La confidentialité de 50 000 utilisateurs Get est compromise au milieu d'une violation de données

Get Data Breach

En mai 2017, une plateforme de billetterie du nom de Qnect a fait la une pour toutes les mauvaises raisons. La base utilisateurs de Qnect était principalement composée étudiants australiens qui ont soudainement commencé à recevoir des SMS étranges non sollicités. Les textes auraient été envoyés par des hackers qui auraient pénétré dans les systèmes de Qnect et auraient volé les données de certains de ses utilisateurs. Les messages indiquaient que, sauf si une rançon était payée, les données seraient rendues accessibles au public, et les utilisateurs étaient invités à persuader la direction de Qnect de tousser en bitcoins.

On ignore comment toute histoire est déroulée. Ce que nous savons, est que Qnect appelle maintenant Get. Nous savons également que la vie privée de ses utilisateurs est à nouveau menacée.

Un étudiant découvre une violation majeure de Get data par accident

Un étudiant de Université de New South Wales tentait utiliser les services de Get lorsq il a découvert que, grâce à une implémentation non sécurisée de certaines API, les informations personnelles environ 50 000 personnes (ou un tiers de la base utilisateurs de Get) peuvent être obtenues de manière terrifiante. facilité. étudiant en question a utilisé son compte Reddit pour partager histoire avec tout le monde, et il a commencé par dire q il effectuait actuellement des recherches de premier cycle sur des entreprises victimes infractions de données. La découverte a pas été faite lors de ses recherches, cependant.

Ce q il essayait de faire, était de trouver une société Get sur le site Web de la plateforme. Par chance, il a mal saisi le nom de la société et les résultats qui ont paru semblaient plutôt intéressants. La faute de frappe signifiait q au lieu informations utiles devant être accessibles au public, il intéressait aux données personnelles étudiants ayant utilisé Get. Il a ensuite entré les noms un de ses amis dans le moteur de recherche et a été choqué apprendre que Get révélait librement les données personnelles de ses utilisateurs.

étudiant a ensuite utilisé son expertise pour examiner de plus près, et il est vite rendu compte q il y avait "une gamme" de "mauvaises pratiques". De toute évidence, le plus gros problème résidait dans le fait que le service de recherche divulguait des informations personnelles, et comme si cela ne suffisait pas, il n’a pas besoin de jetons pour le faire, ce qui signifie que quiconque, qu’il soit ou non un compte Get, pourrait utiliser.

Quelq un a apparemment fouillé dans les données exposées

Selon étudiant qui a découvert la violation de données, il existe de "nombreuses preuves" attaques par injection SQL sur cette section particulière de infrastructure de Get. Il semble assez convaincu que quelq un a réussi à mettre la main sur information exposée devant lui. Cela signifie que la nature des données divulguées est autant plus importante.

Heureusement, tous les paiements sont traités par un tiers processeur, ce qui signifie que les détails financiers ont pas été exposés. Il y a aucune preuve de fuite des mots de passe, ce qui est également une bonne nouvelle.

Les détails qui ont été révélés lors de la violation comprennent les noms, identifiants Facebook, anniversaires et numéros de téléphone.. En effet, ce est pas la fuite la plus sensible, mais les utilisateurs de Get doivent toujours être à affût des appels frauduleux, de textes similaires à ceux q ils recevaient il y a environ deux ans et demi, ainsi que des courriels de phishing.

Obtenir la réponse

étudiant qui a découvert la brèche a déclaré q avant de partager ses découvertes avec Reddit, il avait essayé de joindre quelq un de Get et de divulguer le problème de manière responsable. Apparemment, il a pas eu de réponse. histoire de Get est cependant un peu différente.

Les informaticiens de Get ont entendu parler du problème pour la première fois le 6 septembre, quand "plusieurs organisations" leur ont dit que leurs systèmes pourraient être vulnérables. Samedi, les appels non sécurisés des API ont été symbolisés. Depuis, l’équipe a travaillé arrache-pied pour essayer de déterminer ce qui allait pas et pourquoi.

Get publie des mises à jour quotidiennes qui, malheureusement, n’ont pas fourni beaucoup d’informations supplémentaires. La plate-forme ne semble pas particulièrement intéressée par la discussion des preuves attaques précédentes mentionnées par étudiant qui a découvert la faille, et ne dit rien une autre vulnérabilité décrite dans le même fil Reddit.

En tout et pour tout, nous avons un scénario qui dit-elle dit-elle, ce qui signifie q il est pas très facile de juger à quel point Get a réagi à la situation. Une chose à laquelle personne ne veut toutefois prétendre, est que la même société (bien que sous un nom différent) a enregistré deux incidents de violation de données en autant années. Et ce n’est certainement pas ce qu’il faut faire.

September 11, 2019

Laisser une Réponse

IMPORTANT! Pour pouvoir procéder, vous devrez résoudre le calcul simple suivant.
Please leave these two fields as is:
Qu'est-ce que 8 + 7 ?