增值税软件供应商公布数百万的数据

2022-06-10 13:46:03来源:

包含数百万英国居民个人数据的MongoDB数据库将在其所有者忽略其忽视以确保容纳它的亚马逊Web服务(AWS)服务器后,近一周内接触到公众互联网。

该公司有问题,一个未命名的软件供应商,拉动记录包括名称,电子邮件地址,运输地址,购买详细信息和亚马逊,eBay,PayPal,购物和购物界面(API)的删除信用卡号码。条纹帮助商家使用这些平台计算增值税。

它还包含Amazon Marketplace Web服务(MWS)查询,包括身份验证令牌,API查询,AWS访问密钥ID和密钥。

然而,根据Comparitech威胁研究员Bob DiaChenko,他于2月3日揭开了公开的服务器,所有者将在Web上可见的记录没有访问它所需的任何密码或身份验证。

因为迪坎科首先无法识别数据库的所有者,他联系了AWS,在继续自己之前推出了自己的调查。

“时间是本质的,因为数百万英国购物者个人,付款和装运信息有风险,所以我开始分析数据库的内容,并且经过几天我与最终所有者的联系,”DiaChenko说。

它需要DiaChenko五天才能识别拥有数据的公司,它响应了他的初始联系并在一小时内锁定了数据库。他说,这个时间框架会给任何坏行为者都有足够的时间找到和窃取数据,虽然不可能确定是否有任何人这样做过。

如果访问数据,则会向网络犯罪分子提供作为亚马逊或PayPal的喜欢,以对消费者进行有针对性的网络钓鱼活动来提取更多可操作的数据。这种尝试可能会令人信服,因为任何使用受损数据库的网络犯罪分子都会有客户的详细信息及其购买。

同时,MWS查询和登录信息表示DiaChenko,可用于查询MWS API以请求来自供应商销售数据库的特定记录。因此,建议供应商立即更改MWS密码和秘密密钥。

亚马逊发言人说:“我们意识到第三方开发人员(谁与许多亚马逊卖家合作),似乎已经举办了一个包含来自包括亚马逊在内的几家不同公司的信息的数据库。

“数据库在互联网上可用,这是一段很短的时间。一旦我们意识到,我们确保了第三方开发人员立即采取行动来删除数据库并保护数据。亚马逊系统的安全性并未以任何方式受到损害。“

eBay发言人说:“我们调查了一个关于来自第三方开发人员的信息的事件,并可以确认没有eBay系统受到损害,并且没有从eBay中取出数据。我们的客户隐私和数据仍然是最重要的。我们致力于为我们的网站和服务创造经验,这是安全,安全和值得信赖的。“

Comparitech表示,这一最新曝光的例子示例了如何容易且常见的个人和付款细节经常通过各种其他组织的手掌,以处理,组织和分析它。

在这种情况下,该软件公司建立了一个应用程序,该应用程序辅助商家使用各种市场,这些市场涉及从多个市场汇总的销售和退款数据,并计算欧盟的跨境销售增值税。

为此,需要正确地保护收到,存储,使用和转移 - 故障的数据,因此仍然可能导致终止其对平台API的访问。

COMPITECH表示,它选择不披露负责数据库的开发人员的名称,因为它是一个合法的小企业,而不是犯罪企业。

“我们的意图是提高对可能受影响的客户的意识和减轻危害,而不是惩罚错误。鉴于绝大多数客户可能并不知道他们的数据通过这个供应商的手,我们不相信越来越多地曝光它,“Compolitech说。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章