보도: 다국적 물류회사가 고객 데이터 유출 사건을 폭로했다.
웹 사이트 Planet Security team 은 미국 뉴저지주에 본사를 두고 있는 빠르게 성장하는 주문 이행 공급업체인 BergenLogistics 에 영향을 미치는 데이터 유출을 발견했습니다.
Bergen 은 패션과 라이프 스타일 분야 기업의 기업 물류에 대한 시장 선두주자입니다. 그 업무는 전 세계에 널리 퍼져 있고, 창고는 미국, 캐나다, 유럽, 아시아에 널리 퍼져 있다.
2020 년 2 월 28 일, 우리 보안팀은 베르겐에 속한 오픈 ElasticSearch 서버를 발견했습니다. 이 서버에는 보안, 암호 보호 또는 암호화가 없으며 수천 명의 베르겐 고객이 노출될 수 있습니다.
며칠 후, 우리는 데이터베이스를 다시 검사해 보았는데, 대부분의 데이터베이스가 몸값 쪽지를 남긴 해커에 의해 삭제된 것 같았다.
우리의 조사 결과, 베르겐과 거래하는 고객이나 의뢰인, 또는 미국 베르겐에서 소포를 받은 고객이나 의뢰인이 이번 데이터 유출로 인해 영향을 받을 수 있는 것으로 보인다.
유출된 고객 데이터에는 고객 주소, 전화 번호, 이름, 성, e-메일의 배송 상세 정보가 포함되어 있습니다. 고객 계정의 이메일과 비밀번호를 포함한 일반 텍스트 로그인 자격 증명도 공개됐다.
이 파일들 중 수십만 부는 보호되지 않았고 해커들은 이미 데이터베이스를 찾은 것 같다. 이미 서버에 저장되어 있을 수도 있다. ElasticSearch 를 비우다.
베르겐의 오픈 서버에 총 467979 개의 고객 기록이 노출되어 100MB 의 데이터에 해당합니다. 많은 파일의 날짜는 65438+2020 년 2 월인데, 이는 서버가 침입할 때 활성 상태이며 사용 중임을 나타냅니다.
이 공개 문서에서 약 6,000 개의 레코드에는 고객의 배송 상세 정보가 포함되어 있습니다. 고객의 이름, 주소, 전화 번호 및 이메일은 이 문서에서 찾을 수 있습니다. 또한 고객의 로그인 자격 증명을 상세히 기록한 약 3000 개의 레코드가 있습니다. 이는 특별히 기재된 이메일과 비밀번호가 관련 고객을 속이는 데 사용될 수 있기 때문에 매우 위험합니다. 이 두 가지 측면의 예는 아래에서 찾을 수 있다.
유출된 데이터의 대부분은 미국 고객과 관련이 있는 것으로 보이며, 465,000 개가 넘는 공개 기록에는 직접 식별할 수 있는 고객 데이터가 포함되어 있습니다. 이는 이러한 고객 각각이 영향을 받을 수 있음을 보여주는 현명한 추정치입니다.
데이터 유출 BergenLogistics 는 고객의 제품을 저장, 선택, 포장 및 소매점으로 배송할 수 있는 업계 최고의 주문 이행 공급업체입니다. Bergen 은 또한 온라인 시장과 전자 상거래 매장의 고객에게 직접 물류 솔루션을 제공합니다.
Bergen 은 패션에서 가정 제품, 전자 제품, 의료 장비에 이르는 다양한 산업에 솔루션을 제공하기 위해 노력하고 있습니다. Bergen 은 주로 패션 분야에서 사업을 하며 전 세계 브랜드와 상점을 대표하여 신발, 핸드백, 액세서리, 화장품, 향수를 제공한다.
BergenLogistics 는 현재 65,438+049 명의 직원을 보유하고 있으며, 예상 매출액은 5,200 만 달러입니다 (rocketreach 의 데이터에 따르면).
많은 이재민들이 베르겐 물류회사와 협력한 기업들이 이미 폭로됐을지도 모른다. 베르겐이 B2C 배송에 대한 위험설명, 공개 고객 정보도 데이터베이스에서 찾을 수 있다.
몇몇 유명 고객들은 베르겐 물류 회사와 업무 왕래가 있다. 베르겐은 Shopify, Magento, Sellect 등의 전자 상거래 플랫폼과 LelaRose, LoveShackFancy, 3. 1PhilipLim, ToddSnyder 등을 지원합니다
앞서 언급한 바와 같이, 노출된 파일이 미국 이외 고객에 영향을 미칠지는 아직 분명하지 않다. 위의 모든 브랜드와 베르겐 물류와 업무 거래가 있는 기타 미국 고객 및 관련 전자상가는 데이터 유출의 위험이 있습니다.
최종 사용자에게 미치는 영향 해커가 베르겐의 안전하지 않은 데이터베이스에서 파일에 액세스하고 다운로드할 수 있다고 생각합니다. 그들의 주된 의도는 베르겐 물류 회사로부터 돈을 강탈하는 데 집중된 것 같지만, 이 해커들이 다른 범죄 활동을 돕기 위해 고객 정보를 이용할 계획인지 궁금합니다.
다른 부도덕한 해커들이 데이터베이스를 방문했을 수도 있는데, 이 경우 관계자들은 노출과 관련된 각종 위험에 주의를 기울여야 한다.
신원 도용 및 사기-이름, 주소, e-메일, 전화 번호 등 유출된 개인 데이터는 해커가 다른 여러 플랫폼에서 사기 활동을 할 수 있도록 신원 도용 고객을 잠그는 데 사용될 수 있습니다. 사기, 피싱 및 맬웨어에 노출된 이메일 주소와 전화 번호는 대상 고객을 잠그는 데 사용될 수 있습니다. 범죄자들은 이러한 매체 중 하나를 통해 고객에게 연락하고 얻은 개인 정보를 공개함으로써 신뢰를 쌓는다. 전화에서 그들은 피해자를 속여 은행 계좌 정보나 기타 개인 정보를 공개하려고 할 수 있다. 이메일을 통해 피해자의 장치에 맬웨어를 설치할 수 있는 링크를 클릭하도록 설득할 수 있습니다. 상업 스파이-사용자 명단을 누설한 경쟁자가 상업을 목표로 할 수 있다는 것을 발견했다. 절도-사용 가능한 개인 정보 및 운송 세부 사항은 대량의 제품이 범죄자에 의해 가로막혀 도난당할 수 있음을 의미합니다. 계정 인계–고객 로그인 자격 증명을 받은 범죄자는 이 정보를 사용하여 계정에 로그인하여 사기, 재무 정보 및 지적 재산권 도용, 계정의 정보 판매 또는 사용을 통해 추가 범죄를 실시할 수 있습니다. 베르겐 물류에 미치는 영향 연방무역위원회 법안 제 5 절에 따르면 베르겐 물류는 미국에서 업무를 수행할 때 미국 연방무역위원회가 발표한 프라이버시 약속을 준수하고 충분한 개인 정보 보안을 제공해야 한다.
이러한 조건을 위반하는 어떠한 행위도 미국 연방무역위원회가 관련 기업에 대해 강제 조치를 취할 수 있도록 허가한다. 기업이나 개인이 유죄 판결을 받으면 체포나 벌금은 6543 억 8000 만 달러에 이른다.
EU 에서의 베르겐 사업도 그 회사가 GDPR 법률의 구속을 받는다는 것을 의미한다. Bergen 이 고객 데이터를 분실, 공개 또는 제공하는 것으로 밝혀지면 약 2 천 4 백만 달러의 추가 벌금이나 매출의 4% (더 높은 쪽이 우선함) 에 직면할 수 있습니다.
경영 흥미가 줄다
이러한 데이터 유출은 또한 베르겐 물류 회사의 명성을 손상시킬 수 있으며, 이로 인해 업무 손실이 흔한 결과가 될 수 있습니다.
Bergen 은 고객의 데이터를 보호하지 못하여 해커와 범죄자에게 피해를 입힐 수 있습니다. 따라서 일부 기존 고객은 베르겐에 대한 신뢰를 잃고 다른 곳에서 업무를 찾을 수 있으며, 유출은 향후 신규 고객과의 모든 무역에 영향을 줄 수 있습니다.
경쟁 스파이
경쟁사는 간첩활동 (첩보) 을 이용해 베르겐 물류회사보다 더 큰 상업적 또는 재정적 우위를 확보할 수 있다.
공개 정보에 따르면 베르겐 (및 이번 위반과 관련된 모든 고객) 은 경쟁 스파이의 위험에 노출될 수 있습니다. 해커는 고객이나 기업 회원으로 가장하여 계좌, 업무 운영, 심지어 영업 비밀과 관련된 기밀 정보를 얻을 수 있다.
이들은 이 정보를 훔칠 수 있으며, 고객 세부 정보를 입수함으로써 경쟁업체는 Bergen 의 업무 운영을 망칠 수도 있습니다.
데이터 유출 상태
협박 통지가 발견되었지만 오픈 데이터베이스로 전송되는 일반적인 (일반적으로 자동) 메시지라는 점을 강조해야 합니다. 우리는 누군가가 정말로 베르겐의 데이터를 베꼈다는 증거를 제공할 수 없다.
우리 보안팀은 2020 년 2 월 28 일 오픈 데이터베이스를 발견했고 베르겐 물류회사는 30 일 통지를 받았다. 3 1, 데이터베이스가 비우고 팀이 몸값 기록을 찾았습니다. 202 165438+ 10 월 15 서버를 다시 점검한 후 우리 팀은 데이터베이스가 여전히 안전하지 않다는 것을 알게 되었습니다. 마찬가지로 베르겐도 데이터가 유출되었다고 여러 차례 들었다. 20265438 년 4 월 4 일, 우리는 그들 중 한 명의 임원으로부터 답변을 받았고, 우리는 답변을 공개했지만, 지금까지 우리는 그의 회신도 받지 못했고, 이 일에 대한 답변도 받지 못했다.
컴퓨터 응급 대응 팀 (CERT) 에 여러 번 연락했지만 응답하지 않았습니다.
발표된 모든 데이터는 정확하며 베르겐 물류 회사의 고객 및 업무 운영과 관련이 있습니다. 테스트 데이터의 예가 있을 수 있지만, 관련된 모든 고객은 실제 개인임을 발견했습니다.
데이터 보호는 불행히 연루된 고객에게는 걱정스러운 테스트입니다. 다음 단계는 관련 고객의 안전을 보장하지는 않지만 악의적 범죄 활동의 위협을 줄이는 데 필요합니다.
첫째, 조직에 대한 신뢰를 잃으면 데이터 삭제를 요청하는 것은 완전히 합법적입니다. 회사는 반드시 프라이버시 기준을 준수해야 한다. 전화나 이메일을 통해 알 수 없는 측과 협력할 때도 경계해야 한다. 신뢰할 수 있는 회사라고 주장하는 당사자가 개인 정보를 제공하거나 링크를 클릭하거나 파일을 다운로드해야 하는 경우 해당 당사자가 합법적임을 증명할 때까지 준수를 거부하십시오.
계좌 인계는 자신이 이런 침범의 영향을 받을 수 있다고 생각하는 모든 사람의 또 다른 걱정이다. 해커는 이 정보를 이용하여 고객 계정에 로그인할 수 있다. 고객은 계정 I 의 암호와 사용자 이름을 변경해야 합니다.