Wiele powszechnie używanych aplikacji do udostępniania przejazdów i innych aplikacji podróżniczych ma poważne luki w zabezpieczeniach po stronie serwera.Zespół badawczy PrivacySavvy odkrył grupę aplikacji turystycznych, których serwery są całkowicie otwarte i dostępne, ostatecznie udostępniając prywatne dane użytkowników każdemu.Większość aplikacji wycieka dane za pośrednictwem swoich subdomen, a ujawnione dane stwarzały ryzyko dla wielu stron.
Pierwsze w swoim rodzaju badania prowadzone pod przewodnictwem Sarmada Khana i Huynha ChenaPrivacySavvy przetestował bezpieczeństwo ponad 20 wiodących na świecie aplikacji turystycznychaby zrozumieć, w jaki sposób zarządzają zagrożeniami dla prywatności i bezpieczeństwa użytkowników. Niestety większość z nich zakończyła się niepowodzeniem.
Tenbrak podstawowych środków bezpieczeństwaw aplikacjach podróżujących jest nie tylko szokujące, ale także pokazuje całkowite lekceważenie standardowych praktyk bezpieczeństwa, które te aplikacje mają stosować.
Które aplikacje turystyczne narażają dane użytkowników na ryzyko?
Ze względu na zasadę odpowiedzialnego ujawniania informacji i umowy NDA firma PrivacySavvy nie może ujawniać nazw aplikacji.
Ponadto, zgodnie z naszą wiedzą, większość firm nie naprawiła jeszcze zgłoszonych luk w zabezpieczeniach. Ujawnienie ich nazw może umożliwić złośliwym hakerom zaatakowanie ich i błyskawiczne wykorzystanie danych użytkowników. Wszystko, czego pragnie PrivacySavvy, to uczynić Internet bezpieczniejszym miejscem dla przeciętnych użytkowników, nie narażając przy tym nikogo na ryzyko.
Dotknęło to miliony użytkowników
Chociaż nie możemy ujawnić nazw aplikacji,możemy podzielić się z Tobą wynikami i zabezpieczonymi próbkami ujawnionych baz danych.
Zespół badawczy PrivacySavvy wybrał wszystkie aplikacje na podstawie pozytywnych recenzji i liczby pobrań. Nie oceniano aplikacji pochodzących z poszczególnych hoteli, linii lotniczych i wypożyczalni samochodów. Testowaliśmy głównie aplikacje do publicznego udostępniania przejazdów i rezerwacji.
Łączna liczba pobrań aplikacji, o których mowa, wynosiaż 105 milionów,według naszych obliczeń. Liczba ta mogła być jeszcze większa, ale na szczęście nie wszystkie ocenione przez nas aplikacje miały luki w zabezpieczeniach.
Przykład ujawnienia danych wrażliwych
Narażenie na informacje wrażliwe ma miejsce, gdy firma, aplikacja lub inny podmiot nieświadomie ujawnia dane osobowe. Narażenie wrażliwych danych różni się od naruszenia danych, w wyniku którego osoba atakująca uzyskuje dostęp do danych i je kradnie.
Zdarza się, że ujawniane są informacje prywatnegdy właściciel bazy danych nie zapewni odpowiedniej ochrony bazy danych przechowującej wrażliwe informacje. Może to być wynikiem wielu czynników, takich jak brak szyfrowania, słabe szyfrowanie, wady oprogramowania itp.
W przypadku ujawnienia danych wrażliwych mogą zostać ujawnione różne typy danych, w tym:
- Numery kart kredytowych
- Numery rachunków bankowych
- Tokeny sesji
- Dane dotyczące opieki zdrowotnej
- Numer ubezpieczenia społecznego
- Numery telefonów
- Daty urodzenia
- Adres domowy
- Informacje o koncie użytkownika, takie jak nazwy użytkowników i hasła
Nasz zespół badawczyodkrył takie wrażliwe dane, które odsłoniły krytyczne luki w zabezpieczeniach wielu aplikacji turystycznych, głównie w swoich subdomenach, tj. „prcing.ridesharingappname.com.” (Ze względu na umowy NDA i zasadę odpowiedzialnego ujawniania, których musimy przestrzegać, użyliśmy tej domeny założeń). Za pośrednictwem tych subdomen osoba atakująca może z łatwością wyciągnąć ukrytekatalog .gitktóry ujawnia następujące wrażliwe informacje.
Uderzenie
Osoba atakująca, zdobywając takie informacje, może przeprowadzić wyrafinowane ataki za pomocą zapytań SQL, prowadzące do wstrzyknięcia SQL i pełnego naruszenia bezpieczeństwa bazy danych, narażając tysiące użytkowników na ryzyko.
Rady ekspertów
Dla platform
Właściciele baz danych mogą uniknąć potencjalnego narażenia wrażliwych danychpoprzez podjęcie jedynie podstawowych środków bezpieczeństwa. Zanim zastosujesz aplikacje lub oprogramowanie do zarządzania jakimkolwiek obszarem swojej działalności, upewnij się, że przestrzegają one najlepszych praktyk w zakresie bezpieczeństwa danych.
Jeśli Twoja firma wymaga przetwarzania danych zewnętrznych, np. danych osób korzystających z przejazdu lub innych osób,musisz upewnić się, że te dane są dobrze chronione przed złośliwymi hakerami. Niezależnie od wielkości, każda firma może odtworzyć takie problemy poprzez:
- Wdrażanie odpowiednich reguł dostępu.
- Zabezpieczenie nie tylko domeny głównej, ale także subdomen.
- Nigdy nie zostawiaj systemu, który nie wymaga uwierzytelnienia, otwartego na Internet.
- Nie udostępnianie publicznie plików zawierających wrażliwe dane, takie jak .git, i upewnianie się, że nigdy nie przechowują ich na serwerach produkcyjnych.
Dla użytkowników
Ponieważ zgłosiliśmy znalezione luki wszystkim odpowiednim firmom, istnieje duże prawdopodobieństwo, że wkrótce będziesz już bezpieczny. Jednak nie wszystkie firmy potwierdziły już pomyślne wprowadzenie poprawek. Również,W dzisiejszych czasach bezpieczeństwo nigdy nie jest czymś oczywistym.
Jeśli obawiasz się, że Twoje dane mogą zostać naruszone, poświęć trochę czasu iskontaktuj się ze wszystkimi aplikacjami turystycznymi (takimi jak aplikacje do udostępniania przejazdów i rezerwacje lotów), z których ostatnio korzystałeś, aby zapytać o praktyki w zakresie bezpieczeństwa danych. To Twoje bezpieczeństwo, nie ma nic złego w przejęciu o niego kontroli – jako użytkownik najlepiej będzie, jeśli je przesłuchasz. Twój mały krok polegający na kwestionowaniu aplikacji sprawi, że Internet stanie się bezpieczniejszym miejscem dla wszystkichpopchnij te platformy, aby poszły o krok dalej.
Zalecane jest również udanie się do naszegonajlepszy przewodnik po prywatności i bezpieczeństwie w Internecie. Odkrywa wiele sposobów, za pomocą których cyberprzestępcy mogą dziś atakować Ciebie i Twoje dane, a także przydatne kroki, które możesz podjąć, aby zachować bezpieczeństwo.
Jak i dlaczego PrivacySavvy odkrył luki w aplikacjach turystycznych
Zespół badawczy PrivacySavv odkrył, że wiele aplikacji do udostępniania przejazdów i innych aplikacji podróżniczych ujawnia dane użytkownikówczęścią dużego projektu mapowania aplikacji w ramach jednego z naszych postanowień na rok 2021. Nasi badacze w białych kapeluszach korzystają z różnych narzędzi bezpieczeństwa, aby testować otwarte luki w różnych systemach (używanych przez ogół społeczeństwa) pod kątem słabych punktów. Następnie dokładnie oceniają każdą dziurę pod kątem potencjalnego wycieku danych.
Po stwierdzeniu narażenia danychnasi badacze korzystają z technik eksperckich w celu weryfikacji tożsamości baz danych pod kątem potencjalnej dotkliwości narażenia. Następnie powiadamiamy odpowiedniego właściciela bazy danych o luce. Jeśli to możliwe, współpracujemy również z firmą, której dotyczy problem, w celu szybkiego rozwiązania problemu.
Nasi badacze mieli dostęp do zapytań do baz danych różnych aplikacji podróżniczych, takich jakwiele z nich miało krytyczne luki w zabezpieczeniach. Niektórzy mieli nawet całkowicie niezaszyfrowane i niezabezpieczone bazy danych.
Celem tegoprojekt mapowania aplikacjima pomóc w zwiększeniu bezpieczeństwa aplikacji, z których korzystają zwykli użytkownicy. Jako całość chcemy, aby Internet był bezpieczniejszym miejscem dla wszystkich.
Jako etyczni hakerzy jesteśmy nie tylko zobowiązani, ale także zaangażowani w informowanie firmy lub jej użytkownikówkiedy odkryjemy błędy w ich zabezpieczeniach online. Jest to szczególnie prawdziwe w przypadkach, gdy ujawnione dane zawierają wrażliwe informacje użytkowników lub firm. Jak sugeruje nasza nazwa PrivacySavvy,etyka, którą się kierujemy, oznacza także, że mamy zobowiązania wobec społeczeństwa. Chcemy, aby każdy użytkownik Internetu był świadomy prywatności i wierzymy, że każdy zasługuje na świadomość potencjalnego naruszenia jego danych oraz konsekwencji, jakie może to mieć dla jego interesów.
O naszym laboratorium badawczym
Ochrona prywatnościto szybko rozwijające się centrum zasobów VPN i bezpieczeństwa cyfrowego. Nasze laboratorium badawcze składa się z grupy badaczy bezpieczeństwa Whitehat, którzy starają się pomóc przeciętnym użytkownikom Internetu w obronie przed stale ewoluującymi zagrożeniami cybernetycznymi, jednocześnie edukując firmy w zakresie ochrony danych użytkowników.