O breșă de securitate a vizat clienții unei firme de curierat din România
O breșă de securitate a vizat NEMO Express, una dintre cele mai vechi companii de curierat din România, expunând informațiile personale ale clienților.
Nemo Express are o vulnerabilitate majoră în sistemul de securitate, iar asta face ca datele a zeci sau sute de mii de români pot fi exploatate, scrie playtech.ro.
Nemo Express pune la dispoziție AWB-urile clienților oricui vrea să le vadă. Acestea sunt publice și necriptate pe site-ul companiei. Așadar, clienții care au comandat produse de la magazine online și a căror livrare a fost făcută prin Nemo Express au datele expuse public.
Aceste date nu sunt unele inofensive, ci foarte importante și care ar putea fi exploatate, informații precum număr de telefon, adresa, uneori CNP-ul, dar și ce au comandat și când.
AWB-urile livrărilor care conțin aceste informații sunt publicate pe site-ul companiei în format JPG și pot fi vizualizate de oricine, fără a fi necesară o parolă sau un nume de utilizator. Pentru implementarea defectuoasă a măsurilor de securitate, firma de curierat riscă o amendă de 10 milioane de euro sau 2% din cifra de afaceri, în funcție de care valoare este mai mare.
Un specialist IT consultat de wall-street.ro a detaliat expunerea, spunând că la o simplă căutare a găsit zeci de astfel de AWB-uri, toate publice, şi că, cel mai probabil, numărul lor este extrem de mare, scrie evz.ro.
„Am găsit AWB-uri atât de luna aceasta, cât şi încă din aprilie – probabil sunt toate comenzile procesate şi livrate prin NEMO Express într-un anumit interval de timp. Ce e surprinzător este că toate aceste informaţii sunt publice – adică oricine poate accesa URL-urile respective, fără parola, fără username – nu există niciun fel de criptare sau măsura de securitate”.
NemoExpress precizează în dreptul la replică că: „Prin intermediul unui program informatic a fost exploatata o functie a website-ului, cea de afisare a confirmarilor de primire pentru trimiterile postale livrate catre destinatar. Scriptul respectiv pornește de la un numar de AWB și aduna sau scade cu 1, incercand sa preia tracking-ul afisat pe site al numarului generat sperand ca este un AWB valabil. In momentul in care este gasit un AWB valabil se extrage automat link-ul valabil al confirmarii. Acest gen de atac poarta numele de BRUTE FORCE”, citează wall-street.ro.
„Specialistii IT angajati de NemoExpress au verificat, din punctul de vedere al securitatii, toate fisierele platformei și au luat masurile ce se impun, iar in acest moment atacul a fost oprit. O prima concluzie ar fi ca nu orice om obisnuit poate intra in posesia unor astfel de informatii, ci numai o persoana cu cunoștințe informatice si cu tehnici speciale. Prin urmare, informația conform careia lista cu confirmarile de primire este „la liber” pe internet este eronata. Accesul a devenit posibil numai pentru un atacator, la cateva AWB-uri si numai pentru o perioada limitata de timp. Ceea ce ne duce cu gandul ca sursa dvs (pentru ca evident ca este totul pe surse…) ar putea avea o legatura directa cu atacul informatic.”
De asmenea, NemoExpress spune că a dispus suplimentarea masurilor de securitate ale platformei si informarea clientilor afectati de bresa.
„In momentul in care vom obține raportul final va urma o intalnire cu firma de avocatura care ne reprezinta si vom analiza care vor fi actiunile pe care le vom intreprinde impotriva celor care au incercat și este posibil sa fi si reusit intr-ooarecare masura sa aduca prejudicii de imagine companiei noastre. Ne rezervam dreptul de a ne adresa tuturor organelor abilitate pentru identificarea vinovatilor si de a-I actiona in instanta pe cei vinovati. In intervalul prevazut de lege vom notifica persoanele vizate si autoritatile in legatura cu situatia de mai sus”, se mai precizează în dreptul la replica.
