目录导航
安全研究员 Jeremiah Fowler 与 Website Planet 研究团队一起发现了一个不受密码保护的数据库,其中包含 822,789 条记录。该数据集包含有关卡车运输、运输公司和个人司机的详细信息。这些数据似乎与信用账户、贷款、还款和收债有关。这包括银行信息和税号。许多税号与看似 SSN(社会安全号码)的内容一致,并以纯文本形式存储。
经过进一步研究,有多个参考资料,包括佛罗里达州一家名为 TransCredit 的公司的内部电子邮件和用户名。我们立即向 TransCredit 发送了一份负责任的披露通知,不久之后公共访问受到限制。这些记录似乎包含美国和加拿大的货运和运输公司的数据。
根据他们的网站:TransCredit 利用来自大型老龄服务提供商网络的强大数据来创建我们的报告。我们的 DISC 和 Premier 信用报告是可用的最全面的行业特定信用报告,显示独特的信用评分和支付趋势。我们提供可靠的信用报告,您可以快速访问这些报告以做出明智的决定。
以下是我们的发现:
- 总记录:822,789
- 内部记录,包括客户的姓名、电子邮件、银行信息、看似 SSN 和 EIN(雇主识别号)的税号。
- 这些人可能面临使用内幕信息进行有针对性的社会工程攻击的风险。
- 关于收款、付款历史、新申请人、状态和进度的详细说明。对“TransCredit”和“Transcore”的引用
- 内部密码和登录 ID/用户名、帐号。我们只能假设这些可用于访问用户门户。(出于道德原因,我们不会规避密码保护或尝试验证用户凭据)。
- 指数命名:
- 这些文件还显示了数据的存储位置以及网络如何从后端运行的蓝图。该数据库面临勒索软件攻击的风险,该攻击会加密数据。
TransCredit 的工作原理
该过程与个人在美国获得传统信用评分的方式非常相似。信用评分是一个数字,它试图确定一个人的信誉度以及该人支付账单的可能性,对于个人而言,这个分数来自三大信用局之一:Experian、TransUnion 和 Equifax。以非常相似的方式,TransCredit 为运输行业创建了一个“信用评分”,对托运人和经纪人进行评级,然后分配一个从 0 到 99 的风险评估分数,其中 0 是高风险,99 是最低风险。一旦他们应用评分系统,它就会为托运人、司机和运输公司提供风险概念。一些承运人依赖评分系统,并取消评级较差的托运人的资格。
运输业面临的风险
大流行加上司机和劳动力短缺给美国供应链带来了重大问题。即使您可能没有意识到,运输业影响着每一位美国和加拿大的消费者。当供应链中断并且无法交付货物时,我们会看到人们在收银台或在线购物时感受到的价格飙升。当前的通胀飙升是供应限制满足无法满足的非常强烈需求的结果。
对运输公司来说真正的危险是欺诈和诈骗。该数据库包含足够的信息来创建一系列高度针对性的欺诈或诈骗。掌握内幕信息的犯罪分子可能很容易获得信任,公司或个人在验证税号或其他数据时不会那么可疑。当犯罪分子验证信息并为经济利益建立信任地位时,这就是社会工程。这就像说“我正在打电话询问帐号 1234 和以 1234 结尾的税号。我们需要您更新您的付款信息”一样简单。
以下是影响运输业的一些最常见的骗局:
交通部 (DOT)。犯罪分子可以声称存在违规行为并要求付款,否则他们的执照将被暂停。没有人愿意站在法律的错误一边或放慢业务运营速度,因此他们经常会付钱。
网络钓鱼在任何行业都是一个问题,但在这种情况下,每个帐户都有一个电子邮件地址、电话号码、个人姓名和其他潜在的敏感数据。这将允许一种更有针对性和危险的方法,称为“鱼叉式网络钓鱼”。据估计,仅在 2019 年,企业就被骗了 17 亿美元。对网络钓鱼的唯一真正防御是对每笔交易的认识和尽职调查。教育员工不要向任何人提供信息,直到他们核实个人或企业就是他们所说的人。
保理诈骗涉及运输公司发送发票预付款请求。对于永远不会提供的服务,这些可能是虚高的价格或完全的欺诈行为。
修复发票诈骗。据估计,一辆卡车的维护和维修费用每年可能高达 15,000 美元。这是一笔巨款,也是很多运输公司的常规快递。维修发票是犯罪分子使公司措手不及的完美目标,一旦付款,钱几乎永远不会退还。
运输行业对诈骗并不陌生,但这种数据暴露可能为犯罪分子提供了一个信息金矿,然后可以用来瞄准受害者。为了防止多种类型的欺诈,公司唯一能做的就是验证每一次付款或信息请求。到 2020 年,美国的运输服务市场估计为 1.7 万亿美元。信用检查通过帮助车队避免欺诈和经纪公司而发挥重要作用,这些骗局和经纪公司只会出现拖欠付款并在此过程中收取数千美元的费用。另一个问题是屡犯者以新名称开设新业务。信用报告可以识别这些构成商业风险的公司和个人。
下一步是什么?
尽管数据库中有很多对 TransCredit 的引用和 60 万份“信用报告”,但我们没有收到 TransCredit 任何人的回复,以验证数据是否确实属于他们。目前尚不清楚这些数据是由有权访问这些报告的承包商或第 3 方公开,还是实际上是 TransCredit 的内部数据库?还有一些登录记录包含结构为transcredit@companyname 的电子邮件。假设这些账户可能是由运输公司创建的,用于检查合作伙伴、司机或其他行业联系人的分数和评级。该数据库提供了对评分过程的深入了解,并在幕后查看了运输行业的信用评分。
我们强烈建议运输行业的任何人重新审视您的数据保护政策,与您的员工和团队讨论诈骗和欺诈意识。使用唯一且复杂的字符更改密码。监控交易并监控信用账户的可疑活动。
由于记录的敏感性和我们的道德研究方法,我们不会下载我们发现的数据。目前尚不清楚数据库暴露了多长时间,或者还有谁可能获得了这些潜在敏感记录的访问权限,这些潜在敏感记录可供任何有互联网连接的人访问。目前还不清楚公司、个人或当局是否按照佛罗里达州法律的要求被告知数据泄露。我们的主要目标始终是保护数据,并确保尽快限制对这些敏感记录的公开访问。我们并不暗示 TransCredit 及其合作伙伴或关联公司有任何不当行为,我们强调我们的调查结果以提高对网络安全教育的认识。
转载请注明出处及链接