Kreditkortoplysninger inklusive personlige oplysninger, IP-adresser og anden kommunikation fundet eksponeret for feltarbejde software
Følsomme private og økonomiske oplysninger fra hundredvis af kreditkortbrugere blev opdaget at være lagret i en database, der lå usikret. Forskerne, der kørte et simpelt scanningsprogram, opdagede en database, der blev eksponeret på Internettet ejet af Fieldwork Software. Chokerende, dataene indeholdt omfattende økonomiske detaljer tilhørende forretningskunder. Ud over kreditkortoplysningerne kunne andre meget følsomme oplysninger såsom tilknyttede navne, GPS-tags og endda kommunikation mellem klienten og tjenesteudbyderen potentielt være adgang til og udnyttet. Det foruroligende aspekt er, at scanningsprojekter, der udsatte den utætte database, er ret nemme at implementere og i stigende grad bliver brugt af professionelle hackegrupper til at udnytte finansiel information eller plante malware.
Forskere, der arbejder for vpnMentor cybersikkerhed, der afslørede den tilsyneladende eksponerede database med Fieldwork Software, tilbød deres opdagelser gennem et blogindlæg. Holdet bestående af Noam Rotem og Ran Locar angav, at omkring 26 GB data forblev eksponeret. Det er klart, at databasen ikke med vilje blev efterladt eksponeret. Opdagelsen udsætter dog farerne ved, at finansiel information forbliver udnyttet til enhver gruppe af programmører, der ved, hvor de skal søge eller indlede en tilfældig jagt på severs eller databaser, der ikke er ordentligt sikret. Interessant nok er datastørrelsen muligvis ikke stor, men informationens art kan potentielt udnyttes til at lancere flere massive digitale finansielle røverier.
Anstar-ejet feltarbejde-software havde en utæt database, der var sikret med dårlige sikkerhedsprotokoller
vpnMentor cybersikkerhedsforskere opdagede det udsatte og i det væsentlige sikret med dårlige sikkerhedsprotokoller under et webscanningsprojekt. Virksomhedens igangværende projekt snuser i det væsentlige rundt på internettet på udkig efter havne. Disse porte er i det væsentlige gateways til databaser, der almindeligvis er lagret på servere. Projektet er en del af et initiativ til at jage efter og opdage havne, der ved et uheld er eller utilsigtet efterladt åben eller usikret. Sådanne porte kan let udnyttes til at skrotte eller indsamle data.
Ved flere lejligheder er sådanne porte blevet kilden til lækagen ved utilsigtet offentliggørelse af følsomme virksomhedsdata. Desuden flere initiativrige grupper af hackere sigt ofte omhyggeligt igennem dataene og se efter mere potentielle ruter at udnytte. E-mail-id'er, telefonnumre og andre personlige oplysninger bruges ofte til at starte angreb, der er afhængige af social engineering. Tilsyneladende godkendte e-mails og telefonopkald er tidligere blevet brugt til få ofre til at åbne e-mails og ondsindede vedhæftede filer.
Fieldwork Software er i det væsentlige en platform, der er beregnet til små og mellemstore virksomheder (SMB'er). Det Anstar-ejede selskabs yderligere indsnævrede målmarked er SMB'er, der tilbyder tjenester på dørtrin hos kunderne. SMB'er, der tilbyder hjemmetjenester, har brug for en masse information og sporingsværktøjer for at sikre optimal kundeservicestyring og kundeforholdsstyring. Fieldwork's platform er for det meste skybaseret. Løsningen tilbyder virksomheder at spore deres medarbejdere, der foretager husopkald. Dette hjælper med at etablere og vedligeholde CRM-poster. Derudover tilbyder platformen flere flere kundeservicefunktioner, herunder planlægning, fakturering og betalingssystemer.
Den eksponerede database indeholdt økonomiske og personlige oplysninger om Fieldwork Softwares forretningskunder. I øvrigt ser databasen ud til 26 GB ganske lille. Imidlertid omfattede databasen angiveligt kundenavne, adresser, telefonnumre, e-mails og kommunikation sendt mellem brugere og klienter. Chokerende var dette bare en del af databasen. Andre komponenter, der forblev eksponerede, omfattede instruktioner sendt til servicearbejdere og fotos af de arbejdssteder, som de ansatte tog til optegnelser.
Hvis det ikke er slemt nok, indeholdt databasen også følsomme personlige oplysninger om kundernes fysiske placering. Oplysningerne omfattede angiveligt GPS-placeringer af klienter, IP-adresser, faktureringsoplysninger, underskrifter og fulde kreditkortoplysninger - inklusive kortnummer, udløbsdato og CVV-sikkerhedskode.
https://twitter.com/autumn_good_35/status/1148240266626605056
Mens kundernes information blev eksponeret, forblev Fieldwork Softwares egen platform også sårbar. Dette skyldes, at databasen også indeholdt automatiske login-links, der blev brugt til at få adgang til Fieldwork-serviceportalen. Med enkle ord var de digitale nøgler til platformens backend-system og administration også til stede i databasen. Det er overflødigt at sige, at ondsindet eller initiativrig hacker let kunne trænge igennem Fieldworks kerneplatform uden store vanskeligheder. Desuden kunne en hacker, når den var inde, let forstyrre platformen og få den til at miste sit omdømme, advarede forskere fra vpnMentor cybersikkerhed,
“Adgang til portalen er et særligt farligt stykke information. En dårlig skuespiller kan drage fordel af denne adgang ikke kun ved at bruge de detaljerede klient- og administrative poster, der er gemt der. De kunne også låse virksomheden ud af kontoen ved at foretage ændringer i backend.”
Feltarbejdssoftware fungerer hurtigt og sætter stik i stykker:
vpnMentors cybersikkerhedsforskere bemærkede kategorisk, at Fieldwork Software handlede meget hurtigt og tilsluttede sikkerhedsbruddet. I det væsentlige afslørede vpnMentor eksistensen af den utætte database til feltarbejde inden offentliggørelse, og sidstnævnte lukkede lækagen inden for 20 minutter efter modtagelse af forskernes e-mail.
I en ukendt periode var Fieldwork Softwares hele platform, dens klientdatabase og dens klienter også i høj risiko for penetration og udnyttelse. Hvad der vedrører er, at databasen ikke kun indeholdt følsomme digitale oplysninger, men også indeholdt oplysninger om virkelige eller fysiske placeringer. Ifølge forskerne, der gennemførte forskningen, indeholdt databasen “aftaltider og instruktioner til adgang til bygninger inklusive alarmkoder, lockbox-koder, adgangskoder og beskrivelser af, hvor nøgler var skjult. ” Indrømmet, at sådanne poster blev renset efter 30 dages oprettelse, men alligevel kunne hackere muligvis organisere angreb på fysiske placeringer med sådan information. At kende placeringer af nøgler og adgangskoder ville gøre det muligt for angribere nemt at trænge ind i sikkerheden uden at ty til vold eller magt.
Fieldwork Softwares hurtige handling er prisværdig, især fordi underretning om databrud ofte bliver mødt med alvorlig kritik, benægtelse og modbeskyldninger om virksomheds sabotage. Oftere end ikke tager virksomheder deres egen søde tid til at tilslutte sikkerhedshullerne. Der har været en hel del tilfælde hvor virksomheder har direkte benægtet eksistensen af eksponerede eller usikrede databaser. Derfor er det opmuntrende at se virksomheder, der tager hurtig kendskab til situationen og handler hurtigt.