Istraživač kibernetičke sigurnosti, Jeremiah Fowler, otkrio je i prijavio vpnMentor -u o bazi podataka koja nije zaštićena lozinkom i sadrži preko 2,3 miliona dokumenata koji pripadaju Kids Empire-u, američkom operateru rekreativnih centara.
Javno izložena baza podataka sadržavala je 2.363.222 dokumenta u .PDF i.PNG formatima ukupne veličine 92,3 GB. Dokumenti su uključivali rezervacije, odricanja od povreda i priznanice s djelomičnim brojevima kreditnih kartica i detaljima transakcije. Osim toga, postojale su digitalne poklon kartice bez datuma isteka, izvorne slike za web stranice i predlošci. Odmah sam poslao obavještenje o otkrivanju podataka Kids Empire-u. Baza podataka je ostala javno dostupna najmanje tri sedmice prije nego što je konačno ograničena. Nije jasno koliko dugo su podaci bili izloženi ili da li je neko drugi možda imao pristup bazi podataka nezaštićenoj lozinkom, jer je samo interna forenzička revizija mogla da identifikuje ove informacije. Nakon što je baza podataka osigurana, predstavnici Kids Empire-a zahvalili su mi se putem e-pošte na obavještenju i naznačili buduće korake koje će preduzeti za zaštitu podataka.
Prema profilu PitchBook-a : Kids Empire je operater rekreativnih centara namijenjenih pružanju zabavnih sadržaja za djecu u zatvorenom prostoru. Centri kompanije nude parkove sa kontrolisanom temperaturom, bezbjedne i čiste u kojima mala djeca mogu da uživaju u raznim igrama ili da uživaju na plesnom podiju, omogućavajući starateljima da paze na djecu dok oni uživaju u slobodnom vremenu.
Izloženost podataka predstavlja potencijalne rizike za privatnost klijenata otkrivanjem ličnih podataka (PII) kao što su imena, fizičke i adrese e-pošte, brojevi telefona i detalji o rezervacijama. Obavezna odricanja su uključivala ime djeteta, kao i lične podatke i potpis roditelja. Kids Empire ima 68 lokacija u 18 država, uključujući Arizonu, Kaliforniju, Kolorado, Floridu, Džordžiju, Ajovu, Ilinois, Indijanu, Kanzas, Mičigen, Minesotu, Misuri, Nevadu, Nju Džersi, Pensilvaniju, Teksas, Jutu i Virdžiniju.
Potencijalni rizici otkrivanja informacija o klijentima mogu imati širok spektar implikacija. Sajber kriminalci sve više koriste sofisticirane metode društvenog inženjeringa kako bi dobili dodatne lične, kreditne ili bankarske informacije. Prema FBI-u, 98% svih sajber zločina počinje društvenim inženjeringom. Jedan hipotetički primjer bi bio kriminalac koji zove kupca i koristi interne informacije da se predstavlja kao zaposlenik Kids Empire-a. Mogli bi reći nešto poput „Vidim da ste nedavno bili na lokaciji X, i želimo vam ponuditi povrat od X.XX USD na vašu karticu koja se završava na #1234, možete li mi dati ostatak broja i CVV sigurnosni broj na poleđini kartice?” Ne kažem da su klijenti Kids Empire-a inherentno izloženi riziku od ove vrste prijevarnih aktivnosti, samo dajem primjer iz stvarnog svijeta u obrazovne svrhe. Preporučujem da svako ko primi sumnjivu komunikaciju u kojoj se traže informacije o plaćanju uvijek potvrdi da je to legitiman zahtjev. Prvi korak da to učinite je da potvrdite da je osoba s kojom razgovarate ona za koju kažu da je koristeći samo zvanične kanale kao što su adrese e-pošte kompanije ili brojevi telefona.
U slučaju povrede podataka, najznačajniji potencijalni rizik je krađa identiteta ili finansijska krađa. Iako je evidencija sadržavala samo djelimične brojeve kreditnih kartica, tip kartice i brojeve transakcija, bilo koja interna informacija o klijentu može poslužiti kao dio slagalice za kreiranje potpunog ciljanog profila za kriminalce. Drugi potencijalni rizik bi bili zlonamjerni hakeri koji pokušavaju iskoristiti izložene informacije za ciljane phishing napade na klijente. U ovom konkretnom slučaju — i u svakom otkrivanju podataka — ključno je da klijenti budu upoznati s poznatim obmanjivačkim taktikama koje koriste kriminalci na mreži i van mreže. Na ovaj način je manja vjerovatnoća da ćete postati žrtva ovakvih metoda.
Iako Kids Empire pruža offline uslugu za porodičnu zabavu, ovo izlaganje pokazuje kako su podaci sada preovlađujući dio gotovo svih aspekata života. U eri u kojoj se digitalne prijetnje neprestano razvijaju, pozivam kompanije da preduzmu proaktivne korake kao što su šifriranje internih zapisa, redovno ažuriranje sigurnosnih protokola i provođenje sveobuhvatne procjene rizika u okruženjima u kojima se pohranjuju osjetljivi podaci. Toplo preporučujem da kompanije koje prikupljaju i pohranjuju podatke imaju namjenski komunikacijski kanal za podatke i pitanja privatnosti koji je odvojen od korisničke podrške. Offline kompanije obično ne obučavaju svoje predstavnike korisničke podrške za rukovanje sigurnosnim protokolima podataka, što može dovesti do kašnjenja u rješavanju potencijalnih sigurnosnih incidenata, i na taj način potencijalno osjetljive informacije o klijentima ili poslovnim informacijama izložiti daljem riziku. Tokom povrede podataka svaka sekunda se računa. Priprema sa pripremljenim planom odličan je proaktivan način za ublažavanje i minimiziranje potencijalne štete od izloženosti.
Izvor: vpnMentor