西班牙在线学习平台8Belts因aws s3配置错误泄露10万用户信息

西班牙在线学习平台8Belts因aws s3配置错误泄露10万用户信息

8Belts数据泄露原因

该漏洞(源于配置错误的Amazon Web Services S3存储桶)影响了全球10万人口,暴露了他们的私人数据,并使他们容易受到来自网络罪犯的危险攻击和欺诈。
其用户数据保护不当,8Belts损害了其用户的安全和隐私以及公司自身的未来。

数据泄露摘要摘要

公司8Belts
位于西班牙马德里
行业电子学习
泄露数据十万
地理范围全球; 记录几乎来自世界上每个国家
公开的数据类型姓名电子邮件地址电话号码出生日期身份证号码
潜在影响身份盗用,网络钓鱼,金融欺诈,病毒攻击
资料储存格式不安全的AWS S3存储桶允许目录遍历访问(aws s3配置问题)

8Belts公司简介

8Belts成立于2011年,总部位于西班牙马德里。
8Belts是一个流行的语言学习平台,在世界范围内用于教授各种语言。

该公司提供英语,德语,法语和中文的西班牙语在线语言课程。

8Belts确保学生可以在8个月内学习四种语言中的任何一种,并且拥有100%的成功率。它使用算法和语言映射等现代技术来创新语言学习并实现如此高的目标。

虽然专注于讲西班牙语的国家,但8Belts的业务遍及全球,学习者来自世界各地。

8belts的部分资金来自欧盟的欧洲区域发展基金会(ERDF)和西班牙的能源,旅游与数字议程部。它还与BBVA,华为,Inditex和桑坦德等众多知名跨国公司合作。

发现者和所有者反应时间表

有时,数据泄露的程度和数据的所有者是显而易见的,问题很快得到解决。但是这些时候很少见。大多数情况下,我们需要进行数天的调查,才能了解潜在风险或泄露谁。

理解漏洞及其潜在影响需要花费大量的时间和精力。我们会努力发布准确且可信赖的报告,以确保阅读它们的每个人都理解他们的认真性。

一些受影响的各方否认事实,无视我们的研究,或淡化其影响。因此,我们需要做到周密,  并确保我们发现的所有信息都是正确和准确的。

在这种情况下,数据存储在Amazon Web Services(AWS)S3存储桶中AWS S3存储桶是一种越来越流行的云存储形式,但是要求用户设置自己的安全协议。似乎8Belts配置了错误的用户权限,从而暴露了S3存储桶中的所有数据。

一旦我们确认8Belts是数据的所有者,我们便与公司联系并提出了我们的发现。在恶意黑客发现漏洞之前,我们还提供了协助以解决该漏洞。

在等待8Belts的答复时,我们还直接与AWS联系,以通知他们 S3存储桶中的配置错误,因此他们可以将违规情况直接通知8Belts。

虽然我们没有收到回复,但几周后,我们验证了漏洞已关闭。

  • 发现日期:  2020年4月16日
  • 联系供应商的日期:  2020年4月20日
  • 第二次尝试联系的日期(如果有):  2020年4月22日
  • 回复日期: N / A
  • 行动日期: 2020年5月28日

数据输入示例

遭到破坏的S3存储桶包含许多与8Belts用户和平台内部流程有关数据形式

在我们进行调查时,S3存储桶仍然处于活动状态,即使我们正在确定违规的严重性并确认8Belts作为存储桶的所有者时,也会创建新的记录。

最早的记录来自2017年,包括8Belt用户详细信息的长列表。这些列表以CSV格式存储,其中包含针对各个8Belts用户的不同形式的个人身份信息(PII)数据。

仅在一个列表中,就暴露了超过15万人的PII数据。这些列表总共泄露了100,000人数据。

这些列表中公开的PII数据包括:

  • 全名
  • 电子邮件地址
  • 电话号码
  • 出生日期
  • 居住国家

S3存储桶中的其他文件甚至暴露了8Belts用户的PII,包括学生和潜在的教师例如:

  • 身份证号码
  • Skype ID

所有这些私人数据都可以通过各种方式进行组合和利用,以针对那些遭受欺诈,盗窃和在线攻击的人。

尽管8Belts的大多数用户都居住在讲西班牙语的国家,但来自世界各地的人们却受到了攻击记录包括来自全球六大洲几乎每个国家/地区的居民的数据。

从美国到乌兹别克斯坦,从澳大利亚到安哥拉,从比利时到巴巴多斯,这一数据泄露事件涉及整个全球。

以下截屏是从8Belts的S3存储桶中截取的,显示了一个CSV文件的摘要,其中列出了8Belts用户的1,000的私人数据,以及8Belts员工的电子邮件地址。

西班牙在线学习平台8Belts因aws s3配置错误泄露10万用户信息
8Belts用户数据CSV文件公开

除了PII数据外,还公开了学生帐户详细信息,课程历史记录和表现的详细信息,包括他们所修课程,帐户用户ID,他们的评估分数和结业证书。还可以通过暴露的S3存储桶访问要与朋友共享的虚拟8Belts礼品卡。

西班牙在线学习平台8Belts因aws s3配置错误泄露10万用户信息
8Belts课程结业证书
西班牙在线学习平台8Belts因aws s3配置错误泄露10万用户信息
虚拟8Belts礼品卡

暴露的S3存储桶还包含详细记录8Belts如何与外部CRM系统集成的站点日志。除了公开用户PII数据外,这些日志还揭示了相当多的技术信息,黑客可以利用这些信息来进一步访问8Belts的平台。

西班牙在线学习平台8Belts因aws s3配置错误泄露10万用户信息
8Belts网站日志的摘录

受影响的企业客户

除私人用户外,8Belts还是一个流行的在线学习平台,适用于大型企业,帮助其员工学习新语言。

8Belts在其网站上拥有一些最大和最著名的跨国公司作为客户,其中包括:

  • Bridgestone
  • Decathlon
  • Deloitte
  • Huawei
  • Inditex
  • PricewaterhouseCoopers
  • Real Madrid
  • Renault
  • Santander

与个人用户一样,8Belts将来自其公司客户端的用户PII数据存储在暴露的S3存储桶中。但是,在这种情况下,许多人使用他们公司的工作电子邮件地址进行注册。

暴露的员工PII数据可能会给公司带来重大的安全风险,因为黑客可能会使用员工的电子邮件来攻击公司的整个公司网络基础结构。

通过向员工的电子邮件和PII数据公开企业客户,8Belts还使这些公司容易受到网络犯罪分子的严重欺诈和病毒攻击。

数据泄露影响

此数据泄露表示8Belts的安全协议存在重大缺陷。

具有如此庞大的全球用户群的公司必须采取所有必要步骤来保护其客户的隐私,并使他们免受黑客攻击或其他形式的攻击。

否则,8Belts不仅会损害用户的安全还会损害公司本身的安全。

对8Belts用户的影响

由于暴露了如此多的PII数据,网络犯罪分子可能会以多种方式将8Belts用户作为攻击目标。

网络罪犯可以使用其姓名,电子邮件地址,电话号码,在某些情况下还可以使用身份证号码对8Belts用户进行身份盗用。

然后,受害者将很容易受到各种各样的信贷,银行,税收,就业和保险欺诈计划的破坏,结果是惨重的。

此外,利用用户在8Belts上的课程历史和活动的详细信息,网络犯罪分子可以创建高效的网络钓鱼活动,以其他方式欺骗用户。

网络钓鱼活动涉及向受害者发送模仿真实企业或组织的虚假电子邮件,在本例中为8Belts。犯罪分子 诱使受害者提供私人财务信息,信用卡详细信息或单击将恶意软件嵌入其互联网设备的链接。

8Belts是一项付费服务​​,因此黑客可以利用它轻松诱骗学生提供其信用详细信息或单击与他们的订阅有关的链接。

错误配置的S3存储桶正在暴露属于10万个人的PII数据,因此,网络犯罪分子只需欺诈一小部分因非法活动而获得经济利益的人即可。

对8Belts公司客户的影响

黑客还可以使用上面概述的相同策略来针对公司,并且其员工签署8Belts,对所有参与者造成更糟糕的后果。

由于许多员工使用他们的公司电子邮件地址签署了多达8Belts的代码,因此黑客可以使用嵌入了恶意软件的高效网络钓鱼电子邮件来锁定这些员工。公司内部只有一个人单击这些电子邮件中的按钮,即可暴露公司的整个网络来进行攻击。

为了确认用户数据的可靠性,我们通过检查文件中几个人的详细信息进行了验证。通过这样做,我们能够确认数据是正确的,损害了受影响人员的隐私,并使他们(及其雇主)面临风险。

网络钓鱼活动是犯罪黑客对私人公司的最受欢迎攻击形式之一。他们知道大多数员工都没有经过培训可以发现网络钓鱼电子邮件,并且很容易被诱使他们的公司网络受到恶意软件,间谍软件等的攻击

成功的网络钓鱼活动对公司及其员工的影响是巨大的。

8Belts的影响

考虑到8Belts用户潜在的数据泄露严重性,该公司也可能变得脆弱。

由于8Belts总部位于西班牙,因此该公司属于欧盟GDPR管辖范围。

如果犯罪方获得了任何数据,则该公司可能会面临彻底的调查和安全审核,并可能随后遭到重大法律诉讼和罚款。

考虑到8Belts的部分资金是由欧盟和西班牙政府提供的,您可以期望这两个机构对数据安全方面的这种失误做出比平时更多的审查。

除了法律或立法措施外,8Belts还可能失去失去不再信任公司以保护其数据安全并决定取消任何成员资格的用户的权利。

竞争对手还可以利用该漏洞破坏8Belts的声誉,并通过吸引其客户使用其他平台来减少其市场份额。

此外,如果网络罪犯访问了存储在S3存储桶中的虚拟礼品卡,他们可以使用这些礼品卡免费访问8Belts的学习平台。

所有这些结果可能会对公司产生长期的负面影响,损害其在电子学习市场中的地位,并在很长的将来损害收入。

除了潜在的法律和财务问题外,8Belts也可能成为黑客攻击的目标。暴露的已暴露站点日志可能被黑客利用,以进一步访问8Belts平台,从而使他们能够种植恶意软件或提取比已经暴露的更为敏感的数据。

这种攻击的影响是无法估量的,并且随时可能发生。

专家的建议

如果8Belts采取了一些基本的安全措施来保护S3数据,则可以轻松避免暴露其用户数据。这些包括但不限于:

  1. 保护其服务器。
  2. 实施适当的访问规则。
  3. 永远不要将不需要身份验证的系统开放给互联网。

任何公司,无论规模大小,都可以复制相同的步骤。

保护打开的S3存储桶

请务必注意,开放的,可公开查看的S3存储桶不是AWS的缺陷。它们通常是存储桶所有者错误的结果。亚马逊向AWS用户提供了详细说明,以帮助他们保护S3存储桶并保持其私密性。

对于8Belts,修复此错误的最快方法是:

  • 将存储桶设为私有并添加身份验证协议。
  • 遵循AWS访问和身份验证最佳实践。
  • 向其S3存储桶添加更多保护,以进一步限制谁可以从每个入口点访问它。

对于8Belts用户

如果您是8Belts的客户,并且担心此违规行为可能对您造成影响,请直接与公司联系以了解他们正在采取的步骤。

它向您展示了网络犯罪分子针对互联网用户的多种方式,以及为确保安全而采取的步骤。

我们如何以及为什么发现突破口

vpnMentor研究团队发现了8Belts云存储中的漏洞,这是一个庞大的Web制图项目的一部分。我们的研究人员使用端口扫描来检查特定的IP块,并测试不同系统的弱点或漏洞。他们检查每个弱点,以发现任何暴露的数据。

我们的团队能够访问此S3存储桶, 因为它完全不安全且未加密。

每当我们发现数据泄露时,  我们都会使用专家技术来 验证数据的所有者,  通常是商业公司。

作为道德黑客,当我们发现  公司的在线安全漏洞时,有义务通知公司。我们与8Belts进行了接触,不仅是让他们知道该漏洞,还为他们提供了使系统安全的方法的建议。

这些道德规范也意味着我们对公众负有责任。 8Belts用户必须意识到会泄露大量敏感数据的数据泄露。

此Web项目的目的是帮助 使所有用户的互联网更加安全。

信息来源

https://www.vpnmentor.com/blog/report-8belts-leak/
https://www.hackread.com/8belts-exposes-data-of-100000-e-learners/