50,000名Get用户的隐私在数据泄露中受到损害

Get Data Breach

2017年5月,一个名为Qnect的票务平台出于各种错误的原因发布了新闻 。 Qnect的用户群主要由澳大利亚学生组成,他们突然开始收到一些奇怪的未经请求的短信。据报道,这些文本是由闯入Qnect系统并窃取了部分用户数据的黑客发送的。消息称,除非支付赎金,否则数据将公开发布,并敦促用户说服Qnect的管理层咳嗽比特币。

目前还不清楚整个故事是如何展开的。我们所知道的是Qnect现在被称为Get。我们也知道其用户的隐私再次受到威胁。

学生意外发现了重大的数据泄露事件

新南威尔士大学的一名学生试图使用Get的服务,因为他发现由于某些API的不安全实施,可以获得大约5万人(或Get的整个用户群的三分之一)的个人信息。缓解。有问题的学生使用他的Reddit账户与大家分享这个故事 ,他开始说他目前正在对经历过数据泄露的公司进行本科研究。但是,在他的研究期间没有发现这一发现。

他试图做的是在平台的网站上找到一个Get社团。幸运的是,他错误地输入了社会的名称,结果看起来很有趣。输入错误意味着他不是可以公开访问的有用信息,而是查看使用过Get的学生的个人数据。然后他将他的一个朋友的名字输入搜索引擎,他惊讶地发现Get正在自由地透露其用户的个人信息。

然后学生利用他的专业知识仔细观察,他很快意识到存在“一系列”不良做法。显然,最大的问题在于搜索服务泄漏了个人信息这一事实,并且好像这还不够,它不需要任何令牌这样做,这意味着任何人,无论他们是否拥有一个获取帐户,可以使用它。

有人显然一直在探索暴露的数据

根据发现数据泄露的学生的说法,对于Get的基础架构的这个特定部分,有“大量证据”表明SQL注入攻击。他似乎非常确信有人设法在他面前掌握暴露的信息。这意味着泄露数据的性质更为重要。

值得庆幸的是,所有付款都由第三方处理器处理,这意味着财务细节尚未公开。也没有泄露密码的证据,这也是个好消息。

在违规期间确实获得的详细信息包括姓名,Facebook ID,生日和电话号码. 事实上,这不是最敏感的漏洞,但Get用户应该仍然在寻找诈骗电话,类似于他们大约两年半前收到的文本以及网络钓鱼电子邮件。

得到回应

发现违规行为的学生说,在与Reddit分享他的调查结果之前,他试图抓住Get的某个人并负责任地披露问题。显然,他没有得到答案。然而,Get的故事有点不同。

根据它,Get的IT人员在9月6日首次听到了这个问题,当时“一些组织”告诉他们他们的系统可能很脆弱。周六,不安全的API调用被标记化,从那时起,团队一直在努力工作,试图调查出错的原因和原因。

Get一直在发布每日更新 ,但遗憾的是,这些更新并未提供更多信息。该平台似乎并不特别热衷于讨论发现该漏洞的学生提到的先前攻击的证据,并且它不会对同一Reddit线程中讨论的另一个漏洞做任何说明。

总而言之,我们有一个他说的情节,这意味着判断Get对整个事情的反应并不容易。然而,没有人愿意争论的一件事是,同一家公司(尽管名称不同)已经记录了两次数据泄露事件。这绝对不是一个好看的样子。

September 11, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
4 + 3是什么?