30/06/2022
诈骗集团们有机会通过以上所暴露的数据和资料来忽悠和欺骗大众,比如说在电话开头就可以精确报出你的名字,住家地址,最后消费地点或金额,甚至是信用卡的最后四个号码等。
千万别以为能够报出这些资料的一定是来自银行或其他机构!黑客和诈骗集团的手法越发高明,快转发告诉身边的友人,尤其是不熟悉网络世界的长辈们。记住了!
⚠️⚠️⚠️⚠️⚠️⚠️⚠️
就在上个星期,Safety Detectives 的研究团队披露了一个重大数据泄露事件,该数据泄露源于属于马来西亚销售点 (POS) 软件提供商 StoreHub 的一个不安全数据库。
根据该报告,暴露的数据是在配置错误的 Elasticsearch 服务器上发现的,该服务器缺乏密码保护和加密。
经过分析,调查人员发现 17 亿条记录和超过 1 TB 的数据暴露了大约 100 万马来西亚客户的个人信息,包括:
⛔️ 全名、电话号码和实际地址
⛔️ 电子邮件地址和使用的设备类型
⛔️ 交易日期、订购商品和店铺位置
⛔️ 订单详情也暴露了部分被掩盖的信用卡信息
研究人员表示,他们在 2022 年 1 月 12 日发现了泄漏,但该数据库显然自 2021 年 11 月以来就已暴露。
“我们一发现泄漏就给 StoreHub 发送了电子邮件,”安全侦探说。 “1 月 18 日,我们向他们发送了一封后续电子邮件,并向 StoreHub 的首席技术官发送了一封电子邮件。到 1 月 27 日,我们没有收到任何回复,因此我们联系了马来西亚 CERT(马来西亚计算机应急反应小组) 和 Amazon Web Services(托管公司)。双方反应迅速。”
根据 StoreHub 向 The Register 发表的声明,该公司于 2 月 3 日收到通知,并“立即采取行动,在 24 小时内修补和纠正漏洞”。
StoreHub 表示“漏洞中不包含敏感的财务数据或密码。”
尽管没有信息被滥用的迹象,也没有证据表明恶意行为者窃取了数据,但客户在与任何未经请求的通信交互时应小心,尤其是在引用事件时。
暴露的个人数据使客户容易受到可能导致财务损失和设备受损的社会工程攻击和诈骗。
报告中写道:“不良行为者可以通过确认涉及交易价格和日期的购买信息——甚至是信用卡号码的最后四位数字来致电受害者并获得他们的信任。” “在获得信任后,不良行为者可以从受害者那里获得更多信息,从而让他们通过访问他们的银行或滥用信用卡信息来造成实际伤害。”
看到了吗?所以诈骗集团们有机会通过以上所暴露的数据和资料来忽悠和欺骗大众,比如说在电话开头就可以精确报出你的名字,住家地址,最后消费地点或金额,甚至是信用卡的最后四个号码等。千万别以为能够报出这些资料的一定是来自银行或其他机构!黑客和诈骗集团的手法越发高明,快转发告诉身边的友人,尤其是不熟悉网络世界的长辈们。记住了!
Last week, the research team at Safety Detectives revealed a major data leak stemming from an unsecured database belonging to Malaysian point-of-sale (POS) software provider StoreHub.
