Les navigateurs Web pour les développeurs exposent les données des utilisateurs

14 mars 2020
alexandre

Chercheurs Noam Rotem et Ran Locar, vpnMentor & # 39; s L'équipe de sécurité a récemment découvert Fuite de données affectant le navigateur Blisk, un navigateur Web conçu spécifiquement pour le développement Web.

D'après des recherches de Noam et Ran Il semble que le navigateur Blisk collecte des données auprès de l'utilisateur et ignore les mesures de sécurité définies par l'utilisateur.

Ceci est une fuite de big data 3,4 Go de données au total - plus de 2,9 millions d'enregistrements ont été exposés. Des milliers de développeurs Web à travers le monde restent vulnérables aux attaques en ligne et à la fraude.

Il est mauvais que Blisk ait été conçu pour collecter des données utilisateur, mais il est encore pire de divulguer ces données.

Profil d'entreprise-Navigateur Blisk

Blisk est un navigateur Web personnalisé pour les développeurs Web, les concepteurs UX et les ingénieurs Web.

Il fournit des équipes de développement Web et des pigistes Espace de travail unique pour créer et tester des conceptions de sites Web et d'applications en temps réel avant de commencer ou de mettre en œuvre des modifications dans un environnement en ligne en direct.

Fondé en 2014, Blisk jouit d'une grande popularité parmi les développeurs Web du monde entier. De nombreux clients professionnels bien connus: NASA, Microsoft, Apple, eBay, UNICEF, etc.

Chronologie de la découverte et réaction du propriétaire

Parfois, le degré de violation des données et le propriétaire des données deviennent clairs, ce qui résout rapidement le problème. Mais maintenant c'est rare. Plus important encore, il a besoin de quelques jours d'enquête avant de comprendre qui fuit ou qui fuit des données.

Pour comprendre les violations et leur impact, vous devez être prudent et investir votre temps. Google travaille dur pour publier des rapports précis et fiables, afin que tous ceux qui les lisent puissent comprendre leur sérieux.

Certaines parties concernées rejettent les faits et ignorent l'étude ou la réduisent. Nous devons donc être minutieux et nous assurer que tout est correct et vrai.

L'équipe a identifié Blisk comme le propriétaire de la base de données, puis a signalé la vulnérabilité à l'entreprise. Blisk a répondu rapidement et la violation a été classée.

  • Date de découverte: 2/12/19
  • Date à laquelle le fournisseur a été contacté: 4/12/19
  • Date de réponse: 19/12/19
  • Date d'action: 19/12/19

Exemples d'entrées de base de données

Sur la base des résultats de notre équipe La base de données exposée contient plus de 2,9 millions d'enregistrements individuels d'utilisateurs de Blisk. Il s'agit de 3,4 Go de données, une grande quantité d'informations qui ont été publiées.

Chacun de ces éléments contient des données personnelles sensibles sur les utilisateurs de Blisk, notamment:

  • Plus de 1 000 adresses e-mail, y compris l'adresse e-mail ca.gov
  • Adresse IP
  • Détails de l'agent utilisateur

Des fuites ont affecté les utilisateurs de Blisk dans le monde entier. Au cours de l'enquête, nous avons confirmé les informations entrées par les utilisateurs de divers pays.

  • Allemagne
  • La France
  • Britannique
  • La Chine
  • Italie
  • La russie
  • Japon
  • Australie
  • Le Brésil
  • République tchèque
  • Afrique du sud
  • La Hongrie
  • En savoir plus

Il y a quelques problèmes avec cette violation de données. D'abord et avant tout Blisk n'a pu en aucune façon protéger les données.

Deuxièmement, La nature de la collecte de données.

Dernier point mais non le moindre Le navigateur Web de Blisk contourne activement les mesures de sécurité des utilisateurs. Le navigateur «sait» ce que voit l'utilisateur, vous pouvez donc ignorer tout le chiffrement, l'authentification à deux facteurs et d'autres mesures. De graves violations de sécurité peuvent se produire si les utilisateurs utilisent un logiciel non sécurisé.

Quelles que soient les mesures de sécurité que vous prenez lors de l'utilisation de Blisk, il est possible que vos données fuient.

Impact de la fuite de données

Les données exposées à cette violation incluent l'adresse e-mail, l'adresse IP et les détails de l'agent utilisateur. La divulgation d'informations sur cette violation a un impact sérieux.

Détails de l'e-mail

Lorsqu'une adresse e-mail est exposée, ces informations peuvent être utilisées de différentes manières.

Par exemple, non seulement une adresse e-mail peut être du spam en tant que message indésirable, Les cybercriminels peuvent envoyer des e-mails de phishing (e-mails conçus pour collecter des informations telles que des informations de connexion, des mots de passe ou des informations financières) et des liens vers des sites Web infectés par des logiciels malveillants.

Les développeurs Web s'attendent à pouvoir reconnaître les e-mails de phishing et autres contenus malveillants, mais même si la personne malveillante peut envoyer des e-mails qui ressemblent à la newsletter de Blisk, même les experts peuvent vous tromper!

Adresse IP

C'est un mythe que les adresses IP peuvent révéler des détails d'identité, mais elles peuvent être exploitées même si les pirates peuvent y accéder.

Par exemple, un pirate malveillant peut utiliser un analyseur de port pour rechercher des services exécutés sur un ordinateur, y compris le système d'exploitation (système d'exploitation), puis vérifier si d'anciens services (faibles) s'exécutent sur l'ordinateur. C'est comme un vol qui trouve un moyen facile de rentrer à la maison.

Il existe d'innombrables options permettant aux pirates d'exploiter les vulnérabilités découvertes de cette manière (y compris l'utilisation de programmes malveillants ou de chevaux de Troie pour accéder à votre ordinateur, exposant toutes sortes de données à risque)! Les cybercriminels peuvent également utiliser des attaques DoD (déni de service) pour arrêter de force les connexions Web.

Bien entendu, les pirates peuvent également vendre des données collectées sur le Dark Web.

Données d'agent utilisateur

Les données de l'agent utilisateur ne sont pas très dangereuses, Si les cybercriminels ont accès à ces informations, ils peuvent créer des exploits personnalisés susceptibles de réussir dans certains paramètres du navigateur et du système d'exploitation. Cela est particulièrement utile lorsque les développeurs travaillant sur des applications sensibles peuvent cibler des attaques de chaîne d'approvisionnement typiques.

Conseils d'experts

Blisk aurait pu facilement éviter ces fuites s'il avait pris des mesures de sécurité de base pour protéger la base de données. Ceux-ci incluent, mais ne sont pas limités à:

  1. Protégez votre serveur.
  2. Mettez en œuvre les règles d'accès appropriées.
  3. Ne divulguez pas les systèmes qui ne nécessitent pas d'authentification sur Internet.

Toute entreprise, quelle que soit sa taille, peut reproduire les mêmes étapes.

Pour plus d'informations sur la façon de protéger votre entreprise Guide de sécurité du site Web Et la base de données en ligne du pirate.

Pour les utilisateurs de Blisk

Si vous êtes un développeur Web utilisant Blisk et que vous êtes préoccupé par l'impact de ces violations sur vos utilisateurs, Contactez directement l'entreprise et demandez-leur d'expliquer exactement comment résoudre le problème.

En général, pour en savoir plus sur les vulnérabilités des données Guide complet de la confidentialité en ligne.

Il montre les différentes façons dont les cybercriminels ciblent les utilisateurs d'Internet et les mesures qu'ils peuvent prendre pour rester en sécurité.

Nous suggérons également Masquez l'adresse IP à l'aide d'un VPN. C'est un moyen rapide et facile d'ajouter des couches de protection supplémentaires lorsque vous êtes en ligne.

Comment et pourquoi nous avons constaté la violation

L'équipe de recherche vpnMentor a découvert une faille dans la base de données Blisk dans le cadre d'un énorme projet de cartographie Web. Les chercheurs utilisent l'analyse des ports pour examiner des blocs IP spécifiques et tester les trous ouverts du système pour vérifier les faiblesses. Chaque trou est inspecté pour détecter les fuites de données.

Lorsqu'il détecte une violation de données, il utilise une technologie professionnelle pour vérifier l'identité de la base de données. L'entreprise est alors informée de la violation. Si possible, il prévient également les personnes touchées par la violation.

Notre équipe a pu accéder à cette base de données car elle n'est pas totalement sécurisée et non cryptée.

L'entreprise utilisait généralement une base de données Elasticsearch qui n'était pas conçue pour une utilisation URL. Cependant, j'ai pu exposer le schéma de la base de données en y accédant via un navigateur et en manipulant les critères de recherche d'URL.

Le but de ce projet de cartographie Web est d'aider tout le monde à utiliser Internet en toute sécurité.

En tant que hacker éthique, nous devons informer l'entreprise si nous trouvons des failles dans la sécurité en ligne.

Cette éthique signifie également que nous sommes responsables du public. Les utilisateurs de Blisk doivent être conscients des violations de données affectées.

Rapports d'entreprise et de transfert

Mentor Il s'agit du plus grand site Web d'examen de VPN au monde. Notre laboratoire est un service gratuit qui aide les communautés en ligne à se défendre contre les cybermenaces et à éduquer les organisations à protéger leurs données.

Notre équipe de recherche sur la sécurité éthique a découvert et divulgué les violations de données les plus influentes de ces dernières années.

Cela impliquait une violation massive des données. Nous exposons les données de 10 000 restaurants américains. En outre, une société détenue par AccorHotels, un géant hôtelier européen, Confidentialité et sécurité des clients de l'hôtel dans le monde entier. Vous pouvez également nous lire Rapport de fuite VPN et rapport de statistiques de confidentialité des données.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *