보고서: OfficeDepotEurope은 온라인으로 고객 데이터를 게시합니다.

2021년 3월 3일, 보안 연구원인 Jeremiah Fowler와 웹사이트 Planet 연구팀은 비밀번호로 보호되지 않고 거의 100만 개의 레코드를 포함하고 있는 Elasticsearch 데이터베이스를 발견했습니다. 노출된 기록에는 '생산'이라는 라벨이 붙어 있었고 고객 이름, 전화번호, 실제 주소 등이 포함되어 있었습니다. 모니터링 및 파일 로그는 공개적으로 접근할 수 없어야 하는 많은 내부 기록을 노출시켰습니다.

많은 음반 샘플에서 OfficeDepot이 여러 곳에서 언급됩니다. 우리는 즉시 OfficeDepot에 책임 공개를 보냈고 몇 시간 내에 데이터베이스가 보호되었습니다. 3월 5일, Office Depot 유럽 보안 운영 팀의 팀원으로부터 데이터 침해에 대한 알림과 인식 제고에 감사하다는 답변을 받았습니다.

이 유출로 인해 사이버 범죄자는 사회 공학 공격을 위해 고객을 표적으로 삼거나 해당 계정에 액세스를 시도할 수 있는 충분한 정보를 얻었을 수 있습니다.

데이터베이스에 포함된 콘텐츠:

총 레코드 수: 974050 공개 인덱스 유형에는 kibana 모니터링, Apm 메트릭, 파일 비트 및 하트비트 로그가 포함됩니다. 데이터세트에는 호스트 이름, IP 주소, 경로 등 "Officedepot"에 대한 참조가 많이 있어 서버가 해당 서버에 속해 있음을 나타냅니다. 노출된 데이터에는 *SSH 로그인, 내부 직원 대시보드 및 사용자 그룹 로그는 물론 유럽 고객 기록(대부분 독일인)이 포함됩니다. *(SSH는 서버 또는 원격 시스템에 대한 보안 연결을 지원합니다.) 기록은 "프로덕션"으로 표시되며 이름, 전화번호, 실제 주소(집 및/또는 사무실), @회원과 같은 고객 PII를 포함합니다. eBay 주소 및 해시된 비밀번호. 이번 침해로 인해 시장 로그와 주문 내역도 노출되어 고객의 과거 구매 내역과 비용도 노출되었습니다. 데이터베이스가 랜섬웨어나 기타 악의적인 공격의 위험에 처해 있습니다. 취약점에 대한 2차 경로를 제공하기 위해 미들웨어 또는 빌드 정보를 제공합니다. (미들웨어는 타사 소프트웨어 애플리케이션을 연결하며, 오래되었거나 패치가 적용되지 않은 미들웨어는 네트워크에 대한 백도어 역할을 할 수 있습니다.) 더 많은 기술 기록에는 사이버 범죄자가 네트워크에 더 깊이 침투하는 데 사용할 수 있는 IP 주소, 포트, 경로 및 저장 정보가 포함됩니다. 개인 정보 보호에 미치는 영향

불필요한 데이터 유출은 고객과 노출된 내부 네트워크에 잠재적인 위험을 초래합니다. 악의적인 행위자가 정보를 훔쳐 사기 목적으로 사용할 가능성은 항상 존재합니다. 인터넷에 연결된 사람은 누구나 이러한 기록에 접근할 수 있습니다.

참고: 우리는 찾은 데이터를 다운로드하거나 추출하지 않으며 확인을 위해 몇 개의 스크린샷만 찍습니다. 우리는 사용자나 고객의 개인정보를 보호하기 위해 잠재적으로 민감한 정보를 수정합니다.

PII가 포함된 모든 기록은 유럽 연합에 기반을 두고 있으며 많은 기록이 독일을 참조합니다. EU에는 매우 명확한 데이터 보호 규칙과 재정적 처벌이 있습니다. 2018년 5월 25일, 유럽연합은 일반 데이터 보호 규정(GDPR)을 통과시켰습니다. 이러한 변화로 인해 데이터 보호 규제 기관은 막대한 벌금을 부과하고 엄격한 보고 지침을 적용할 수 있게 되었습니다. 최대 벌금 금액은 최대 2천만 유로 또는 회사의 전 세계 연간 매출액의 4% 중 더 높은 금액입니다. EU 내 데이터 노출은 72시간 이내에 관련 당국에 보고되어야 합니다. 모범 사례 및 위험

귀하가 소유한 모든 서버에 대한 액세스를 제한하도록 적절하게 구성하는 것 외에도 모든 데이터를 암호화하는 것이 좋습니다. 회사와 조직은 계속해서 민감한 데이터를 일반 텍스트로 수집 및 저장하거나 오래된 암호화 알고리즘을 사용합니다. 가장 큰 실수 중 하나는 레코드를 암호화하지만 동일한 데이터베이스에 암호화 키를 포함하는 것입니다. 이를 통해 누구나 간단히 데이터 잠금을 해제하여 이러한 기록에 대한 완전한 접근 권한을 가질 수 있습니다.

취약점 관리에는 패치 관리와 업데이트가 매우 중요합니다. 보안 환경은 항상 변화하고 있으며 애플리케이션과 미들웨어를 최신 상태로 유지하는 것이 이러한 위험을 완화하는 가장 좋은 방법 중 하나입니다. 오래된 소프트웨어 버전으로 인해 오래된 취약점이 발생할 수 있습니다.

모니터링 및 오류 로깅의 가치를 결코 과소평가하지 마십시오. 로그 파일의 실제 위험은 네트워크의 더 큰 그림을 만들기 위해 동시에 퍼즐 조각 역할을 하는 작은 데이터 덩어리를 노출할 수 있다는 것입니다. 여기에는 맬웨어, 운영 체제 또는 클라우드 저장소 계정에 대한 두 번째 경로 역할을 할 수 있는 미들웨어에 대한 세부 정보가 포함될 수 있습니다.

사이버 범죄자나 국가 해커가 네트워크나 인프라가 어떻게 설정되고 운영되는지 이해하면 공격 계획을 쉽게 시작할 수 있습니다. 우리는 OfficeDepotEurope이나 그 고객이 이 공격의 표적이 되었다고 암시하는 것이 아니라 이러한 노출이 어떻게 악용될 수 있는지에 대한 잠재적 위험을 강조합니다.

이 경우 공개해서는 안 될 내부 기록이 많았습니다. 개인 식별 정보(PII)가 노출되면 해당 개인을 타겟팅하는 기능이 단순화됩니다. 사이버 범죄자가 이 정보를 확보하면 계정별 정보를 참조하여 고객이나 직원을 직접 표적으로 삼을 수 있습니다. 예를 들어, 범죄자가 고객에게 전화를 걸어 최근 주문을 확인했다고 가정해 보겠습니다. 다음으로, 범인은 귀하의 결제 정보에 문제가 있다고 말했습니다. 구매에 대한 신용 카드 번호를 알려주시겠습니까? 판매점만이 알고 있는 실제 내용을 발신자가 확인할 수 있기 때문에 고객은 이를 의심할 이유가 없습니다. 이것이 바로 사회 공학 공격이 작동하는 방식이며 오늘날 가장 일반적인 사기 형태 중 하나입니다. 실제 매장에서 전자상거래까지

Office Depot Europe은 미국 회사인 Office Depot Inc.의 유럽 사업부입니다. 2017년 1월, Aurelius Group은 Office Depot의 유럽 사업부를 인수했습니다. 네덜란드 Venlo에 본사를 둔 Office Depot Europe은 두 가지 주요 브랜드인 Office Depot과 Viking을 통해 13개국에서 운영되고 있으며 프랑스와 스웨덴에 소매점을 두고 있습니다. OfficeDepotEurope은 Viking 브랜드로 중소기업 및 개인에게 직접 온라인으로 제품을 판매합니다.

이러한 기록 중 다수는 OfficeDepot의 eBay 매장과 관련된 것으로 보입니다. 고객 이름, 전화번호, 실제 주소, @members가 있습니다. 이베이. com 계정과 해시된 비밀번호. 여기에는 B2C(Business to Customer) 또는 B2B(Business to Business)와 같은 고객 유형, 온라인 고객 번호 및 백엔드 고객 번호가 포함됩니다.

OfficeDepotEurope은 빠르고 전문적인 방식으로 데이터를 보호하고 공개 액세스를 제한합니다. 데이터가 얼마나 오랫동안 노출되었는지, 또 누가 기록에 접근했는지는 불분명합니다. BinaryEdgeIoT 검색 엔진에 따르면 노출된 포트는 2021년 2월 22일 오전 10시 31분에 처음 감지되었습니다. 이는 데이터베이스가 최대 10일 동안 공개 액세스를 허용하도록 잘못 구성되었을 수 있음을 의미합니다. 비밀번호 없는 데이터베이스를 표적으로 삼는 자동화된 랜섬웨어나 기타 악성 스크립트에 의해 데이터가 손상되지 않았다는 것은 기적입니다.