巴西WiFi软件管理公司WSpot泄露数百万用户数据

巴西WiFi软件管理公司WSpot泄露数百万用户数据

SafetyDetectives研究小组发现了一种显著数据泄漏影响巴西软件公司WSpot。

WSpot 提供 WiFi 管理解决方案,允许企业控制其本地 WiFi 网络和路由器的各种功能。

WSpot 配置错误的 Amazon S3 Bucket 以开放形式保留,暴露了潜在数百万巴西公民的敏感信息。

谁是WSpot?

巴西WiFi软件管理公司WSpot泄露数百万用户数据
WSpot官网截图

WSpot 通过 WSpot 网络门户帮助企业管理和增强其 WiFi 网络和路由器的功能。

该产品是一款“WiFi管理软件”。它为企业提供了额外的安全性和控制,允许客人无需密码即可连接到他们的 WiFi。通过强制门户进行客户身份验证、增强的数据收集和可定制的带宽限制只是用户可用的三项服务。

WSpot 总部位于巴西坎皮纳斯,拥有一些知名客户,包括 Sicredi、Unimed 和 Pizza Hut。

访客数据泄露

WSpot 的数据泄露已经破坏了超过226K份文件,总计10GB 的数据。这些文件的日志中有一系列与 WSpot 的客户及其访问者相关的敏感和个人数据。

Amazon 不管理 WSpot 的服务器,也不对其配置负责。Amazon 只为 WSpot 负责的数据存储提供平台,Amazon S3 Bucket 服务器没有任何身份验证程序。

我们发现开放数据库中公开了两种不同的文件类型——短信日志访客报告。可能有更多的信息暴露在我们的样本数据中是不可见的。

在 WSpot 的数据库中发现了84MB 包含SMS 日志的文件。估计总共有 280,000 个此类日志条目。

SMS 日志泄露了两种形式的个人和机密访问者数据。此数据属于连接到每个 WSpot 客户端的 WiFi 的人

  • 电子邮件地址
  • 短信内容;包括通过短信泄露的用户密码

SMS 日志泄露了另一种与WSpot 客户端相关的数据:

  • 公司名称

此次数据泄露还暴露了至少 550MB 的“.csv”格式的访客报告。估计总共有 250 万个日志条目,但其中一部分被认为是重复的。

暴露的访客报告揭示了几种不同类型的访客 PII。此 PII 属于连接到每个 WSpot 客户端的公共 WiFi 的公民

  • 全名
  • 电子邮件地址
  • 电话号码
  • 性别
  • 出生日期
  • 地址和邮政编码;巴西邮政编码被命名为“CEP”数字
  • 公积金号码;e. 个人纳税人编号

鉴于存在重复文件和日志条目,很难准确估计受影响的人数。估计有 250 万巴西公民可能会受到此次数据泄露的影响。

SMS 日志泄漏帐户凭据。这些记录显示包含明文登录详细信息的消息——发送给注册 WSpot 帐户的人的信息。这种做法被称为 WSpot 网站上的一项功能(“通过 SMS 获取凭据”)。

您可以在下面的屏幕截图中看到SMS 日志的证据。

巴西WiFi软件管理公司WSpot泄露数百万用户数据
SMS 日志包含纯文本形式的电子邮件和密码

“.csv”格式的访客报告电子表格似乎是由每个 WSpot 客户端的 WiFi 路由器创建和维护的网站日志。记录中显示的用户 IP 地址都是本地 IP 地址——这表明它们是由专用网络中的路由器收集以识别用户设备。记录中存在 MAC 地址——只有本地网络中的设备知道的网卡 ID——证实了这种怀疑。

您可以在下图中看到客人报告的证据。

巴西WiFi软件管理公司WSpot泄露数百万用户数据
访客报告包含一系列 PII

一些来宾报告的特色是访客对登记表上的自定义问题的回答,以及访客的出生日期。该信息可能是由 WSpot 的软件收集来创建访问者数据库的。就像访客报告的其他记录一样,所有列出的 IP 地址都是本地的,并且仅在本地网络中已知。

您可以在下方查看包含访客回答访客报告证据。

巴西WiFi软件管理公司WSpot泄露数百万用户数据
某些客人报告泄露了出生日期和问题答案。

下表提供了此数据泄露的完整细目。

泄露的记录数WSpot
受影响的用户数估计有 250 万
违规规模10GB 数据,超过 226K 份文件
服务器位置巴西
公司位置巴西

SafetyDetectives 研究团队于 2021 年 9 月 2 日发现了该服务器。WSpot 未受保护的 Amazon S3 Bucket 在发现时处于活动状态并正在更新。

在发现 WSpot 的数据库后,SafetyDetectives 研究团队于 2021 年 9 月 7 日向 WSpot 发送了一份负责任的数据泄露披露。一天后,WSpot 回复了后续消息,并于 2021 年 9 月 8 日确保了数据泄露。

WSpot 暴露的 Amazon S3 Bucket 数据库已经影响了很多人,鉴于其泄露内容的性质,各方都可能面临各种犯罪风险。

数据泄露影响

如果黑客访问了未受保护的 S3 存储桶的内容,受影响的各方可能面临多种网络风险。

我们无法知道黑客是否访问了服务器。但是,如果安全程序不完善,不道德的黑客可能会找到服务器并轻松读取或下载其数据。

在这种情况下,巴西公民、WSpot 客户和 WSpot 必须了解他们可能面临的风险。

巴西公民

首先,WSpot 客户的客人已经暴露了他们的数据。受影响的各方都居住在巴西,这是 WSpot 提供服务的地方。

据称,服务器的大部分内容都与连接到每个客户端企业的 WiFi 路由器(通过 WSpot 平台管理的路由器)的普通公众有关。

受影响的公民可能会面临诈骗网络钓鱼企图帐户接管。

诈骗

WSpot 的数据库泄露了巴西公民的电子邮件地址和电话号码。因此,不良行为者可以联系人们,以诈骗和欺诈为目标。

攻击者可以使用访问者 PII 来发起流行的骗局,以使其看起来值得信赖。例如,在 COVID-19 疫苗骗局中,攻击者可能会参考某人泄露的姓名和出生日期,以通知受害者他们有资格接种疫苗。然后攻击者可能会要求某种形式的付款,结果不会发生疫苗或疫苗接种预约。

网络钓鱼和恶意软件

同样,黑客可能会针对泄露的公民进行网络钓鱼攻击。网络钓鱼攻击是一种骗局,它试图说服受害者透露敏感信息或单击恶意链接。网络钓鱼者将来经常会使用这些信息来补充诈骗、欺诈和其他各种网络犯罪。

同样,通过在初始通信期间参考用户的个人数据,黑客可能显得值得信赖。他们可以冒充 WSpot 的 S3 Bucket 上暴露的企业之一的代表。

攻击者可以参考产品、服务、退款或其他常见话题,围绕他们的沟通原因进行叙述。一旦网络钓鱼者建立了信任元素,他们就会尝试说服受害者提供信息或单击链接。此类链接可能包含恶意软件,一旦点击,该恶意软件就可以下载到受害者的设备上——允许犯罪分子窃取更多信息以补充进一步的攻击和/或危害用户帐户。

帐户接管

SMS 日志包含 SMS 消息,如果被犯罪分子访问,则会泄露用户帐户的凭据。

黑客可以结合使用密码和电子邮件地址来访问各种其他平台上用户的单独帐户。例如,服务器上的泄露人员可能使用相同的电子邮件密码组合登录他们的在线财务帐户。

如果黑客在无数平台和网站上输入每个用户的凭据,他们很可能会访问其他帐户以及其中包含的任何资产或数据。

对 WSpot 客户端的影响

值得一提的是,WSpot 客户端(数据库访问者泄露的企业)可能面临自身的安全风险。

这些泄露的企业可能会使用访问者的详细信息遇到类似的诈骗网络钓鱼尝试。不良行为者可能会以过去访问过商店的顾客的身份联系企业,将他们的经历或企业的服务作为他们交流的理由。

攻击者也可以作为 WSpot 的代表出现,引用用户列表或两家公司之间的一般业务。当然,攻击者的最终目标很可能是收集信息或进行欺诈。

商业间谍活动是另一种可能性。WSpot 客户的公司名称和客人名单已泄露,其中包含联系方式和其他可用的 PII 形式。竞争对手的企业可能会获得对服务器内容的访问权限,以提供优惠和交易的 WSpot 客户端的访问者为目标,企图窃取他们的交易。

对 WSpot 的影响

WSpot 未能保护其 Amazon S3 Bucket 服务器,从而错误地处理了公民和客户的数据。由于此次数据泄露,WSpot 可能面临各种处罚和损害赔偿。

LGPD 违规

WSpot 的网站概述了该公司符合巴西数字权利法(Marco Civil da Internet)和巴西新数据保护法(LGDP)。但是,Wspot 可能会因泄露用户数据而受到 LGDP 的审查。

巴西的一般数据保护法的正式名称为 Lei Geral de Proteção de Dados (LGPD)。该法律于 2020 年底生效。 LGDP 保护巴西公民的数据不被收集和使用这些数据的企业或个人错误处理或滥用。

对巴西公民数据处理不当的公司可能需要支付制裁。违反 LGPD 的最高罚款是有罪公司上一年收入的 2%,总计高达 5000 万巴西雷亚尔(约 1000 万美元)。

业务损失

由于此数据泄露,WSpot 可能会遭受业务损失。对于遭受数据泄露的公司来说,这是很常见的情况。

公司可能会因与数据泄露相关的任何系统停机而失去交易。声誉受损是 WSpot 的另一种可能性。其他企业和公众并不积极看待数据泄露。数据安全也是 WSpot 服务的一个方面,这可能会因数据泄露而受到破坏。

由于担心其数据的安全性,当前客户可能会停止与 WSpot 的交易。出于同样的原因,潜在客户可能会选择竞争对手的业务而不是 WSpot。

竞争/间谍

可以访问泄露的 WSpot 客户列表的 WSpot 的竞争对手企业可以使用他们自己的 WiFi 管理解决方案来展望这些企业。由于上述原因,Wspot 客户可能愿意使用新的解决方案。

竞争对手的企业也可以冒充公司的客户之一或实际上是 WSpot 的同事联系 WSpot。来电者可以参考客户来建立信任。从这里开始,竞争对手的企业可能会试图胁迫 WSpot 员工提供信息,例如行业机密和有关其业务的内幕信息。

防止数据泄露

我们可以做些什么来保护我们的数据并将网络犯罪的风险降到最低?

以下是一些可以避免数据泄露的方法:

  • 仅向您信任的个人和公司提供您的个人信息。
  • 只访问安全的网站。安全网站的域名以“https”和/或闭锁符号开头。
  • 当被要求提供最重要的个人信息形式(即社会安全号码、政府 ID 号码和个人偏好)时,要格外小心。
  • 使用字母、大写、数字和符号的组合创建超强密码。定期更新您的密码。
  • 不要跨服务回收密码。必要时使用密码管理器
  • 除非您完全确定来源/发件人是真实的,否则不要点击电子邮件、短信或互联网上任何其他地方的链接。
  • 编辑您的社交媒体隐私设置。您的帐户应仅向受信任的用户和朋友显示您的内容和个人详细信息。
  • 限制您在连接到公共 Wi-Fi 时执行的任务和显示的信息。例如,不要购买产品并在公共 WiFi 上输入您的信用卡详细信息。
  • 使用在线资源了解网络犯罪、数据保护以及您可以采取哪些步骤来避免网络钓鱼攻击和恶意软件。

from

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注