تسرّب سلسلة البيع بالتجزئة 800 ألف مـن السجلات بما فـ ي ذلك بيانات العملاء والائتمان
مرحبا بك أنت هنا فـ ي موقع استضافة مغربية تشاهد مفالة

الباحث الأمـني ​​جيرميا فاولر مع موقع الويب اكتشف فريق البحث مؤخرًا قاعدة بيانات غير محمية بكلمة مرور تحتوي عــل ى أسماء ومعلومات شخصية لمئات الآلاف مـن الأرجنتينيين. تم عرض ما يقرب مـن مليون سجل علنًا لأي شخص لديه اتصال بالإنترنت. مجلد باسم “Cliente” (والذي يرمز إلى “Client” “أو” العميل “باللغة الإسبانية) تحتوي عــل ى 605 ألف سجل وآخر باسم” cuenta credito “(والتي تعني” حساب ائتمان “باللغة الإسبانية) بها 280 ألف سجل. يعد هذا أحد أكبر تسريبات البيانات لمعلومات العملاء مثل الأسماء والمعرف الأرقام فـ ي نص عادي غير مشفر رأيناه مـنذ وقت طويل جدًا.

بعد إجراء مزيد مـن البحث ، تبين أن السجلات تنتمي إلى هندل هوغار (hendel.com) ، وهي سلسلة كبيرة مـن المتاجر التي تبيع المـنتجات المـنزلية ، وتقع فـ ي جميع أنحاء مقاطعة بوينس آيرس ، الأرجنتين. وفقًا لموقعها عــل ى الويب ، تمتلك الشركة 31 فرعًا وتبيع الأجهزة وأجهزة الكمبيوتر والأدوات المـنزلية والأدوات والألعاب والسباحة حمامات السباحة والتخييم والأغطية وغير ذلك الكثير. أرسلنا عــل ى الفور إشعارًا مسؤولاً بالإفصاح إلى الشركة وتم إغلاق الوصول العام فـ ي نفس اليوم. ومـن غير الواضح متى تم الكشف عن قاعدة البيانات أو مـن تمكن مـن الوصول إليها.

وفقًا لصفحتهم عــل ى Facebook“عــل ى مدى أكثر مـن 50 عامًا ، وثق عملاؤنا بنا للوصول إلى المـنتجات التي يحتاجون إليها ، ونعمل عــل ى تسهيل ذلك مـن خلال مـنح الائتمان الشخصي الخاص بهم مـن خلال بطاقة Hendel Card”.

ماذا تحتوي قاعدة البيانات:

  • إجمالي السجلات المكشوفة: 918،395 (التي بدت فريدة مـن نوعها)
  • تتضمـن سجلات Hendel الداخلية أسماء العملاء وأرقام الهوية الوطنية (DNI) والبيانات المالية.
  • 605،725 سجلًا تم وضع علامة عليها “Cliente” تحتوي عــل ى ما يبدو أنه بيانات شخصية للعملاء مثل الأسماء الكاملة وأرقام الهوية الوطنية.
  • تم تمييز 283000+ سجل كحسابات ائتمان.
  • إذا عثر المتسللون ذوو النوايا السيئة عــل ى الخادم ، فقد يتم استهداف العملاء المكشوفـ ين لخداع الهندسة الاجتماعية أو سرقة الهوية.
  • تُظهر الملفات أيضًا مكان تخزين البيانات وكيف تعمل شبكة التسجيل مـن النهاية الخلفـ ية.
  • كانت قاعدة البيانات معرضة لخطر هجوم فدية أو سرقتها مـن قبل مجرمي الإنترنت.

hendel1
نظرة عامة عــل ى مجلدات التخزين التي تحتوي عــل ى بيانات العميل والائتمان.


hendel2


hendel3

وفقًا لـ Wikipedia: DNI أو “Documento Nacional de Identidad” (والتي تعني وثيقة الهوية الوطنية) هي وثيقة الهوية الرئيسية للمواطنين الأرجنتينيين ، بالإضافة إلى الأجانب المقيمين المؤقتين أو الدائمين (DNI Extranjero). مطلوب DNI للتصويت والمدفوعات ، نقوش الخدمة العسكرية وغيرها مـن الإجراءات الشكلية. يمكن أيضًا الرجوع إلى DNI بالنسبة للانتهاكات المرورية وغيرها مـن الانتهاكات المدنية باستخدام موقع ويب حكومي. فـ ي هذا السياق ، مـن المحتمل أن يتم استخدام DNI لتحديد العملاء الأفراد والائتمان الذي سيتم تمديده لهم بواسطة Hendel. تحتوي السجلات التي رأيناها فقط عــل ى عدد وليس عمليات مسح كاملة أو صور للمستند أو الفرد.

يبدو أن معرّف ائتمان الحساب هو رقم تتبع داخلي لعملاء الائتمان. ستكون هذه طريقة أكثر أمانًا لتتبع المستخدمين بشأن المدفوعات والإيصالات باستخدام الرقم الداخلي وليس DNI. ستكون معلومات التعريف الشخصية الأكثر حساسية فـ ي حساب العميل . كانت هذه الأرقام بترتيب زمـني مـن 000001 – 283000 وتم تمييزها عــل ى أنها حسابات ممكّنة أو نشطة. كانت هناك أرقام أخرى فـ ي الحسابات لست متأكدًا مـنها ، لذلك لا يمكننا تأكيد أو نفـ ي ما إذا كانت أرقام بطاقات الائتمان مكشوفة. باحث أمـني مقيم فـ ي أوروبا ، لا أعرف الكثير عن نظام الضرائب أو الائتمان الأرجنتيني ، لكنني أعتقد أن جميع الأشخاص يستحقون أمان البيانات عندما يتعلق الأمر بمعلوماتهم الشخصية.


هندل 4

يقدم Hendel بطاقة الائتمان الخاصة به أو خيار الدفع ، حيث يحتوي مجلد واحد عــل ى 283 ألف سجل يبدو أنه يحتوي عــل ى معلومات ائتمان العميل التي تم تخزينها فـ ي قاعدة البيانات المكشوفة.

مخاطر الكشف عن بيانات ائتمان العميل

أكثر أشكال الاحتيال شيوعًا التي تواجه أي مستهلكين سُرقت معلوماتهم الشخصية هو المجرمين الذين يقترضون نيابةً عنهم ، ويتقدمون بطلبات للحصول عــل ى مستندات مزيفة لارتكاب مجموعة واسعة مـن عمليات سرقة الهوية. وبمجرد أن يقوم المجرم بتزوير المستندات ، يمكنهم الحصول عــل ى ائتمان وقروض ، وتراكم الديون باسم الضحية.الأرجنتين ليست محصنة ضد الجرائم الإلكترونية وقد عانت البلاد مـن عدة حوادث واسعة النطاق فـ ي السنوات القليلة الماضية.فـ ي عام 2020 ، تم اختراق شركة الهاتف الرئيسية فـ ي الأرجنتين ، Telecom ، وتم تشفـ ير بياناتها باستخدام برامج الفدية. طلب المتسللون فدية قدرها 7.5 مليون دولار.بعد عدة أشهر ، تعرضت وكالة الهجرة الأرجنتينية “Dirección Nacional de Migraciones” لهجوم فدية أدى إلى إغلاق حدود البلاد مؤقتًا.

يمكن استخدام هذه البيانات المكشوفة مثل الاسم ورقم DNI مـن قبل المجرمين عبر الإنترنت أو فـ ي وضع عدم الاتصال لارتكاب عمليات احتيال ضد هؤلاء العملاء. ويمكن التعرف عــل ى الأفراد باستخدام عمليات البحث فـ ي السجلات مفتوحة المصدر التي توضح مكان عملهم والمعلومات الأخرى التي يمكن استخدامها عند ارتكاب سرقة الهوية لتقديم ملف شخصي كامل عن الضحية. نحن لا نشير إلى أن أيًا مـن هؤلاء الأفراد كان فـ ي خطر وأن Hendel تصرف سريعًا ومهنيًا لتأمين البيانات بمجرد إبلاغنا بالنتائج التي توصلنا إليها. ومـن غير الواضح مـن قد تمكن مـن الوصول إلى هذه المعلومات أو إلى متى ربما تعرضت.


hendel5

مثال عــل ى كيفـ ية التعرف عــل ى الأفراد مـن خلال الأرقام المعروضة فـ ي قاعدة البيانات باستخدام أدوات البحث مفتوحة المصدر. CUIT هو “رمز تعريف العمل الفريد” و CUIL هو “تعريف ضريبي واحد”. يمكن أن تعرض هذه المعلومات مزيدًا مـن التفاصيل حول العملاء وتكشف لهم لمخاطر إضافـ ية.

ليس مـن الواضح ما إذا كانت Hendel قد أخطرت السلطات أو العملاء بحادث البيانات كما هو مطلوب بموجب قانون حماية البيانات الشخصية فـ ي الأرجنتين. وفقًا لسياسة خصوصية Hendel بصفتها مسؤولة عن قواعد بيانات العملاء والموارد البشرية والموردين والمقدمين ،هندل قام بتسجيل قواعد البيانات المعنية لدى المديرية الوطنية لحماية البيانات الشخصية ، وحتى تاريخ التجديد كما هو مطلوب بموجب اللوائح المعمول بها. بالاتفاق مع الدستور الوطني الأرجنتيني ، قانون حماية البيانات الشخصية 25.326 (PDPA) (Ley de Protección de los Datos Personales) تم تنفـ يذه فـ ي عام 2000 للمساعدة فـ ي حماية خصوصية البيانات الشخصية ، ولمـنح الأفراد إمكانية الوصول إلى أي معلومات مخزنة فـ ي قواعد البيانات والسجلات العامة والخاصة.

نحن لا نشير إلى أن عملاء Hendel أو المتقدمين للائتمان كانوا فـ ي خطر عــل ى الإطلاق ونقوم فقط بتسليط الضوء عــل ى حقائق اكتشافنا لزيادة الوعي بحماية البيانات.نحن ننصح أي شركة تتعرض لخرق للبيانات لإجراء تدقيق جنائي وإخطار العملاء أو الأفراد المتضررين لمراقبة أي تغييرات تطرأ عــل ى حساباتهم الائتمانية. نعتقد أن الأفراد يستحقون خصوصية البيانات وأمانها بغض النظر عن البلد الذي يعيشون فـ يه أو اللغة التي يتحدثون بها. فـ ي وقت النشر ، لم نتلق ردًا عــل ى إشعار الكشف المسؤول.