Отчет: Данные более чем 1,5 миллиона пользователей Freedom Mobile подверглись опасности

Исследовательская группа vpnMentor недавно обнаружила, что Freedom Mobile столкнулся с масштабной утечкой данных.

Исследователи vpnMentor во главе с хактивистами Ноамом Ротемом и Раном Локаром обнаружили  уязвимое место, раскрывающее личные данные до 1,5 миллиона активных пользователей Freedom Mobile. Freedom Mobile (ранее Wind Mobile) является четвертым крупнейшим канадским провайдером беспроводной связи.

Его база данных была абсолютно незащищенной и незашифрованной. Помимо прочего, данные содержали номера кредитных карт и CVV.

Время обнаружения взлома и ответная реакция

• 17 апреля: Мы обнаружили утечку данных Freedom Mobile.
• 18 апреля: Мы проинформировали Freedom Mobile по электронной почте о серьезной утечке данных. Не получили ответа.
• 23 апреля: Мы снова попытались связаться с Freedom Mobile.
• 24 апреля: Freedom Mobile наконец-то ответил на наши письма.
• 24 апреля: Freedom Mobile остановил утечку данных.

Примеры записей в базе данных

Подобно незащищенной базе данных Gearbest Elasticsearch, база данных Freedom Mobile была абсолютно незашифрованной. У нас был полный доступ к более чем 5 миллионам записей, принадлежащих 1,5 миллиону пользователей.

Эти данные, по-видимому, отображают любые действия, совершённые в аккаунте, учитывая многочисленные записи каждого пользователя.

Личные данные, которые были раскрыты:

• адрес электронной почты
• номер домашнего и мобильного телефона
• домашний адрес
• дата рождения
• тип клиента
• IP-адрес, связанный с методом оплаты
• незашифрованные номера кредитных карт и CVV
• ответы о кредитоспособности от Equifax и других корпораций с обоснованием отказа/принятия

У нас также был доступ к номерам счетов, датам подписки и выставления счетов, а также записям обслуживания клиентов, включая местоположения.

Некоторые записи содержали информацию из базы данных Equifax, а именно информацию о кредитной истории, уровне кредитоспособности и счетах кредитных карт.

Последствия утечки данных

Как ни странно, Freedom Mobile гордится своей высокой степенью конфиденциальности. Это даже указано в графе собственных данных в их Twitter:

Тем не менее, он явно допустил утечку данных своих клиентов.

Обнаружив это, мы быстро оповестили Freedom Mobile об этой проблеме. Не получив от них мгновенного ответа, мы обратились к коллегам на другом сайте безопасности с просьбой помочь нам связаться с Freedom Mobile в случае, если наши письма попали в спам. Но позже оказалось, что все-таки дело было не в этом.

В силу этических соображений мы не стали выгружать информацию из базы данных, поэтому мы не знаем точно, сколько людей пострадало.

Однако мы смогли получить доступ как минимум к 5 миллионам незащищенных записей.  На Freedom Mobile подписаны как минимум 1,5 миллиона абонентов, а его материнская компания принадлежит Shaw Communications, у которой более 3,2 миллиона клиентов по всей Канаде. Это, возможно, крупнейшая утечка данных, с которой когда-либо сталкивались канадские компании.

Редко можно обнаружить утечку, содержащую как данные кредитной карты, так и номера CVV, особенно при таком масштабном  нарушении конфиденциальности.

Поскольку эта утечка включает в себя незашифрованные данные кредитных карт, Freedom Mobile потенциально нарушает правила соответствия PCI (Payment Card Industry). Это может привести к серьезным последствиям в реальности как для компании, так и для ее пользователей.

Опасности взломов

Владение базой данных, содержащей данные кредитных карт, даты рождения, полные имена, адреса и номера телефонов, облегчает осуществление мошенничества с кредитными картами и хищение личных данных. Это может стоить пользователям, их банкам и страховым компаниям сотен тысяч долларов.

Незашифрованная база данных, содержащая личную информацию, является ценным ресурсом для хакеров. Доступ к адресам, электронным почтам, номерам телефонов и кредитным данным может помочь злоумышленникам реализовать сложные схемы фишинга.

Владея кредитной информацией, злоумышленники также могут осуществлять атаки в целях вымогательства выкупа, поскольку они знают, кто владеет крупными суммами.

Даже самый бдительный пользователь не сможет защитить себя от компании, которая хранит свои данные незащищёнными. Самым лучшим вариантом является использование временной карты, учетной записи или номеров CVV, привязанных к вашей учетной записи. Прочитайте наше полное руководство  для получения дополнительной информации.

О нас и предыдущих отчетах:

vpnMentor — крупнейший в мире веб-сайт, посвященный обзору VPN. Наша исследовательская лаборатория является бесплатным сервисом, который стремится помочь интернет-сообществу защитить себя от киберугроз, обучая организации защите данных своих пользователей.

Недавно мы обнаружили масштабную утечку данных, затронувшую 80 миллионов семей в США. Мы также выяснили, что Gearbest столкнулся с огромной утечкой данных. Вы также можете прочитать наши отчеты об утечке VPN и статистике защиты данных.

Пожалуйста поделитесь этим отчетом в Facebook или твитните его.