Security Research Center has downloaded the contents of the repository for verification purposes and it is unclear if anyone else has had access to the data.

As we continue to see more and more cloud leaks appear it reminds us that companies large and small must conduct regular audits to secure their data. Misconfiguration of cloud-based storage repositories that allow public or semi-public access can result in a devastating data leak that requires no hacking or password. The MacKeeper Security Team is dedicated to identifying threats and vulnerabilities and helping to secure them or bring attention that will help make data more secure online.

Alex Kernishniuk, VP of strategic alliances, MacKeeper:

UPDATE: The article has been updated to reflect that no evidence except a similar report name was identified to mention AMC among affected companies.

Mexican tourist tax refund company leaks customer records

Have you been to Mexico in the last year as a tourist and applied for a tax refund on the money you spent while shopping there? If you have, chances are your passport, credit card, or other identification might have been leaked online. The MacKeeper Security Research Center has discovered a misconfigured database with nearly half a million customer files that were left publically accessible. These tourists traveled from around the world to enjoy Mexico's beaches, warm weather, historical sites, or cities and had their private data exposed in the process.

The database appears to be connected with MoneyBack, a leading provider of tax refund (value-added tax refund or sales tax refund) services for international travelers in Mexico.

MoneybBack is part of Prorsus Capital SAPI de CV, a Mexican Investment Fund. The most dangerous aspect of this discovery is the massive amount of data totaling more than 400GB.

How MoneyBack works

They have created a network of affiliate stores who offer the tax refund as a type of discount to lower the final purchase price of certain goods tourists buy. These refunds would make sense for luxury jewelry, gold, and diamonds that cost many thousands of dollars. According to MoneyBack's General Director Danielle Van Der Kwartel “International travelers can receive an 8.9% refund of the total amount they spend when shopping at any of the 6,500 MONEYBACK affiliated stores”. They also claim to provide service in more than 98% of Mexico's air and maritime points of departure and have 55 offices, airport booths, cruise ports, and shopping mall locations.

MoneyBack works closely with travel agents by providing training on its services to help them promote the tax refunds to their clients traveling to Mexico. It seems to be a profitable business and encourages shoppers to spend more but are customers really saving that much money? Some credit card companies charge 3% foreign transaction fees and it is unclear what fees MoneyBack charges customers or the travel agent commissions. There are some complaints online about the bureaucracy of the Mexican Government taking up to 6 months to disburse refunds. Are the savings worth it?

How the leak happened

During a routine security audit, MacKeeper Security Researchers discovered a misconfigured CouchDB that allowed public access to the data via browser. Those who follow cybersecurity news may remember that in early 2017 10% of CouchDB servers were victims of ransomware because of the same misconfiguration. Although MoneyBack is based in Mexico the hosting and IP address is located in the United States. The database was publically accessible and required no password protection or other authentication to view or download MoneyBack's entire repository.

Bob Diachenko, chief security communications officer, MacKeeper Security Center:

What was leaked and who is affected?

Researchers identified passports from all over the world who used MoneyBack's services. Among the top passports identified were citizens of the US, Canada, Argentina, Colombia, Italy, and many more. It appears to be every client that has used their services between 2016 and 2017.

• Over 300 GB database in size
• 455,038 Scanned Doccuments (Passports, IDs, Credit Cards, Travel Tickets & More)
• 88,623 unique passport numbers registered or scanned

Mexico has a booming tourism industry despite travel warnings to certain areas, a history of gang violence and kidnappings. It was estimated that the country welcomed a record 35 million international tourists in 2016. Many tourists who will be buying expensive items on their vacation likely love the idea that they can have a portion of the sales taxes returned, but is it worth having your data exposed online?

How Tax-Free Shopping in Mexico works?

Tax-free sounds great but their are some restrictions. Tourists must spend at least 1200 pesos ($67 USD) on Mexican goods (this does not apply to services such as hotel stays and food expenses). Tourists must also enter and leave Mexico by sea or air. The minimum purchase per store is 1,200 pesos with electronic payment and cash purchases can not exceed 3,000 pesos ($168 USD). Another issue to consider is that you will have to file yourself with the bureaucracy Mexican Tax Authorities or give your personal information, credit card, and identification to a 3rd party company such as MoneyBack.

• Tourists need to shop at an affiliated store with “Tax Free shopping”.
• They must ask for an official invoice with the stores tax id number
• When tourists leave the airport or by ship there are Tax Free booths, they can visit one of the offices, or several other ways to submit their tax paperwork.
• Although they estimate 40 days to receive a refund complaints state up to 6 months.

The danger of this data?

Alex Kernishniuk, VP of strategic alliances, MacKeeper:

***

Attention - Portions of this article may be used for publication if properly referenced and credit is given to MacKeeper Security Center.

MacKeeper Research Center discovers massive Elasticsearch infected malware Botnet

One of our recent researches was focused on the publicly accessible Elasticsearch (ES) nodes and we discovered suspicious indices names that didnot have any relations to Elasticsearch file structure.

Among the many “red flags” some of the file names referenced to AlinaPOS and JackPOS malware. These are the type of POS (Point-of-Sale) malware that attempts to scrape credit card details using a range of different techniques. As an example of how this malware is so effective, JackPOS attempts to trick the system that it is java or a java utility. It can copy itself directly into the %APPDATA% directory or into a java based sub-directory inside %APPDATA%. JackPOS uses the MAC address as a bot ID and can even encode the stolen credit card data to go undetected as it is extracted. This malware first became widespread in 2012, but it is still effective today and available for sale online.

In 2014 the family tree looked as follows:

Today the picture is much worse and much more widespread.

Despite some security warnings and industry-related news, It appears POS malware has been out of the headlines for a while, but the danger is still there for millions of cardholders. Kromtech researchers started looking for any updates about that specific type of malware and the status of files being distributed on unsuspecting servers. What surprised researchers is that there are new and updated versions of the malware that are currently for sale to anyone.

At Cybercrime tracker https://cybercrime-tracker.net/index.php?search=alina we've seennew samples of these malware types and low detection rate by the most popular AntiVirus engine (tested with VirusTotal).

Even for the relatively old C&C servers hosting sites (Command and Control servers), there is not enough information to flag the real risks. The VirusTotal URL Scanner indicated that only 6 of the antivirus engines and website scanners out of the 65 available were able to identify the new versions of the POS Malware.

Why did it happen?

The lack of authentication allowed the installation of malware on the Elasticsearch servers. The public configuration allows the possibility of cyber criminals to manage the whole system with full administrative privileges. Once the malware is in place criminals could remotely access the resources of the server and even launch a code execution to steal or completely destroy any saved data the server contains.

In our case, a bunch of AWS-hosted Elasticsearch instances was under attackfor malicious use. Moreover,every infected ES Server became a part of a bigger POS Botnet with Command and Control (C&C) functionalityfor POS (point-of-sale) malware clients. These clients are collecting, encrypting and transferring credit card information stolen from POS terminals, RAM memory or infected Windows machines.

Old C&C interface used by POS malware is displayed below (taken fromhttps://blog.malwaremustdie.org/2014/02/cyber-intelligence-jackpos-behind-screen.html)

We checked with Shodan (our commonly used IoT search engine which returnsservice banners with meta-data of the server) how many systems on the internet have similar signs of infection.

As of today, there are nearly 4000 infected Elasticsearch servers, and about 99% of them are hosted on Amazon.

Why are nearly all of the Elasticsearch servers hosted by Amazon Web Services?

Amazon Web Services provides customers with a free T2 micro (EC2 / Elastic Compute Cloud) instance with up to 10 Gb of disk space. These T2 instances are designed for operations that don't use the full CPU for general purpose workloads, such as web servers, developer environments, and small databases. The problem is that on the T2 micro, you can set only versions 1.5.2 and 2.3.2.

The Amazon hosting platform gives users the possibility to configure the Elasticsearch cluster just in few clicks, but usually, people skip all security configuration during the quick installation process. This is where a simple mistake can have big repercussions and in this case it did by exposing a massive amount of sensitive data.

Kromtech Security Researchers discovered similar file structures on Shodan.io for Elastic Search Services. Then they compared the modification time of suspicious files on these infected Elasticsearch Servers and made some logical conclusions:

• There are different packages of C&C malware, ie servers were infected multiple times
• Different packages can be related to different Botnets (because POS malware was seen selling not only on Darknet but on public domains as well)
• There is a lot of servers infected, for the same packages on different servers the time of infection could be different due to periodical scans and Botnets network expansion
• Nearly 99% of infected servers are hosted on Amazon Web Services
• 52% of infected servers run Elastic Search 1.5.2 version, 47% - 2.3.2 version, and 1% for other versions.
• Recent infections were made at the end of August 2017

The following table represents Kromtech Security Centers findings and the attack distribution of the infected AWS instances through vulnerabilities in the Elasticsearch Server and the Amazon security configuration:

Kromtech Security Center highly recommend you to take the following actions required for effective incident response:

1. Check your log files on all servers in your infrastructure
2. Check connections and traffic
3. Make a snapshot/backup of all running systems
4. Extract samples of malware and provide it to us for further analysis (security@kromtech.com)
5. Reinstall all compromised systems, otherwise, you need to clean up all suspicious processes, check your systems with antivirus and also monitor your system during next 3 months for any anomaly connection
6. Install latest Elastic patch or completely reinstall it
7. Close all non-used ports from external access, or white-list only trusted IPs

Here are also some recommendations from Elastic Search site that need to be taken:https://www.elastic.co/what-is/elastic-stack-security

Vulnerability types in ELK

Infographics for infected ES Servers:

The following graph represents vulnerable versions of Elasticsearch Servers used by attackers to distribute and control malware through vulnerable or misconfigured Elasticsearch Servers:

Auto tracking company leaks hundreds of thousands of records online

Have you ever heard of the term SVR? The “SVR” stands for “stolen vehicle records.” The MacKeeper Security Center has discovered a repository connected to the vehicle recovery device and monitoring company SVR Tracking. And this is what we'll cover in this article.

In 2017 researchers found an Amazon AWS S3 bucket (public cloud-based storage) that happened to be misconfigured and left publically available. This breach exposed information on their customers and the reseller network, along with the device attached to the cars.

The repository we mentioned above had records of over half of a million logins and passwords, emails, IMEIs of GPS devices, VIN (vehicle identification number), and other information collected on their devices like customers or auto dealerships. What's curious, the exposed database also had the data where the tracking unit was hidden precisely in the car.

What was discovered?

A Backup Folder called “accounts” held the record of 540,642 ID numbers, information about accounts including many plates and VINs, hashed passwords, IMEI numbers, emails, and more.

• 71,996 (02/2016)
• 64,948 (01/2016)
• 58,334 (12/2015
• 53,297 (11/2016
• 51,939 (10/2016)
• 41,018 (9/2016)
• 35,608 (8/2016)
• 31,960 (7/2016)
• 31,054 (6/2016)
• 29,144 (5/2016)
• 38,960 (4/2016)
• 32,384 (3/2016)
• 116 GB of Hourly Backups
• 8.5 GB of Daily Backups from 2017
• 339 documents called “logs” that contained data from a wider date range of 2015-2017 UpdateAllVehicleImages, SynchVehicleStatus, maintenance records.
• Document with information on the 427 dealerships that use their tracking information.

The number of devices could be much higher because many of the resellers or clients had multiple devices for tracking.

If you feel at risk, learn how to act after a data breach occurred.

Detailed tracking 24hrs a day, even if the car is not stolen or missing

This software tracks wherever the vehicle has been during the last 120 days. What is even more terrifying is that all of the visited places are marked and pinpointed to the map. In addition to that, there's a feature showing anyone who has login credentials the best locations and stops where the car has been. The so-called “recovery mode” pinpoints every 2 minutes and creates zone notifications. With a 99% successful recovery rate being a great result, user logins and passwords for hundreds of unsuspecting drivers are leaked online?

According to their website “The SVR Tracking service enables lot owners to locate and recover their vehicles with live, real-time tracking and provides stop verification, enabling them to determine potential locations for their vehicles. Alerts will flag owners, making them aware of events of interest. The application dashboard provides real-time graphs and detailed vehicle data suited to tighter control and accurate measurements of vehicle activity.”

One can access the software on any device connected to the internet device (desktop, laptop, mobile, or tablet). The satellite locates the tracking unit and sends the data to its servers using the GPRS Data Network. Think of the potential dangers if cybercriminals find out a car's location by just logging in with the publicly available credentials and stealing that vehicle?

Shortly after sending the responsible disclosure note, the bucket has been secured, however, no words from the company.

In 2012 there were an estimated 721,053 automobiles stolen in the United States.

Verizon wireless employee exposed confidential data online

On September 20th, MacKeeper Security researchers discovered publicly accessible Amazon AWS S3 bucket containing around 100MB of data attributing to internal Verizon Wireless system called DVS (Distributed Vision Services).

DVS is the middleware and centralized environment for all of Verizon Wireless (the cellular arm of VZ) front-end applications, used to retrieve and update the billing data.

Although no customers data are involved in this data leak, we were able to see files and data named "VZ Confidential" and "Verizon Confidential", some of which contained usernames, passwords and these credentials could have easily allowed access to other parts of Verizon's internal network and infrastructure.

Another folder contained 129 Outlook messages with internal communications within Verizon Wireless domain, again, with production logs, server architecture description, passwords and login credentials.

Upon analyzing the content of the repository, we identified the alleged owner of the bucket and sent responsible notification email on September 21st. Shortly after that, online archive has been took down and it has been later confirmed that the bucket was self-owned by Verizon Wireless engineer and it did not belong or managed by Verizon.

What the repository contained:

• Admin user info that could potentially allow access to other parts of the network
• Command notes, logs including
• B2B payment server names and info
• Internal PowerPoints showing VZ infrastructure, with server IPs, marked as “Verizon Wireless Confidential and Proprietary information”
• Global router hosts
• 129 saved Outlook messages with access info and internal communications

Damage control or denial?

Verizon had $126.0 billion in consolidated revenues in 2016 and it seems like they would not leave the keys to the front door of their data servers or network out for anyone? In the corporate world any bad news can affect stock prices or other aspects of the business. However, if these files were not sensitive, why not make this information open-source or publically available? access to production logs, scripts, instructions, and administrative credentials to protected areas of Verizon's internal infrastructure.

In the aftermath of the Equifax data leak it is easy to be skeptical considering that they waited 5 months to inform regulators or the public. Then remember that Equifax executives sold off stock before the price drop. It is not out of line to consider when someone has been approached with a data leak that they might deny it. As security researchers we often hear that data was not sensitive or that it was production or test data, when it is clearly not.

Bob Diachenko, chief security communications officer, MacKeeper:

Alex Kernishniuk, VP of strategic alliances, MacKeeper:

Report: virtual keyboard developer leaked 31 million client records

The MacKeeper team has discovered a massive amount of customer files leaked online and publically available. Researchers were able to access the data and details of 31,293,959 users. The misconfigured MongoDB database appears to belong to Ai.Type a Tel Aviv-based startup that designs and develops a personalized keyboard for mobile phones and tablets for both Android and iOS devices.

Ai.Type was founded in 2010 and According to their site, their flagship product for Android was downloaded about 40 million times from the Google Play store and the numbers of downloads and user bases are rapidly growing. They plan to integrate Matching Bots as a user types their conversation and that their Ai type keyboard will soon offer a “Bots Discovery Platform” Via Keyboard. There was also a notice of a name change from Ai.Type to Bots Matching Mobile Keyboard in the coming year.

Giving up data for personalized services and apps

Consumers give up more data than ever before in exchange for using services or applications. The scary part is that companies collect and use their personal data in ways they may not know. The concept is where people willing to provide their digital in exchange for free or lower-priced services or products. A study from the Annenberg School for Communication at the University of Pennsylvania concluded that a majority of Americans do not think the trade-off of their data for personalized services is a fair deal.

Once that data is gone users have little to no knowledge of what is done with their personal data. Why would a keyboard and emoji application need to gather the entire data of the user's phone or tablet? Based on the leaked database they appear to collect everything from contacts to keystrokes. This is a shocking amount of information on their users who assume they are getting a simple keyboard application.

How the data leak occurred and what it contained

Ai.Type accidentally exposed their entire 577GB Mongo-hosted database to anyone with an internet connection. This also exposed just how much data they access and how they obtain a treasure trove of data that average users do not expect to be extracted from their phone or tablet.

MongoDB is a common platform used by many well-known companies and organizations to store data, but a simple misconfiguration could allow the database to be easily exposed online. One flaw is that the default settings of a MongoDB database would allow anyone with an internet connection to browse the databases, download them, or even worst-case scenario to even delete the data stored on them.

Summary of what the database contained:

Client registration

Client files that included the personal details of 31,293,959 users who installed ai.type virtual keyboard. This is highly sensitive and identifiable information.

Par exemple:

phone number, the full name of the owner, device name and model, mobile network name, SMS number, screen resolution, user languages enabled, Android version, IMSI number (international mobile subscriber identity used for interconnection), IMEI number (a unique number given to every single mobile phone), emails associated with the phone, country of residence, links and the information associated with the social media profiles (birthdate, title, emails etc.) and photo (links to Google , Facebook etc.), IP (if available), location details (long/lat).

Phonebook and contact records

6,435,813 records that contained data collected from users' contact books, including names (as entered originally) and phone numbers, in total more than 373 million records scraped from registered users' phones, which include all their contacts saved/synced on linked Google account.

Additionally, user data from a folder titled 'old database' that contained 753,456 records were also available.

There was a range of other statistics like the most popular users' Google queries for different regions. Data like average messages per day, words per message, age of users, words_per_day': 0.0, 'word_per_session and a detailed look at their customers.

To avoid the negative consequences of such events, learn how to secure yourself against data breaches.

Ashley Madison's private picture went viral

Ashley Madison, the online cheating site that was hacked two years ago, is still exposing its users' data. This time, it is because of poor technical and logical implementations.

As a result, approximately 64% of Ashley Madison (AM) private, often explicit, pictures are accessible. This access can often lead to trivial deanonymization of users who had an assumption of privacy and opens new avenues for blackmail, especially when combined with last year's leak of names and addresses.

Let's look at how "Sarah" and "Jim," two hypothetical users on AM, can have their privacy broken.
AM has two types of pictures, public and private, neither of which are required. Public pictures are viewable by any AM user. Private pictures are secured by a "key." Sarah can send her key to Jim so he can see her pictures. Jim can request Sarah's key, requiring her explicit approval. Sarah can also revoke Jim's key, restricting his access.

This structure makes sense but, two issues open the door to problems:

• By default, AM will automatically share Sarah's key with Jim if he shares his key with her.
• Pictures can be accessed, without authentication, by directly accessing its URL

To protect her privacy, Sarah created a generic username, unlike any others she uses and made all of her pictures private. She has denied two key requests because the people did not seem trustworthy. Jim skipped the request to Sarah and simply sent her his key. By default, AM will automatically give Jim Sarah's key.

That's right, Jim can now see all of Sarah's private pictures, rated (aka explicit) and non-rated.
Comment cela se produit-il? When adding a picture, the box to share your private pictures is already checked. If you keep this box checked, it will apply the same setting to additional pictures of the same type (public or private).

There are two issues with this implementation. First, few understand the implications nor think through the way it could be exploited. Second, as Steve Gibson would put it, is the "tyranny of the default." As he explains it, "whatever the default settings are, most of the time that's what they end up being forever." People will simply click through the options, leaving them as recommended. The only way to change this configuration is to go deep into the settings page.

Let's go back to our metaphorical users. Sarah will at least get an email saying that she received Jim's key and can go to AM to validate the interaction and revoke the key Jim was given.

During testing, less than 1% of users revoked their key after it had been given. It is our assumption that this means that most users do not understand the impact of this policy. We believe it is far less likely that users who go through the effort to distinguish between public and private photos are ok with any random AM user seeing their private pictures.

Those that revoked their key, access is now denied.

Actually, that's not 100% true. Once Jim is granted access to Sarah's pictures, he is able to see the link, eg https://photo-cdn.ashleymadison.com/[picture_name] . Not only can he access the picture, with this link, anyone can access the picture without authentication, AM user or not. While the picture URL is too long to brute-force (32 characters), AM's reliance on "security through obscurity" opened the door to persistent access to users' private pictures, even after AM was told to deny someone access.

Data leakage


In order to prove the validity of this issue, we wrote a program to iterate through all IDs, aka profile numbers, (0-99,999,999) and gave a private key to a random sample of users that had private pictures. Based on this random sampling:

• 26% of users had private pictures
• 64% of users accounts that had private pictures automatically returned their key

AM's parent company, Ruby, also controls two other sites, Established Men and Cougar Life. Both of these sites also have automatic key exchange and require no authentication to directly access picture URLs; however, they at least force a user to pick if they want to enable sharing by default instead of defaulting it on and requiring a user to uncheck the box.

Implications

The implications of these issues are many.

• At the core, pictures that AM users entrusted them to securely store are exposed.
• Users can be victims of blackmail. AM users were blackmailed last year, after a leak of users' email addresses and names and addresses of those who used credit cards. Some people used "anonymous" email addresses and never used their credit card, protecting them from that leak. Now, with a high likelihood of access to their private pictures, a new subset of users are exposed to the possibility of blackmail.
• These, now accessible, pictures can be trivially linked to people by combining them with last year's dump of email addresses and names with this access by matching profile numbers and usernames.
• Exposed private pictures can facilitate deanonymization. Tools like Google Image Search or TinEye can search the internet to try to find the same picture, including on social media sites like Facebook, Instagram, and Twitter. This sites often have your real name, connecting your AM account to your identity. Some users also include their first name in their username, eg Sarah1234. With your name, age, location, and now pictures, it can be easy to search Facebook or Google for a matching profile.

Recommandations

• Remove automatic pictures sharing or adjust its logic. In our opinion, Sarah should have to explicitly give Jim permission to her private pictures.AM's parent company does not agree and sees the automatic key exchange as an intended feature.
• Limit key exchanges. If you limit how many keys a user can send out, you decrease the speed with which they can exploit automatic key sharing across the user base.AM's parent company has completed this.
• Restrict right-click functionality in the web page. While this is not perfect, it at least raises the difficulty in saving or stealing private pictures.
• Add authentication to all AM photos. Having pictures accessible, unauthenticated, is negligent.
• Only allow 1 user account per email address. We were able to create 7 user accounts under the same email address, which lowered the difficulty of conducting the scan of user accounts.

For more recommendations on keeping your data secure on the web, check out these tips on how to protect your privacy online.

Report: cybercriminals steal voter database of the State of California

If there is one thing that the 2016 US election has taught us it is that the entire electoral process needs to be revamped and a more uniform secure process. There have been several high-profile leaks of voter data in recent months but in this case the entire voting population of California has had their information taken by cyber criminals.

In early December, MacKeeper security researchers discovered an unprotected instance of MongoDBdatabasethat appear to have contained voter data. The database named 'cool_db' contained two collections and was available for anybody with Internet connection to view and/or edit.

One was a manually crafted set of voter registration data for a local district and the other appeared to contain the entire state of California with 19,264,123 records,allopen for public access.

According to the LA Times California had 18.2 million registered voters in 2016 so this would logically be a complete list of their records.

MacKeeper researchers were unable to identify the owner of the database or conduct a detailed analysis due to the fact that the database has been deleted by cyber criminals and there is a ransom note demanding 0.2 bitcoin ($2,325.01 at the time of discovery).

We were able to analyze the stats data we saw in our report (metadata on total number of records, uptime, names of the collection etc.), as well as 20-records sample extracted from the database shortly before it has been wiped out and ransom note appeared.

Ransomware and stolen data

In January 2017 a 27k or roughly a quarter of MongoDB databases left open to the internet were hit by ransomware and again in September 2017 three groups of hackers wiped out an estimated 26,000 MongoDB databases. The cyber criminals demanded that the owners of those databases pay around $650 USD in the cryptocurrency BitCoin to regain their data. It is still unknown just how that stolen data was used or how many people paid to have it returned, and if it was even returned after the cybercriminals received the money.

Back in January MacKeeper Security came up with the initiative to help those who suffered an attack.Read more about last year 'massacre' here.

It is unclear who exactly compiled the database in questionor the ownership, but researchers believe that this could have been a political action committee or a specific campaign based on the unofficial title of the repository ("cool_db”), but this is only a suspicion. Political firms assist campaigns in building voter profiles. This information of California voters is governed by state law that dictates what kind of information can be released, and for what purposes.

The danger of a state voter database leak

In this case security researchers were able to bring awareness to millions of California citizens that their data was not only publicly leaked online, but also that cyber criminals have stolen it for ransom. State voter registration databases store detailed information on each registered voter in the state, as required by federal law.

The criminals used ransomware to wipe out the voter data and likely backed it up on a server making it even riskier. Once in the hands of cyber criminals, this voter data could end up for sale on the “Dark Web”. If this were an official database, deleting parts of that data could affect someones voting process.

What the database contained?

The 4GB collectioncontained data structured with the following rows:

• Ville:
• Fermeture éclair:
• StreetType:
• Nom de famille:
• HouseFractionNumber
• RegistrationMethodCode
• State: CA
• Phone4Exchng:
• MailingState: CA
• E-mail:
• Phone3Area:
• Phone3NumPart:
• Status: A
• Phone4Area:
• StreetName:
• Prénom:
• StreetDirSuffix:
• RegistrantId:
• Phone1NumPart:
• UnitType:
• Phone2NumPart:
• VoterStatusReasonCodeDesc: Voter Requested
• Enceinte:
• PrecinctNumber:
• PlaceOfBirth:
• Phone1Exchng:
• AddressNumberSuffix:
• ExtractDate: 2017-05-31
• Language: ENG
• Dob:
• Genre:
• MailingCountry:
• AssistanceRequestFlag
• MailingCity:
• Deuxième prénom:
• AddressNumber:
• StreetDirPrefix:
• RegistrationDate:
• PartyCode:
• Phone1Area:
• Suffixe:
• NonStandardAddress:
• Phone4NumPart:
• CountyCode:
• MailingAdd3:
• MailingAdd2:
• MailingAdd1:
• UnitNumber:
• Phone2Exchng:
• NamePrefix:
• _id: ObjectId
• MailingZip5:
• Phone2Area:

The “Extract Date” is most likely is the indicator of when the database has been compiled. It appears to have been created on May 31st, 2017.

The purpose of the second much larger collection in the database, named '22GB appears to be the complete California voter registration records. It contains a massive 409,449,416 records in total.

The format and information in the document titled “22GB”

• ExtractDate: '2017-05-31',
• 'District':
• 'RegistrantId':
• 'CountyCode':,
• 'DistrictName':
• '_id': ObjectId

Bob Diachenko, head of communications, MacKeeper Security Center:

Here are the transactions for the wallet in the ransom note
https://www.blockchain.com/btc/address/1EPA6qXtthvmp5kU82q8zTNkFfvUknsShS

The database has been taken down since the initial discovery. Secretary of State of California was aware of the leak and "was looking into it", however, at the time of publication we did not receive any official statement.

Read more guides:

• What to Do If Your Data Was Leaked in a Data Breach
• How to Remove Personal Information from the Internet

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!