كشفت مـنصة الولاء الكورية عن حوالي مليون بيانات شخصية للعملاء
مرحبا بك أنت هنا فـ ي موقع استضافة مغربية تشاهد مفالة

داخل هذا المقال

كشفت حزمة Amazon المفتوحة فـ ي Dodo Point عن معلومات تحديد الهوية الشخصية لمليون عميل عــل ى الأقل وآلاف مـن البيانات الحساسة لمـنافذ البيع بالتجزئة.

اسم الشركة والموقع Dodo Point ، التي تديرها Yanolja Cloud ، ومقرها سيول ، كوريا الجنوبية
الحجم (بالجيجابايت وكمية الملفات) أكثر مـن 38 جيجا بايت مـن البيانات ، حوالي 73000 ملف
تنسيق تخزين البيانات حاوية Amazon AWS S3
البلدان المتضررة كوريا الجنوبية

تم الكشف عن مجموعة مـن معلومات تحديد الهوية الشخصية للعملاء ومعلومات حساسة عن الشركة فـ ي حادثة أثرت عــل ى Dodo Point ، وهو حل “مـنصة ولاء” كوري جنوبي لمـنافذ البيع بالتجزئة مثل المقاهي والمطاعم وصالونات التجميل والمزيد.

تُركت حاوية أمازون الخاصة بالشركة غير آمـنة ، دون أي تشفـ ير أو ضوابط حماية بكلمة مرور ، ونتيجة لذلك ، كشفت الحاوية أكثر مـن 38 جيجا بايت مـن البيانات بإجمالي حوالي 73000 ملف.

موقع الكوكب وجد الباحثون أن عدد سجلات العملاء فـ ي كل ملف Excel يتناسب مع حجم الملف. وبعبارة أخرى ، علمـنا أن “X ميغابايت مـن البيانات” يمكن أن تعرض “X كمية مـن سجلات العملاء” فـ ي ملفات العينات لدينا. مـن خلال تطبيق هذا الحساب لجميع 38 غيغابايت مـن البيانات ، يمكننا تقدير أن الحاوية تحتوي عــل ى حوالي 8 ملايين سجل عميل. وبالنظر إلى نسبة الإدخالات المكررة فـ ي الملفات التي حللناها لأبحاثنا ، نعتقد أن ما لا يقل عن مليون عميل فريد وأكثر مـن 5000 متجر تتأثر عبر الدلو بأكمله.

المتاجر المتضررة هي عملاء Dodo Point وكان العملاء المتأثرون يتسوقون فـ ي مواقع البيع بالتجزئة باستخدام حل Dodo Point.

توفر Dodo Point لكل متجر عميل تطبيقًا عــل ى جهاز نقطة البيع. يمكن للعملاء استخدام الجهاز للتسجيل فـ ي برنامج الولاء الخاص بالمتجر – وهي مبادرة مصممة لمكافأة المتسوقين عــل ى مشترياتهم المستمرة. يقوم حل Dodo Point بتحديث البيع بالتجزئة العملاء حول المزايا والعروض المكتسبة عبر الرسائل النصية.

وفقًا لموقع الشركة عــل ى الإنترنت ، تستخدم العلامات التجارية الضخمة متعددة الجنسيات ، بما فـ ي ذلك Nike و JW Marriot ، Dodo Point ، المملوكة لشركة Yanolja Cloud ومقرها سيول.


طائر الدودو 1

تجمع برامج ولاء العملاء ثروة مـن المعلومات حول المتسوقين وعاداتهم الشرائية ، كما يتضح مـن مجموعة Dodo Point. يجب عــل ى العملاء مراعاة هذه المجموعة الشاملة مـن البيانات ومخاطر الخصوصية المرتبطة بها قبل الانضمام إلى برنامج الولاء.


طائر الدودو 2
تحتوي حاوية دودو بوينت عــل ى البيانات الشخصية للمستهلكين

موقع الكوكب اكتشف الباحثون هذا المخزن مـن المعلومات ، الذي ترك فـ ي شكل مفتوح ، كجزء مـن مشروعنا الشامل لرسم خرائط الويب. نستخدم ماسحات ضوئية عــل ى الويب لتحديد مخازن البيانات غير الآمـنة عــل ى الإنترنت. نقوم بتحليل حوادث البيانات هذه وتأمينها والإبلاغ عنها بشكل مسؤول لزيادة الوعي حول مخاطر الجرائم الإلكترونية ومساعدة الشركات والمستخدمين المتضررين.

حالة التعرض للبيانات

وجدنا دلو دودو بوينت المفتوح فـ ي 28 مارس 2022.

  • 28 مارس 2022: اتصلنا بشركة Spoqa – الشركة التي كانت تمتلك Dodo Point قبل Yanolja Cloud – فـ ي محاولة للكشف عن الحادث بمسؤولية ، لكننا لم نتلق ردًا.
  • 5 أبريل 2022: لقد تواصلنا مع جهات اتصال جديدة فـ ي Spoqa (لا يوجد رد).
  • 15 أبريل 2022: بعد الاتصال الأولي ، كشفنا بشكل مسؤول عن الحادث لفريق CERT الكوري لكننا لم نتلق أي اتصالات أخرى.
  • 15 أبريل 2022: لقد كشفنا بمسؤولية عن حادثة Dodo Point لـ AWS (لم يتم الرد).
  • 26 أبريل و 4 مايو 2022: اتصلنا بجهات اتصال جديدة فـ ي Spoqa (Dodo Point).
  • 8 مايو 2022: لقد تواصلنا مع Yanolja (مالك Dodo Point الجديد).
  • 9 مايو 2022: لقد كشفنا بمسؤولية عن الخرق لـ Yanolja (Dodo Point) واستجابت الشركة عــل ى الفور لاتصالاتنا.
  • 11 مايو 2022: تم تأمين دلو دودو بوينت.

استحوذت Yanolja Cloud عــل ى DodoPoint بينما كنا نحاول الكشف عن الخرق لـ Spoqa. تصرفت Yanolja بسرعة ومهنية لإغلاق الاختراق بمجرد اتصالنا بهم بشأن الدلو المفتوح.

بيانات العملاء والشركة مكشوفة

احتوت دلو دودو بوينت عــل ى ثلاث مجموعات بيانات: ملفات مع جداول المعلومات الشخصية للعملاءو التقارير الشهرية لعملاء دودو بوينت، و تفاصيل الدفع لعملاء Dodo Point.

كشفت مجموعات البيانات هذه عن ملف شخصي و بيانات حساسة مـن متاجر البيع بالتجزئة التي تستخدم خدمات Dodo Point (العملاء) وعملاء التجزئة الذين انضموا إلى برامج الولاء عبر Dodo Point.

البيانات المكشوفة متضمـنة:

  • البيانات الشخصية للعملاء: الأسماء وتواريخ الميلاد (لمعظم العملاء) والجنس وأرقام الهواتف وعناوين البريد الإلكتروني (لبعض العملاء) والمتجر الذي تمت زيارته وتاريخ الانضمام إلى الخدمة ونقاط المكافآت المكتسبة.
  • بيانات العمل الحساسة: دخل المتجر اليومي ، وكمية العملاء الجدد ، ومتوسط ​​الربح لكل عميل ، وتقسيم العملاء (حسب الجنس والعمر) ، ومقارنات الأداء بالأشهر السابقة.
  • تفاصيل دفع العميل: تفاصيل التحويل المصرفـ ي والخصم المباشر.

الملفات الموجودة عــل ى دلو Dodo Point مؤرخة مـن 6 أبريل 2012 إلى مايو 2022كان الدلو مباشرًا وكان يتم تحديثه بانتظام وقت اكتشافه.

أمازون ليست مسؤولة عن الخطأ فـ ي تهيئة دلو دودو بوينت.

تم الكشف عن ما يقدر بنحو 8 ملايين مـن سجلات العملاء الإجمالية فـ ي ملفات .xls مختلفة عــل ى الحاوية. ويستند الرقم التقديري لدينا إلى عينة صغيرة مـن الملفات ، وعــل ى هذا النحو ، يمكن أن يكون العدد الحقيقي للسجلات أعــل ى.

أكثر مـن 10000 تقرير عميل – عــل ى ما يبدو جزء مـن خدمة Dodo Point’s “Dodo Insights – وأقل مـن 1000 ملف تفاصيل الدفع كشفت عن معلومات تجارية حساسة تخص عملاء Dodo Point.

يمكنك الاطلاع عــل ى أمثلة لبيانات الحاوية أدناه.


طائر الدودو 3
أسماء العملاء وأرقام هواتفهم ورسائل البريد الإلكتروني فـ ي ملف واحد

طائر الدودو 4
تقرير رؤى العملاء الشهري لعميل Dodo Point

طائر الدودو 5
حوالة بنكية مرسلة مـن عميل الى دودو بوينت

التأثير عــل ى العملاء وعملاء Dodo Point

لا نعرف ولا يمكننا معرفة ما إذا كان الفاعلون الخبثاء قد تمكنوا مـن الوصول إلى الحاوية المفتوحة لـ Dodo Point. ومع ذلك ، قد يواجه العملاء والشركات المكشوفة العديد مـن المخاطر الأمـنية إذا حصل الفاعلون السيئون عــل ى البيانات.

  • انتهاك الخصوصية: يمكن التعرف عــل ى العملاء ولديهم معلومات خاصة مثل “تمت زيارة المتجر” و “تاريخ الانضمام”. وهذا يمثل انتهاكًا للخصوصية قد يؤثر عــل ى حياة العملاء الشخصية. عــل ى سبيل المثال ، قد يواجه العميل عواقب إذا اكتشف صاحب العمل أنه زار متجرًا أثناء ساعات العمل ، علاوة عــل ى ذلك ، مـن خلال ربط أرقام الهواتف بالأشخاص ، يمكن لأي شخص استخدام البيانات لزيادة الحملات الرقمية بناءً عــل ى المعلومات المكشوفة حول اهتمامات المستخدمين (مثل الأزياء والإلكترونيات وما إلى ذلك).
  • التصيد والخداع: يمكن للمهاجمين إرسال رسائل التصيد الاحتيالي والخداع للعملاء عبر الهاتف أو البريد الإلكتروني ، والإشارة إلى المعلومات الشخصية وعادات التسوق لخداع الضحايا لتقديم أموال أو معلومات حساسة أو تنزيل برامج ضارة.
  • التجسس الصناعي: لدى عملاء Dodo Point تقارير مفصلة تحتوي عــل ى الإيرادات وبيانات حركة العملاء المكشوفة ، ناهيك عن تفاصيل الدفع الخاصة بهم.يمكن للشركات المـنافسة استخدام هذه المعلومات لاكتساب نظرة ثاقبة للأعمال المكشوفة وتحقيق ميزة تنافسية.

يمكن أن تخضع Yanolja Cloud (الشركة التي تمتلك Dodo Point) لتدقيق لجنة حماية المعلومات الشخصية فـ ي كوريا الجنوبية (PIPC). وفقًا لقانون حماية المعلومات الشخصية (PIPA) ، فإن أي وحدة تحكم فـ ي البيانات تفشل فـ ي تأمين البيانات بشكل صحيح قد تواجه غرامات إلى 20 مليون وون (حوالي 16500 دولار أمريكي) أو السجن لمدة لا تزيد عن سنتين.

حماية بياناتك

يجب عــل ى العملاء الذين قاموا بالتسجيل فـ ي Dodo Point تجاهل أي رسائل مـن مصادر غير معروفة أو مشبوهة. يجب عــل ى العملاء الامتناع عن النقر فوق الروابط فـ ي رسائل البريد الإلكتروني أو الرسائل النصية القصيرة ما لم يكونوا متأكدين بنسبة 100٪ مـن أن المصدر شرعي.يجب عــل ى الشركات والأفراد عــل ى حد سواء تثقيف أنفسهم و موظفـ يهم حول عمليات الاحتيال وهجمات التصيد والبرامج الضارة.

حول Yanolja Cloud & Dodo Point

يقع المقر الرئيسي لـ Yanolja Cloud فـ ي سيول ، كوريا الجنوبية ، وقد تم تأسيسها فـ ي 2005. استحوذت Yanolja عــل ى Dodo Point مـن Spoqa فـ ي أواخر يناير 2022.

Dodo Point هو أحد حلول نادي العملاء الذي يوفر الراحة للمتسوقين ويوفر للشركات العديد مـن المزايا الإضافـ ية.

تقوم Dodo Point بتحديث العملاء حول مكافآتهم عبر رسالة نصية ، مما يعني أنه ليس عليهم حمل بطاقة ولاء أو تنزيل تطبيق.

يمكن للشركات التي تشتري Dodo Point الاستفادة مـن ميزات تحليل العملاء (“Dodo Insight”) ، وأدوات أتمتة التسويق (“Dodo Message”) ، ووظيفة الإعلانات المستهدفة (“Dodo Ads”).

نعلم أن الحاوية تنتمي إلى Dodo Point لأن الصور الموجودة عــل ى الحاوية تظهر أيضًا عــل ى موقع Dodo الإلكتروني ، بينما تتطابق الخدمات المدرجة عــل ى موقع الشركة عــل ى الويب مع محتوى الحاوية.


طائر الدودو 6
مثال عــل ى تحليل العملاء مـن موقع Dodo الإلكتروني

كيف ولماذا نقوم بالإبلاغ عن خروقات البيانات

نريد مساعدة قرائنا فـ ي البقاء بأمان عند استخدام أي موقع ويب أو مـنتج عبر الإنترنت.

لسوء الحظ ، لم يتم اكتشاف أو الإبلاغ عن معظم خروقات البيانات مـن قبل الشركات المسؤولة ، لذلك قررنا القيام بالعمل والعثور عــل ى نقاط الضعف التي تعرض الأشخاص للخطر.

نحن نتبع مبادئ القرصنة الأخلاقية ونلتزم بالقانون ، ونبحث فقط فـ ي قواعد البيانات المفتوحة وغير المحمية التي نجدها بشكل عشوائي ، ولا نستهدف أبدًا شركات معينة.

مـن خلال الإبلاغ عن هذه التسريبات ، نأمل أن نجعل الإنترنت أكثر أمانًا للجميع.

ما هو موقع Website Planet؟

موقع الكوكب هو المورد الأول لمصممي الويب والمسوقين الرقميين والمطورين والشركات التي لها وجود عبر الإنترنت. ستجد أدوات وموارد للجميع ، مـن المبتدئين إلى الخبراء – والصدق هو أولويتنا القصوى.

لدينا فريق مـن ذوي الخبرة مـن خبراء أبحاث الأمـن الأخلاقي الذين يكشفون ويكشفون عن تسريبات خطيرة للبيانات كجزء مـن خدمة مجانية لمجتمع الإنترنت ككل. تتضمـن تقاريرنا الأخيرة خرق فـ ي مؤسسة إخبارية أمريكية كبرى وحادث كشف الملايين مـن حركة مرور مستخدمي مواقع الويب عــل ى الإنترنت.

يمكنك أن تقرأ عن كيفـ ية اختبارنا خمسة مضيفات ويب شهيرة لمعرفة مدى سهولة اختراقها هنا.