印度供应链巨头Bizongo 643G敏感数据泄露
2021-04-17 22:31:19 Author: www.freebuf.com(查看原文) 阅读量:87 收藏

当联系Bizongo关于数据泄漏的问题时,他们没有对研究人员做出回应。

在线包装市场Bizongo遭受了数据泄漏,该公司使高度敏感的客户信息不安全,并可能暴露给黑客和其他恶意个人。该事件背后的原因是该公司的AWS S3数据存储桶配置错误

截至2020年12月下旬,数据泄漏已由Website Planet安全研究人员发现,但现在也已共享了其详细信息。据研究人员称,他们立即就此事件与Bizongo联系,但未收到任何回应。

截至2020年12月下旬,我们的团队发现Bizongo拥有的配置错误的存储桶,使高度敏感的客户信息不安全,并可能暴露给黑客和其他有害个人。考虑到违规的规模,可能有上千家企业受到影响,还有数十万人。

Bizongo是一个在线包装市场,拥有覆盖多个行业的400多个客户的庞大网络,迄今为止已交付了8.6亿个包装。

通过Bizongo收到包裹或向公司下订单的任何人都有遭受数据泄露的风险

公司名称和位置:Bizongo,总部位于印度。
大小(以GB和记录量为单位):643GB,其中包含2,532,610个文件。
数据存储格式:AWS S3存储桶
受影响的国家:印度

泄露了哪些数据以及多少数据?

但是,在2021年1月8日,团队再次检查了AWS S3数据存储桶,发现漏洞已经关闭。在此期间,大约泄露了2,532,610个文件,相当于643GB的数据。 

值得注意的是,Bizongo向公众公开了其AWS S3数据存储桶,使任何人都可以访问数据宝库,而无需任何密码甚至是最简单的安全身份验证形式。

根据Website Planet的报告,暴露的存储区包括PII和Bizongo的Bizongo的付款数据。其中包括以下内容:

  • 全名
  • 电话号码
  • 帐单地址
  • 收货地址
  • 运送和跟踪编号
  • 帐单明细和客户的财务明细
  • PII数据:暴露了买家的姓名,送货地址,账单地址和电话号码。
  • 付款明细:包含客户购买明细和财务明细,以及运输跟踪号和买卖双方财务数据的账单。

Bizongo将客户数据放在不正确配置的错误使用的Amazon Web Services(AWS)S3存储桶中,该存储桶是一种广泛使用的云存储服务。在一段时间内,潜在有害的第三方可以访问买卖双方的姓名,地址,编号和财务详细信息。

结果,公开了2,532,610个文件,相当于643GB的数据。Bizongo的存储桶在发现时就处于活动状态,其中包含一些带有最新日期的文件。

根据我们的安全团队的说法,存储桶中存储了两种不同类型的文件。如下面的示例所示,客户票据和运输标签没有担保。

客户账单暴露在数据泄露中。一些泄漏的账单看起来有所不同,也许稍大一些。

运输标签也被暴露在外。

目前尚不知道此数据不安全的确切时间段。但是,我们可以告诉您,该漏洞是在2020年12月30日发现并报告的。尽管我们从未收到Bizongo关于此数据泄露的回复,但Website Planet安全团队于2021年1月8日再次检查了该数据段违反已关闭。

Bizongo与750多家制造商合作,为400多家客户提供包装。这意味着可能有超过一千家企业受到影响。

鉴于一个企业可以订购一个地址,而另一企业可以将包装发送到多个地址,或通过多个名称下订单,因此很难确切地知道有多少人受到影响。当然有成千上万的人处于危险之中,考虑到Bizongo的业务规模,其潜在危险可能会更多。

尽管印度尚未颁布具体的数据保护法规,但Bizongo仍应对任何不当披露个人数据负有责任。受影响的个人完全有权寻求法律诉讼和赔偿。

谁受到影响

Bizongo是一个企业对企业的品牌,这意味着此数据泄露行为将主要影响其他企业,而不是普通大众。

Bizongo的主要重点是为印度企业提供服务,没有证据表明它们的服务已超出印度的范围。尽管该公司刚刚将其网站域名更改为“ dotcom”,但这暗示着国际业务的潜力。

Bizongo的已知客户包括:Saso, Jodhpur, Delhivery, Box 8, Bunge, Neolite, snapdeal, Carnival Group, Jio, Cure.fit, swiggy and Flipkart。这些客户有可能受到违反的影响。

使用Bizongo平台的任何印度企业或包装供应商也有遭受此数据泄露的风险。有关各方应向Bizongo自己寻求有关其数据和此违规行为的进一步澄清。

谁的数据泄漏了?

Bizongo是一个B2B在线包装市场,可简化为印度各地企业提供的包装解决方案的采购和交付。Bizongo将客户与包装制造商的产品联系起来,从而缩短了谈判过程。他们是一家相对较新的公司,成立于2015年,目前雇用250-500名员工。

到目前为止,Bizongo已在全国范围内交付了8.6亿个包装,其包装解决方案为零售,物流,工程,化妆品,电子商务等许多行业提供了解决方案。Bizongo已经筹集了超过7900万美元的资金,投资者在2021年初承诺了900万美元(按紧缩基准)。

尽管AWS S3存储桶是Amazon产品,但Amazon对此数据泄露概不负责。暴露可能是Bizongo方面人为错误的结果,从而导致配置错误。

对用户的影响

我们无法确定不安全的数据是否已被不道德的黑客和诈骗者访问。但是,很可能已经发现泄漏的数据,在这种情况下,用户应注意许多风险。

  • 身份盗窃和欺诈–泄露的个人数据,例如姓名,地址和电话号码,可用于锁定受害者,并在其他多个平台上协助进行欺诈活动。
  • 诈骗–暴露的电话号码可用于以诈骗为目标。骗子会在这里尝试使用您的个人信息建立信任。他们可能会试图让受害者披露其银行帐户详细信息或其他敏感和个人信息。
  • 商业间谍活动–竞争对手可能会成为企业的目标,因为竞争对手会发现泄露的用户列表。
  • 盗窃–可用的个人信息和运输详细信息意味着大量产品可能被截获,并且容易被盗。

对Bizongo的影响

数据隐私法

如前所述,Bizongo被要求为其客户和合作伙伴的数据提供足够级别的安全性。尽管违反该“规则”尚无法律处罚(截至目前),但受影响的各方有权在其数据泄露时提起法律​​诉讼并获得赔偿。

营业亏损

这种数据泄露还可能损害Bizongo的声誉,导致业务损失是普遍的结果。

Bizongo未能正确保护客户及其关联品牌的数据,这使他们成为一个不可信任的组织。希望试用该平台的企业现在可以完全避免使用Bizongo。

如果Bizongo无法确保其客户和合作伙伴的安全,那么那些现有的客户和合作伙伴也可能希望在其他地方开展业务。

竞争间谍

这是利用间谍活动(间谍活动)来获得商业上或商业上优于商业竞争者的优势的行为。

数据泄露使Bizongo以及暴露其信息的所有供应商和客户面临这种威胁。黑客可能会冒充企业或客户的身份来访问机密信息(例如帐户),甚至是商业机密。

竞争对手将能够窃取信息,并能够获取价格点和客户详细信息,从而轻易削弱和破坏Bizongo的业务运营。

数据泄露的状态

漏洞是在2020年12月30日发现的,我们在同一天将漏洞告知了Bizongo。我们还于2021年1月2日向AWS披露了该违规行为。

Bizongo没有响应我们的努力。我们的安全小组于1月8日再次检查了aws的状态。幸运的是,发现该存储桶是安全的,并且漏洞已关闭。

有清晰的品牌运输标签和客户收据示例,找到违规数据库的所有者非常简单。所有公开的数据都被确定为准确的,这些数据属于真实个人。

保护您的数据

不幸的是,处于数据泄露错误的一端,并不是特别令人愉快。但是,您可以采取一些步骤来最大程度地减少欺诈,欺诈,网络钓鱼或间谍活动的风险。

首先,如果您担心数据会保存在不安全的数据库中,则可以请求删除数据。只需与有问题的公司联系,并要求他们将您从数据库中删除。他们将必须遵守隐私标准。

通过电话或电子邮件与未知方通话时,您还应该格外警惕。如果不可靠的一方要求您单击链接或下载文件,请拒绝这样做,直到您可以完全确定这是合法的互动,而不是欺诈。在必要时要求提供审计证明,甚至将来考虑考虑实施其他安全程序。

同样,您应该警惕未知方询问有关您的业务运营的过多问题。通过确保您自己的数据库是安全的,您可以防御来自黑客或竞争对手的其他攻击。

我们建议您聘请网络安全专业人员,以确保您的数据库免受有害个人的侵扰。

我们如何以及为何报告数据泄露

我们希望帮助读者在使用任何网站或在线产品时保持安全。

不幸的是,大多数数据泄露从未被负责的公司发现或报告过。因此,我们决定进行这项工作,并找到使人们处于危险之中的漏洞。

我们遵循道德黑客的原则,并遵守法律。我们仅调查随机发现的开放的,不受保护的数据库,并且我们从未针对特定的公司。

通过报告这些泄漏,我们希望使互联网成为每个人都更安全的地方。


文章来源: https://www.freebuf.com/news/269913.html
如有侵权请联系:admin#unsafe.sh