社交市场Trustanduse暴露了近50万用户信息

社交市场网站 trustanduse.com 上的安全漏洞暴露了包括许多企业在内的约 439,000 名用户的数据至少六个月。

在提供数字服务的平台上披露个人数据总是有风险的。Cybernews 研究团队确定了一个可公开访问的数据库，其中存储了多达 855GB 的敏感用户和业务数据，这些数据属于社交市场 trustanduse.com。

泄露的数据库于 6 月 21 日首次被发现，并且至少六个月内仍可能被威胁行为者访问。

敏感信息暴露

Trustanduse.com 是一个供消费者对产品、服务、专业人士和商店进行评级以及获得优惠和折扣的平台。该公司成立于 2016 年，总部位于雅典。

被发现的数据库包括敏感数据，例如用户名、个人全名、Facebook ID、电话号码和使用 BCrypt 算法散列的密码，这些数据被认为是安全的。

研究人员确保，当犯罪者使用窃取的帐户凭据未经授权访问其他系统上的用户帐户时，撞库攻击不太可能发生。

然而，威胁行为者可以将这些数据用于垃圾邮件和鱼叉式网络钓鱼活动，最常见的形式是试图欺骗受害者，让他们交出金钱或更多有价值的信息。

在调查期间，研究人员能够查看可公开访问的信息以及与业务相关的数据，例如有关产品、服务和合作伙伴关系的信息。

数据库中的信息表明 trustanduse.com 与一家名为 Galaxias 的希腊连锁超市建立了积极的合作关系。

因为它包括其供应商、促销信息、收据以及超市员工对其网站的特殊访问权限。

由于该网站没有实施适当的身份验证，研究人员能够查看该公司最有可能开发的应用程序编程接口 (API) 的文档和沙箱环境。该公司没有在其网站上透露它开发了这个 API。

让这些数据公开访问可能会对企业产生负面影响，因为它会暴露商业秘密。

泄露的信息揭示了他们合作的公司、市场战略以及公司的运作方式。它还泄露了对其产品的访问权限，例如 API。

所有这些信息都可以用来收集关于他们如何运作、他们的合作伙伴是什么、他们的产品之间的联系以及他们的整体业务战略的见解。

trustanduse.com 网站可能不再运营，至少从它在社交媒体渠道上似乎已经沉默这一事实来看是这样。

然而，发现的数据库已被主动更新，因此数据仍可用于未来的项目、出售给第三方或被威胁者利用。

发现对数据库的轻松访问

研究团队通过使用开源情报方法 (OSINT) 发现了一个 Elasticsearch 实例，该方法是识别、收集、处理和分析从公开来源（例如社交媒体平台、深度网络）请求获得的信息的过程论坛以及其他在线社区和平台。

在 6 月发现之后，研究人员在 2022 年 10 月和 2022 年 12 月在不同的互联网协议 (IP) 地址上反复检测到相同的数据库。

发现的数据库未在生产环境中使用，而是用于测试或备份原因。

然而，调查结果引起了严重关注，因为数据库包含敏感信息，并且爬行平台显示缺乏适当的身份验证来访问该网站。

安全问题不容忽视

研究人员警告说，此类泄漏表明在开发数字平台时 DevSecOps（开发、安全和运营）框架的实施存在问题。

该框架从开发之初就促进了内置的安全方法。

通过使用监控工具检查是否无法从互联网访问敏感资源，可以避免配置错误，例如 trustanduse.com。

研究人员敦促在 trustanduse.com 上拥有帐户的每个人都将数据泄露考虑在内并采取相应行动：

• 如果您在这些平台上使用相同的凭据，请更改其他平台上的用户名；

• 谨慎检查任何新电子邮件，因为用户可能会收到网络钓鱼攻击。用户不应打开来自未知发件人的邮件，采取额外步骤验证发件人地址的合法性，最重要的是，不要点击可疑电子邮件中提供的任何链接；

• 用户应更改密码；

• 泄露的 Facebook ID 可以帮助威胁行为者识别用户，因此尽可能少地在您的公开 Facebook 个人资料上分享；

• 尽量避免接听陌生号码的短信和电话。告诉您的电话服务提供商您的电话号码被发现存在数据泄露问题，并且他们会在更改用户帐户之前使用额外的身份检查。