目录导航
介绍
由Anurag Sen领导的Safety Detectives网络安全团队发现了一个影响巴西市场集成商平台 Hariexpress.com.br 的关键数据泄漏。
根据该公司的网站,Hariexpress 将多个电子商务市场整合到一个平台中,允许交易者在其所有不同的在线商店中组织和自动化流程。
Hariexpress 错误配置的 ElasticSearch 服务器暴露了大量电子商务客户和平台用户的 PII。
上次我们检查 Hariexpress 的服务器以验证其状态时,它暴露了超过 17.5 亿条记录和 610+GB 的敏感数据。当它得到保护时,它可能更高。
谁是 Hariexpress?
Hariexpress 成立于巴西圣保罗。该公司将众多流程集成到一个平台上,以提高拥有多个电子商务商店的交易者的效率和运营能力。
功能包括商店克隆和统一库存管理,更不用说报告业务绩效的 ERP 分析。
Hariexpress 有一些主要合作伙伴将他们的服务与平台集成。其中包括 Mercado Livre、B2W Digital、亚马逊、Shopee、Magalu、tinyERP。Bling! 和 Nuvemshop。
Correios 是 Hariexpress 的另一个合作伙伴。Correios 是巴西的国家邮政服务,Hariexpress 的服务器也暴露了这个主要组织的数据。
我们知道 Hariexpress 拥有服务器,因为在服务器名称和整个日志内容中多次提到“Hariexpress”。
泄露了什么?
Hariexpress 的 ElasticSearch 服务器未加密,没有任何密码保护。结果,它暴露了 17.5+ 亿条记录,总计超过 610 GB 的数据。
Hariexpress 的不安全数据库泄露了电子商务客户的订单详细信息,以及消费者 PII 数据的形式,包括:
- 全名;和帐户“昵称”(用户名)
- 电子邮件地址
- 电话号码
- 完整的送货地址
- 结算明细; 包括帐单地址和为商品支付的金额
- 已交付货物的图像
开放服务器还包括供应商的PII,即使用 Hariexpress 平台的企业。
除了泄露电子商务买家的数据外,公开的订单详细信息还泄露了特定的电子商务供应商(卖家)数据:
- 卖家全名;和帐户“昵称”(用户名)
- 卖家的电子邮件地址
- 卖家的电话号码
- 卖家的公司地址/家庭住址
- 卖家的 CNPJ 号码;巴西企业的身份证号码
- 卖家的 CPF 号码(税号)
- 结算明细; 包括单价和销售时间
有关于Hariexpress’开放ElasticSearch暴露其他记录PIIS:
- 发票图片链接;其中包括购物者和卖家的姓名和地址
- 内部用户名和加密密码;每个企业的Hariexpress帐户
- 订单追踪号码
订单详细信息包含一长串属于电子商务买家和卖家的数据。您可以在下面查看泄露的订单详细信息示例。
泄露的订单详细信息可能会以多种方式成为问题。一些日志泄露了电子商务客户敏感购买的详细信息。私下下的订单现在会泄露个人信息,人们可能会觉得尴尬或有害。
在其他地方,发票图像和快递服务发票泄露了电子商务买家和卖家的 PII。
该漏洞还以其他方式影响了电子商务业务,供应商的 Hariexpress 帐户凭据包含在服务器日志的内容中。还可以看到供应商的 CNPJ 数量。
服务器的庞大规模使得很难确切知道有多少人受到此漏洞的影响。我们知道服务器日志中有数千个电子邮件地址条目,因此,我们可以假设有数千人受到影响。但是,由于存在重复的电子邮件地址条目,很难准确估计。
您可以在下表中看到 Hariexpress 数据泄露的完整明细。
| 泄露的记录数 | 1,751,023,279条 |
| 受影响的用户数 | 未知 |
| 违规规模 | 610+GB |
| 服务器位置 | 美国华盛顿 |
| 公司位置 | 巴西圣保罗 |
Hariexpress 的 ElasticSearch 服务器在发现时处于活动状态并正在更新。该服务器显然从 2021 年 5 月 12 日起在互联网上公开,安全侦探网络安全团队在一个多月后发现了它。
数据库中的信息是葡萄牙语,这延长了我们的调查时间。我们于 2021 年 7 月 1 日就该公司的服务器联系了 Hariexpress,并于 2021 年 7 月 5 日收到了回复。一名 Hariexpress 员工询问了我们的联系电话,但此后无法联系上。7 月 8 日,我们联系了巴西 CERT,后者表示他们不负责此类披露。
数据泄露影响
如此规模的数据泄露很容易影响数十万甚至数百万巴西 Hariexpress 用户和电子商务购物者。Hariexpress 泄露的服务器内容也可能影响其自身业务。
我们无法知道不道德的黑客是否发现了 Hariexpress 不安全的 ElasticSearch 服务器。用户、快递员、消费者和 Hariexpress 本身都应该了解他们可能因此次数据泄露而面临的风险。
对电子商务买家的影响
服务器的大部分关键信息属于使用 Hariexpress 平台的电子商务企业的客户。
毕竟,巴西电子商务是一个快速增长的行业,预计到 2021 年将达到 1490 亿巴西雷亚尔。电子商务平台可能会尽其所能保护大量用户数据,但他们无法像上文提到的那样为第三方数据泄露做好准备。这份报告。这种“盲点”使得像 Hariexpress 违规这样的大型违规行为成为可能。
很难说到底有多少客户最终受到影响。如果您是巴西人并且在任何与 Hariexpress 相关的电子商务平台上购物,那么您应该警惕以下网络安全威胁。
网络钓鱼攻击和社会工程尝试应该是任何相关客户的首要考虑。黑客可以使用泄露的电子邮件地址联系受害者。
黑客可以使用一长串不同形式的客户 PII 来与受害者建立信任。可以使用姓名和地址为收件人个性化电子邮件。黑客可以使用订单信息、发票和账单详细信息来构建令人信服的叙述。例如,黑客可以冒充快递员,以完成订单存在问题为由。
从这里,黑客可以说服受害者提供其他形式的个人信息或单击将恶意软件下载到受害者设备上的链接。这是网络钓鱼攻击。
网络钓鱼攻击可用于帮助黑客进行欺诈。
诈骗者可能会使用 CPF 号码围绕退税或退货进行诈骗。诈骗者还可以使用发票和账单信息来发起其他欺诈尝试。其中一种骗局是虚假账单骗局,它使用泄露的账单信息和发票来创建虚假发票。然后受害者在不知不觉中支付了这张发票。
盗窃是消费者面临的另一个风险。犯罪分子可以使用送货信息和送货地址来组织入室盗窃;订购的商品或客户的家庭住址。高价值订单会引起对更富裕目标的关注。
对 Hariexpress.com.br 用户和快递员的影响
由于此次数据泄露,Hariexpress 用户和相关快递员也面临风险。
Hariexpress 快递员可能是上述盗窃企图的接收方。Hariexpress 在其平台中集成了快递服务 Correios(巴西国家邮政服务)。
使用 Hariexpress 的卖家必须知道他们的姓名和地址包含在开放的数据库中。Hariexpress 用户可能会成为网络钓鱼攻击的 目标,并使用此信息进行诈骗。例如,黑客可以伪装成心怀不满的客户,通过引用大量订单日志和发票信息来请求退款或新订单。
Hariexpress 用户可能会使用泄露的登录凭据面临帐户接管。这可能对 Hariexpress 用户造成严重损害,为黑客提供有关用户电子商务业务和客户群的大量信息。
企业间谍活动也确实是一个问题。开放的 ElasticSearch 泄露了众多电子商务企业的客户订单。获得此信息的竞争对手企业可以联系卖家的客户,以更好的报价削弱原始卖家并窃取该业务。这也可能是Hariexpress.com.br的问题。
竞争对手的企业也可以冒充买方或同事,引用客户订单详细信息以建立信任并了解有关卖方业务的更多信息。这可能包括行业机密。
对 Hariexpress.com.br 的影响
首先,Hariexpress 泄露了超过 17.5 亿条记录,其中许多与 Hariexpress 用户和巴西公众有关。Hariexpress 将这些人置于犯罪危险之中,在此过程中违反了巴西的数据保护法。
巴西的《通用数据保护法》(正式名称为 Lei Geral de Proteçãode Dados 或 LGPD)于 2020 年底生效。该法律适用于处理巴西公民数据的任何企业或个人。
对数据处理不当的企业将不得不支付最高为上一年收入2%的罚款,最高可达5000 万巴西雷亚尔(约 1000 万美元)。
由于如此大规模的泄密,Hariexpress 可能会因声誉受损而面临业务损失。企业主委托 Hariexpress 保护他们的生计,而 Hariexpress 未能保证这些信息的安全。
因此,由于网络安全问题,当前用户可能会考虑离开 Hariexpress。出于同样的原因,潜在客户可能会考虑使用其他市场集成工具。
防止数据泄露
我们如何避免数据泄露以及数据泄露的破坏性后果?
以下是一些防止数据泄露的提示:
- 仅向您认识或可以完全信任的公司/个人提供您的个人信息。
- 仅访问安全的网站域。安全网站域的开头有一个“https”和/或一个闭锁符号。
- 不愿向供应商提供最重要的个人信息形式(保留政府 ID 号码和个人喜好)。
- 使用字母、数字和符号创建坚如磐石的密码,并定期更新这些密码。
- 除非您确定来源是合法的,否则不要单击电子邮件链接(或任何链接)。
- 在社交媒体上编辑您的隐私设置,只向可信赖的人显示您的内容和个人信息。
- 连接到不安全的 Wi-Fi 网络时,请勿使用信用卡或输入帐户密码。
- 了解网络犯罪、数据保护以及降低网络钓鱼攻击和恶意软件风险的方法。
转载请注明出处及链接