巴基斯坦Bykea公司打车应用4亿用户数据泄露

巴基斯坦Bykea公司打车应用4亿用户数据泄露

巴基斯坦一家著名的汽车租赁和包裹运送公司遭受了严重的数据泄露,影响了其广泛的用户数据库。

 由首席研究员Anurag Sen领导的安全侦探网络安全团队在对特定端口进行例行IP地址检查时发现了弹性服务器漏洞。

在这种情况下,我们的团队发现,位于卡拉奇的Bykea公司公开了其所有生产服务器信息,并允许访问200GB以上的数据,其中包含超过4亿条记录,这些记录表明人们的全名,位置和其他个人信息可能会被利用黑客造成财务和声誉损失。

Elastic实例在没有密码保护或加密的情况下公开暴露,这意味着拥有服务器IP地址的任何人都可以访问数据库并可能从数据库中删除数据。

看来,在2020年9月,Bykea遭受了另一次入侵,据报道,身份不明的黑客删除了该公司的整个客户数据库。当时,Bykea表示它不受入侵的影响,因为它会定期进行备份。

作为回应,鉴于Bykea是一家基于出行技术的科技公司,Bykea的首席执行官Muneeb Maayr将网络攻击描述为“与众不同”。目前尚不清楚此最新漏洞是否与9月份的黑客攻击有关。

谁是Bykea?

Bykea由巴基斯坦企业家Muneeb Maayr于2016年创立,是一家运输,物流和货到付款支付公司,总部位于巴基斯坦卡拉奇。该公司是最早引入“摩托车出租车”这一新颖概念的公司之一,该概念被用作运输和交付方式。目前,该公司在卡拉奇,拉瓦尔品第和拉合尔提供各种出租车服务。

Bykea还是一家租车和包裹运送公司,并维护着一个软件应用程序,使用户可以通过Google Play和App Store访问其所有服务。

该公司是按需物流供应商,已满足移动需求和无处不在的互联网连接,以推动其近年来的快速增长。该公司在2019年从私人投资者筹集了近600万美元,随后在今年又筹集了1100万美元。自2016年以来,Bykea总计从Prosus Ventures,Middle East Venture Partners(MEVP)和Sarmayacar等著名投资集团获得了2200万美元的私募股权投资。

什么泄漏了?

公开的服务器包含公司网站和移动网站的API日志以及所有生产服务器信息。包含4亿条记录的200GB数据库位于生产服务器上,该服务器存储定期更新的数据,包括内部日志(包括用户详细信息)。

更具体地说,服务器包含客户和签约员工的个人身份信息(PII),即他们的驱动程序,被Bykea称为“合作伙伴”。

Bykea客户的PII:

  • 全名
  • 电话号码
  • 电子邮件地址

Bykea伙伴(驾驶员)PII:

  • 全名
  • 电话号码
  • 地址
  • CNIC(计算机国民身份证)
  • 驾驶执照号码,签发城市和有效期
  • 体温
服务器上公开的用户的完整行程详细信息

其他信息也保持不安全状态,例如:

  • 内部API日志
  • 收货地点信息
  • 带有Cookie详细信息和会话日志的用户令牌ID
  • 特定的GPS坐标
  • 车辆信息,包括型号和车牌
  • 驾驶执照有效期信息
  • 其他用户设备信息
  • 加密的IMEI号码
驾驶员详细信息,包括GPS坐标

我们的团队发现Bykea的服务器包含客户发票,其中显示了完整的行程信息,包括接送客户的地点,驾驶员到达时间,行程距离,票价明细等。

行程详情

我们的团队还在不安全的服务器上找到了Bykea的内部员工登录名和未加密的密码信息

员工登录凭证

此外,Bykea与包括K-Electric,EasyPaisa和JazzCash在内的其他巴基斯坦公司已有商业关系,允许客户在Bykea驾驶员及其应用程序的帮助下支付电费,获取现金和汇款。这些数据也存储在Bykea的数据库中,并在泄漏中暴露出来。

客户的电费支付
泄漏的记录数:4亿
受影响的用户数:未知
数据泄露的大小:200 GB以上
服务器位置:美国博伊顿
公司所在地:巴基斯坦卡拉奇

我们的安全团队于2020年11月14日发现了Bykea的漏洞。Bykea在11月24日与该公司联系后,立即做出反应,在24小时内保护了其数据库。

数据泄露影响

从大量发现的记录和可用的信息类型中,可能会出现一些负面结果,包括身份盗用,欺诈和网络钓鱼诈骗。

黑客可能会利用全名,居住地址详细信息,ID文档(例如CNIC),在线登录信息和位置数据来瞄准在公司注册的毫无戒心的人。汽车登记和车辆数据有可能被用来进行保险欺诈和其他涉及被盗身份的令人发指的犯罪。

同样,用户电子邮件地址可能会成为黑客的目标,通常使用欺骗性方法,例如将泄漏的客户数据注入电子邮件通信中,从而触发对恶意网站的点击并安装恶意软件。

此外,可以利用网站后端数据来利用Bykea的内部IT基础架构(包括其应用程序和网站)来生成勒索软件攻击或仅仅破坏其服务器。后端技术日志不仅公开个人信息,还公开可以武器化以获取对服务器的完全控制的数据。

如何防止数据泄露

如何防止您的个人信息暴露在数据泄漏中,并确保您不遭受攻击(网络或现实世界)(如果被泄漏)?

  • 谨慎提供什么信息以及向谁提供
  • 检查您所在的网站是否安全(查找https/关闭的锁)
  • 只说出您认为不会对您不利的东西(避免使用政府身份证号码,个人偏好,如果将这些信息公开,可能会给您带来麻烦)
  •  通过组合字母,数字和符号来创建安全密码
  • 除非您确定发件人是合法的收件人,否则请不要单击电子邮件中的链接
  • 仔细检查所有社交媒体帐户(甚至不再使用的帐户),以确保只有您信任的人才能看到您的帖子和个人详细信息的隐私
  • 避免在不安全的Wi-Fi网络上使用信用卡信息并输入密码
  • 了解有关网络犯罪的构成,防止网络钓鱼攻击的最佳技巧以及如何避免勒索软件的更多信息

from