The Privacy of 50,000 Get Users Is Compromised Amidst a Data Breach

Get Data Breach

2017年5月,一個名為Qnect的票務平台出於各種錯誤的原因發布了新聞 。 Qnect的用戶群主要由澳大利亞學生組成,他們突然開始收到一些奇怪的未經請求的短信。據報導,這些文本是由闖入Qnect系統並竊取了部分用戶數據的黑客發送的。消息稱,除非支付贖金,否則數據將公開發布,並敦促用戶說服Qnect的管理層咳嗽比特幣。

目前還不清楚整個故事是如何展開的。我們所知道的是Qnect現在被稱為Get。我們也知道其用戶的隱私再次受到威脅。

學生意外發現了重大的數據洩露事件

新南威爾士大學的一名學生試圖使用Get的服務,因為他發現由於某些API的不安全實施,可以獲得大約5萬人(或Get的整個用戶群的三分之一)的個人信息。緩解。有問題的學生使用他的Reddit賬戶與大家分享這個故事 ,他開始說他目前正在對經歷過數據洩露的公司進行本科研究。但是,在他的研究期間沒有發現這一發現。

他試圖做的是在平台的網站上找到一個Get社團。幸運的是,他錯誤地輸入了社會的名稱,結果看起來很有趣。輸入錯誤意味著他不是可以公開訪問的有用信息,而是查看使用過Get的學生的個人數據。然後他將他的一個朋友的名字輸入搜索引擎,他驚訝地發現Get正在自由地透露其用戶的個人信息。

然後學生利用他的專業知識仔細觀察,他很快意識到存在“一系列”不良做法。顯然,最大的問題在於搜索服務洩漏了個人信息這一事實,並且好像這還不夠,它不需要任何令牌這樣做,這意味著任何人,無論他們是否擁有一個獲取帳戶,可以使用它。

有人顯然一直在探索暴露的數據

根據發現數據洩露的學生的說法,對於Get的基礎架構的這個特定部分,有“大量證據”表明SQL注入攻擊。他似乎非常確信有人設法在他面前掌握暴露的信息。這意味著洩露數據的性質更為重要。

值得慶幸的是,所有付款都由第三方處理器處理,這意味著財務細節尚未公開。也沒有洩露密碼的證據,這也是個好消息。

在違規期間確實獲得的詳細信息包括姓名,Facebook ID,生日和電話號碼. 事實上,這不是最敏感的漏洞,但Get用戶應該仍然在尋找詐騙電話,類似於他們大約兩年半前收到的文本以及網絡釣魚電子郵件。

得到回應

發現違規行為的學生說,在與Reddit分享他的調查結果之前,他試圖抓住Get的某個人並負責任地披露問題。顯然,他沒有得到答案。然而,Get的故事有點不同。

根據它,Get的IT人員在9月6日首次聽到了這個問題,當時“一些組織”告訴他們他們的系統可能很脆弱。星期六,不安全的API調用被標記化,從那時起,團隊一直在努力工作,試圖調查出錯的原因和原因。

Get一直在發布每日更新 ,但遺憾的是,這些更新並未提供更多信息。該平台似乎並不特別熱衷於討論發現該漏洞的學生提到的先前攻擊的證據,並且它不會對同一Reddit線程中討論的另一個漏洞做任何說明。

總而言之,我們有一個他說的情節,這意味著判斷Get對整個事情的反應並不容易。然而,沒有人願意爭論的一件事是,同一家公司(儘管名稱不同)已經記錄了兩次數據洩露事件。這絕對不是一個好看的樣子。

September 11, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
4 + 6是什麼?