Descargar Informe: El software Fieldwork filtra datos confidenciales de los clientes APK Android

El equipo de investigación de vpnMentor encontró una fuga en la base de datos del software Fieldwork.

Noam Rotem y Ran Locar, los jefes de nuestro equipo de investigación de ciberseguridad, encontraron un Fuga en la base de datos perteneciente al trabajo de campo.. Fieldwork ofrece software para pequeñas empresas para gestionar sus operaciones de manera eficiente.

Hemos encontrado una gran cantidad de datos expuestos en la violación. Esto incluía Nombres de clientes, direcciones, números de teléfono, direcciones de correo electrónico, códigos de alarma, firmas, información del cliente, detalles de la tarjeta de crédito, fotosy otros comentarios detallados. Más significativamente, encontramos enlaces de inicio de sesión automático que dan acceso al portal de servicios de trabajo de campo de un usuario. Las implicaciones de esta brecha son: extenso.

Contactamos con Fieldwork cuando descubrimos la fuga. Ellos eran profesional y eficiente después de recibir nuestro correo electrónico. El trabajo de campo cerró la fuga 20 minutos después de hablarles.

Ejemplos de entradas en la base de datos

Fieldwork es una plataforma de gestión empresarial comercializada para el control de plagas, el cuidado del césped, la limpieza de piscinas y otras industrias de servicios domésticos. Propiedad de Anstar, que produce productos para el control de plagas, el software ayuda a rastrear a los empleados que hacen llamadas a domicilio. El portal del cliente también incluye plantillas de facturas, interfaces de programación y seguimiento de productos.

La información filtrada en la base de datos incluía:

  • Enlaces de inicio de sesión automático
  • Direcciones de correo electrónico de los usuarios
  • Direcciones de correo electrónico de sus clientes
  • Nombres completos
  • Teléfonos de clientes.
  • Direcciones
  • Ubicaciones de GPS
  • Direcciones IP
  • Correos electrónicos y textos enviados a usuarios o clientes.
  • Detalles de facturación
  • Detalles completos de la tarjeta de crédito
  • Contraseñas filtradas
  • Firmas
  • Fotos de sitios de trabajo.
  • Comentarios o instrucciones

La pieza de información más impactante que descubrimos en la base de datos fue un enlace de inicio de sesión automático que le dio a cualquiera acceso directo al sistema backend de una compañía. Los registros en el backend incluían información detallada y sensible del cliente, así como una gran cantidad de infraestructura administrativa de la empresa.

Mucha de la información también estaba presente en la base de datos; Sin embargo, solo vimos registros de los últimos 30 días. Según la configuración de datos, la base de datos parecía almacenar los registros durante no más de 30 días antes de enviarlos a otro sistema para su procesamiento o análisis.

Es posible, en base a la otra información que teníamos en la base de datos, que se podría haber obtenido acceso al backend. Aun así, habría sido un proyecto más complejo.

Este es un registro para una plantilla de correo electrónico sobre el inicio de sesión en el portal Fieldwork. Esta pieza de datos incluye Direcciones de correo electrónico que no están disponibles públicamente para que los clientes vean. A pesar de que la contraseña no se proporciona aquí, dejó abierta la posibilidad de encontrar información relevante en otras partes de la base de datos.

Encontramos una gran cantidad de comunicación detallada en los registros de datos. Parece que este correo electrónico fue enviado desde una compañía de control de plagas que utiliza el software Fieldwork a un cliente de la compañía. los cliente reveló los últimos cuatro dígitos de su cuenta de tarjeta de crédito.

Es un proceso de verificación estándar que podría tener un impacto negativo basado en la especificidad de otros datos en la fuga. Un mal actor podría haber usado esto a su favor.

Este registro muestra que también hay fotos accesibles en los datos. También expuso un usuario Dirección IP.

Esta foto fue enlazada en un abierto Amazon cangilón Eso lo descubrimos en los datos.

Este registro de comunicación no solo indica a qué hora es la cita, sino que también incluye Instrucciones específicas para entrar al edificio.. Esto incluye múltiples Códigos de alarma, códigos de bloqueo y contraseñas. que fueron divulgados por el cliente. Encontramos otros registros que incluían comentarios sobre dónde los clientes escondían sus claves.

Muchas de las compañías que usan Fieldwork tienen direcciones públicas, pero esta información también proporciona información sobre sus clientes que las empresas no revelarían al público. También proporciona el número de licencia de la empresa.

Este registro oculta la contraseña, pero nos da una clara correos electrónicos asociado a una cuenta. Basándose en la información de otros registros, es posible que un mal actor aún pueda acceder a las credenciales faltantes.

Incluso sin ninguna identificación del cliente, el número de tarjeta de crédito completo, con un fecha de caducidad y un número CVV era visible

Impacto de la violación de datos

Había una extensa cantidad de información incluida en los datos, incluso si solo estuvieran disponibles 30 días de registros. Aunque Fieldwork filtraba las contraseñas en algunos lugares, algunas de las plantillas que vimos dieron Información detallada sobre cómo encontrar las credenciales de la cuenta. También tuvimos acceso gratuito a un enlace de inicio de sesión automático Eso fue incluido en la base de datos. Esto permitió el acceso al portal del cliente.

El acceso al portal es un pieza de información particularmente peligrosa. Un mal actor puede aprovechar ese acceso, no solo utilizando los registros administrativos y de clientes detallados almacenados allí. Ellos tambien podrian bloquear la empresa fuera de la cuenta haciendo cambios de backend. Incluso si hubo pasos de autenticación para cambiar la información de inicio de sesión, es posible que parte de esta información esté presente en la base de datos abierta.

Además, si los enlaces de inicio de sesión fueran fáciles de organizar, alguien con intenciones maliciosas podría guardarlos fácilmente. En ese caso, no importaría si la base de datos estuviera cerrada. Ellos aun tendrian Acceso directo a un gran número de cuentas. Guardar las otras credenciales de la cuenta en la base de datos siempre era una posibilidad, pero sería una tarea más ardua y desafiante. El acceso al portal de fondo significa que alguien podría abrir los registros de una empresa en cualquier momento, incluso después de que Fieldwork arreglara la brecha.

Hay una cantidad significativa de datos de localización ha iniciado sesión en la base de datos, que, combinada con el acceso al portal, tiene graves consecuencias. Esto abre la posibilidad de robo en persona o ataques. No solo tenemos direcciones comerciales y coordenadas GPS, sino que también tenemos Descripciones detalladas de cómo entrar en un edificio u oficina. Debido a que los clientes divulgaron abiertamente los códigos de alarma o cómo acceder a sus claves, podría haber consecuencias del seguro también. Las compañías de seguros podrían anular una política Si la negligencia del asegurado causó un robo.

Las fotos que se pudieron ver en el Amazon foto cubo podría haber servido como una confirmación más de una ubicación. También pueden tener reveló que un cliente tenía un inventario valioso. Con la información de ubicación, un ladrón podría Romper sin ser detectado y despegar con el stock del cliente.

Si alguno de estos ataques hubiera ocurrido en base a la violación de los datos, sería profundamente Impactar a las empresas que confían en Fieldwork.Para construir sus negocios. Para empezar, una brecha podría socavar su La confianza de los clientes. Esto podría llevar a que los clientes empleen a una empresa competidora que no usó software con fugas para protegerse mejor.

Con sin filtrar Información de tarjeta de crédito registrado en la base de datos y en el portal, es demasiado fácil para un jugador malintencionado subir cargos fraudulentos en estas tarjetas de credito Las compañías de tarjetas de crédito requieren que los datos confidenciales de las tarjetas estén fuertemente encriptados, mientras que un número CVV no debe almacenarse después de la autenticación según las normas de PCI. Tuvimos acceso a todas las credenciales necesarias para realizar una compra o incluso copiar una tarjeta. En los datos que encontramos, no estaba claro si estos números de tarjeta pertenecían a las compañías que usaban Fieldwork o a sus clientes. Sin embargo, el acceso al portal hace que sea fácil de determinar.

Fuera del acceso directo al portal, las credenciales que teníamos también podrían tener un impacto fuera de la cuenta de Fieldwork. Las credenciales de una cuenta a menudo se pueden usar para acceder a otra cuenta. Cuando tenemos nombres y direcciones completos, podemos crear una imagen de un usuario. Un mal actor puede tomar esta información para recopilar más datos. Luego podrían usar esta información para robar la identidad de una persona. Algunos incluso podrían abrir nuevas cuentas a nombre de un usuario.

Un peligro de exponer direcciones de correo electrónico involucra jugadores maliciosos usándolos para ataques de phishing. Si la lista de clientes de una empresa se puede ver junto con la dirección de correo electrónico de la empresa, es aún más fácil engañar a los clientes para que abran un correo electrónico que incluya malware. Esto puede dar acceso directo a los hackers a un sistema que no tenía conexiones a esta base de datos abierta. Las empresas tienen la obligación moral de mantener seguros los datos de sus clientes. En este caso, cualquier empresa que utilice Fieldwork no confirmó esto.

Cuando los hackers pueden infiltrarse en un sistema, tienen muchas opciones abiertas para ellos. Cerrar las operaciones le costará a la compañía cantidades significativas de dinero. Un hacker también podría vender datos robados a una empresa competidora. Fieldwork comercializa sus productos a pequeñas empresas, que tienen menos recursos financieros disponibles si se cierran por un hackeo.

Por último, descubrimos firmas en los datos. Por copiando la forma de una firma, un mal actor tiene otra herramienta para cometer robo de identidad a través de la falsificación. La mayoría de las firmas digitales enlazan a una dirección IP. Sin embargo, si tenemos todas las credenciales de un usuario, incluido el número de tarjeta de crédito, la dirección IP y la firma, La tarea de la falsificación se simplifica..

Consejos de los expertos

Existen unos simples pasos El trabajo de campo podría haberse tomado para proteger su base de datos desde el principio. Aquí hay algunos Consejos expertos para prevenir o parchar una brecha. en una base de datos.

  1. Asegure sus servidores.
  2. Implementar reglas de acceso adecuadas.
  3. Nunca deje un sistema que no requiera autenticación abierta a Internet.

Para obtener una guía más detallada sobre cómo proteger su negocio, consulte cómo proteger su sitio web y la base de datos en línea de los piratas informáticos.

Cómo descubrimos la brecha

Nuestro equipo de investigación descubrió esta fuga de datos en nuestra extensa proyecto de mapeo web. Encabezados por Ran y Noam, escanean puertos para bloques de IP conocidos. A partir de ahí, el equipo puede buscar. aperturas en el sistema. Después de encontrar una fuga, utilizan su considerable conocimiento de ciberseguridad para Confirmar la identidad de la base de datos..

Cada vez que descubrimos una brecha, contactar al propietario de la base de datos para alertarlos de los datos de fugas. Si es posible, también informaremos a otros afectados por las aberturas en el sistema. Nuestro objetivo con este proyecto es crear un más seguro y más seguro Internet para usuarios de todo el mundo.

Sobre nosotros y reportes anteriores

vpnMentor es el sitio web de revisión de VPN más grande del mundo. Nuestro laboratorio de investigación es un servicio gratuito que se esfuerza porAyuda a la comunidad online a defenderse.contra las amenazas cibernéticas mientras educa a las organizaciones sobre la protección de los datos de sus usuarios.

Recientemente descubrimos una violación de datos masivos que afectó a 78 mil pacientes que tomaban Vascepa. También revelamos que xSocialMedia sufrió una violación generalizada de datos.También es posible que desee leer nuestro Informe de fugas de VPN y el Informe de estadísticas de privacidad.

Por favorcomparte este informe en Facebookotuitealo.