Раскрытие информации:
Экспертные обзоры

vpnMentor публикует обзоры, написанные авторами из нашего сообщества экспертов. Эти обзоры основываются на личном опыте экспертов, а также на проведенном ими независимом и профессиональном изучении соответствующего сервиса или решения.

• Принадлежность

vpnMentor является собственностью компании Kape Technologies PLC, которая также владеет следующими продуктами: CyberGhost, ZenMate, Private Internet Access и Intego. Обзоры на продукты этих сервисов также могут появляться на этом сайте.

• Партнерские отчисления

Сайт vpnMentor может получить комиссию, если пользователь купит продукт по нашей ссылке, но этот факт никак не влияет на содержание наших обзоров и на то, какие товары/сервисы мы анализируем. Мы предоставляем прямые ссылки на покупку товаров, которые являются частью партнерской программы.

• Требования к обзорам

Публикуемые на сайте vpnMentor обзоры написаны экспертами, которые исследуют работу сервисов и приложений в соответствии с нашими строгими стандартами. Эти стандарты гарантируют, что каждый обзор основан на независимом, профессиональном и честном анализе автора, что принимаются во внимание все технические возможности и характеристики продукта вместе с коммерческой ценностью для конечных пользователей, которая также может влиять на рейтинг продукта на сайте.

Отчет: Данные более чем 1,5 миллиона пользователей Freedom Mobile подверглись опасности

Исследовательская группа vpnMentor недавно обнаружила, что Freedom Mobile столкнулся с масштабной утечкой данных.

Исследователи vpnMentor во главе с хактивистами Ноамом Ротемом и Раном Локаром обнаружили  уязвимое место, раскрывающее личные данные до 1,5 миллиона активных пользователей Freedom Mobile. Freedom Mobile (ранее Wind Mobile) является четвертым крупнейшим канадским провайдером беспроводной связи.

Его база данных была абсолютно незащищенной и незашифрованной. Помимо прочего, данные содержали номера кредитных карт и CVV.

Время обнаружения взлома и ответная реакция

  • 17 апреля: Мы обнаружили утечку данных Freedom Mobile.
  • 18 апреля: Мы проинформировали Freedom Mobile по электронной почте о серьезной утечке данных. Не получили ответа.
  • 23 апреля: Мы снова попытались связаться с Freedom Mobile.
  • 24 апреля: Freedom Mobile наконец-то ответил на наши письма.
  • 24 апреля: Freedom Mobile остановил утечку данных.


Примеры записей в базе данных

Подобно незащищенной базе данных Gearbest Elasticsearch, база данных Freedom Mobile была абсолютно незашифрованной. У нас был полный доступ к более чем 5 миллионам записей, принадлежащих 1,5 миллиону пользователей.

Эти данные, по-видимому, отображают любые действия, совершённые в аккаунте, учитывая многочисленные записи каждого пользователя.

Личные данные, которые были раскрыты:

  • адрес электронной почты
  • номер домашнего и мобильного телефона
  • домашний адрес
  • дата рождения
  • тип клиента
  • IP-адрес, связанный с методом оплаты
  • незашифрованные номера кредитных карт и CVV
  • ответы о кредитоспособности от Equifax и других корпораций с обоснованием отказа/принятия

У нас также был доступ к номерам счетов, датам подписки и выставления счетов, а также записям обслуживания клиентов, включая местоположения.

Некоторые записи содержали информацию из базы данных Equifax, а именно информацию о кредитной истории, уровне кредитоспособности и счетах кредитных карт.


Последствия утечки данных

Как ни странно, Freedom Mobile гордится своей высокой степенью конфиденциальности. Это даже указано в графе собственных данных в их Twitter:

Тем не менее, он явно допустил утечку данных своих клиентов.

Обнаружив это, мы быстро оповестили Freedom Mobile об этой проблеме. Не получив от них мгновенного ответа, мы обратились к коллегам на другом сайте безопасности с просьбой помочь нам связаться с Freedom Mobile в случае, если наши письма попали в спам. Но позже оказалось, что все-таки дело было не в этом.

В силу этических соображений мы не стали выгружать информацию из базы данных, поэтому мы не знаем точно, сколько людей пострадало.

Однако мы смогли получить доступ как минимум к 5 миллионам незащищенных записей.  На Freedom Mobile подписаны как минимум 1,5 миллиона абонентов, а его материнская компания принадлежит Shaw Communications, у которой более 3,2 миллиона клиентов по всей Канаде. Это, возможно, крупнейшая утечка данных, с которой когда-либо сталкивались канадские компании.

Редко можно обнаружить утечку, содержащую как данные кредитной карты, так и номера CVV, особенно при таком масштабном  нарушении конфиденциальности.

Поскольку эта утечка включает в себя незашифрованные данные кредитных карт, Freedom Mobile потенциально нарушает правила соответствия PCI (Payment Card Industry). Это может привести к серьезным последствиям в реальности как для компании, так и для ее пользователей.

Опасности взломов

Владение базой данных, содержащей данные кредитных карт, даты рождения, полные имена, адреса и номера телефонов, облегчает осуществление мошенничества с кредитными картами и хищение личных данных. Это может стоить пользователям, их банкам и страховым компаниям сотен тысяч долларов.

Незашифрованная база данных, содержащая личную информацию, является ценным ресурсом для хакеров. Доступ к адресам, электронным почтам, номерам телефонов и кредитным данным может помочь злоумышленникам реализовать сложные схемы фишинга.

Владея кредитной информацией, злоумышленники также могут осуществлять атаки в целях вымогательства выкупа, поскольку они знают, кто владеет крупными суммами.

Даже самый бдительный пользователь не сможет защитить себя от компании, которая хранит свои данные незащищёнными. Самым лучшим вариантом является использование временной карты, учетной записи или номеров CVV, привязанных к вашей учетной записи. Прочитайте наше полное руководство  для получения дополнительной информации.

О нас и предыдущих отчетах:

vpnMentor — крупнейший в мире веб-сайт, посвященный обзору VPN. Наша исследовательская лаборатория является бесплатным сервисом, который стремится помочь интернет-сообществу защитить себя от киберугроз, обучая организации защите данных своих пользователей.

Недавно мы обнаружили масштабную утечку данных, затронувшую 80 миллионов семей в США. Мы также выяснили, что Gearbest столкнулся с огромной утечкой данных. Вы также можете прочитать наши отчеты об утечке VPN и статистике защиты данных.

Пожалуйста поделитесь этим отчетом в Facebook или твитните его.

Об авторе

  • Гай Фокс
  • Гай Фокс Анонимные эксперты по кибербезопасности

Анонимные эксперты, которые пишут для vpnMentor, но держат свою личность в секрете.

Понравилась статья? Поставьте оценку!
Ужасно Удовлетворительно Хорошо Очень хорошо! Превосходно!
Проголосовало пользователей
Спасибо за обратную связь.
Комментарий Комментарий может содержать от 5 до 2500 символов.