Key Ring, leverancier van een digitale portemonnee (digital wallet app) met 14 miljoen gebruikers in Noord Amerika, stelde de persoonsgegevens bloot van miljoenen ID-, betaal- en klantenkaarten en cadeaubonnen. Deze gegevens waren openbaar in te zien voor iedereen met een webbrowser, blijkt uit onderzoek van vpnMentor.
Key Ring is niet beschikbaar in de EU omdat het bedrijf niet kon voldoen aan de eisen van de GDPR. Dat hield miljoenen Amerikanen en Canadezen niet tegen om scans en foto’s van fysieke betaal- en klantenkaarten te uploaden via de app op hun smartphone. Key Ring is eigenlijk bedoeld voor het opslaan van relatief ‘onschuldige’ klanten- en ledenkaarten voor loyaliteitsprogramma’s van winkels. Bij de kassa roept de gebruiker een afbeelding van de kaart op om deze te laten scannen en zodoende spaarpunten of kortingen te krijgen. Gebruikers kunnen echter met hetzelfde gemak hun bank- of creditcards, ID-kaarten en andere privacygevoelige kaarten opslaan in de app. Volgens het research team van vpnMentor doen miljoenen mensen dat ook.
De onderzoekers ontdekten dat een foutief geconfigureerde clouddatabase 44 miljoen van deze scans openbaar inzichtelijk maakte. Naast de hierboven genoemde kaarten vonden zij ook scans van NRA-lidmaatschapskaarten, cadeaukaarten, verzekeringskaarten. Zij vonden zelfs verzekeringskaarten waarmee medicinale cannabis gekocht kan worden. Opmerkelijk is dat veel gebruikers beide zijden van hun creditcard inscannen. Daarmee zijn ook de CVV-nummers op de achterkant van de kaart zichtbaar die vaak gebruikt worden voor extra authenticatie bij online aankopen.
De onderzoekers van vpnMentor vonden in totaal vijf foutief geconfigureerde clouddatabases van Key Ring, ook wel ‘buckets’ genoemd, in de Simple Storage Solution (S3)-dienst van Amazon Web Services (AWS). Deze buckets dienen voor de opslag van objecten die bestaan uit gegevens en de metadata die de inhoud beschrijft. “Door de verkeerde configuratie had Key Ring geen wachtwoordbeveilliging ingesteld voor de buckets”, zegt Ran Locar van vpnMentor. “Dat zorgde ervoor dat miljoenen uploads toegankelijk waren voor iedereen met een webbrowser. Bovendien kon elk bestand gedownload en opgeslagen worden.”
Volgens het onderzoek, dat vpnMentor onlangs publiceerde, ontdekte vpnMentor al in januari de eerste tekenen van een datalek in een bucket met scans van kaarten. “Dat was echter nog maar het topje van de ijsberg”, zegt Locar. “We vonden ook lijsten met klantgegevens voor loyaliteitskaarten, gesorteerd op winkelbedrijf en beschikbaar als CSV-bestand, van onder meer Walmart, Footlocker en andere grote merken.” Volgens vpnMentor bevatten deze lijsten miljoenen Persoonlijk Identificeerbare Informatie (PII), zoals namen, e-mailadressen, lidmaatschapsnummers, geboortedata, fysieke adressen en postcodes. Deze gegevens dateerden in sommige gevallen zelfs terug tot 2014.
Terwijl vpnMentor de situatie onderzocht, vond het nog vier andere onbeveiligde S3 buckets van Key Ring, met nog veel meer gevoelige informatie. “In elk van deze vier opslagomgevingen stond een ander snapshot van de interne gebruikersdatabase van Key Ring, met daarin e-mailadressen, fysieke adressen, apparaatgegevens, IP-adressen, versleutelde wachtwoorden en de bijbehorende codesleutels”, vertelt Noam Rotem van vpnMentor.
Onthulling blijft onbeantwoord
Nadat de datalekken eenmaal bevestigd waren, stelde het team van Locar en Rotem op 18 februari van dit jaar Key Ring en AWS op de hoogte van de ontdekking. De buckets werden weliswaar binnen twee dagen beveiligd, maar Key Ring reageerede zelf niet op de bevindingen van vpnMentor. “We hebben geprobeerd om contact met hen op te nemen, maar kregen daar geen reactie op”, zegt Rotem. “We namen ook contact op met Amazon, en we nemen aan dat zij Key Ring hebben aangeraden om de gegevens te beveiligen. Aangezien we niet met Key Ring hebben gesproken, weten we ook niet of het bedrijf zijn gebruikers op de hoogte heeft gesteld van het datalek.”
vpnMentor heeft de betrokken derde partijen, zoals Walmart en andere winkels, die de kaarten verstrekken, niet op de hoogte gebracht van het datalek. “De winkels treft geen blaam in dit verhaal”, zegt Rotem. “Zij nemen zelf enorm veel maatregelen rondom het delen van PII-gegevens van hun klanten. Het gaat in dit geval om individuele klanten die er zelf voor kiezen om de kaarten in te scannen en op te slaan in de digitale wallet van Key Ring.”
De onderzoekers weten niet zeker hoe lang de data openbaar toegankelijk was voordat het lek ontdekt werd. “We kunnen zelfs niet met zekerheid zeggen dat niemand anders deze S3-buckets al ontdekt had en de inhoud heeft gedownload voordat wij Key Ring op de hoogte stelden”, zegt Locar. “Als dit gebeurd is, zijn maatregelen zoals het verwijderen of verplaatsen van de blootgestelde data, of het beveiligen van de S3-buckets misschien niet afdoende. Hackers zouden nog steeds de beschikking hebben over alle financiële, persoonlijke en klantgegevens die zij lokaal, offline en onvindbaar hebben opgeslagen.”
Potentiële gevolgen
De onderzoekers van vpnMentor benadrukken dat de gegevens van Key Ring, indien zij daadwerkelijk gestolen zijn, misbruikt kunnen worden voor fraude en identiteitsdiefstal op een enorme schaal. Miljoenen mensen in Amerika en Canada kunnen daar het slachtoffer van worden. “Elke cybercrimineel die toegang heeft tot de databases kan de gegevens verkopen aan de criminele onderwereld”, zegt Locar. “Zij kunnen deze misbruiken voor identiteitsdiefstal, frauduleuze belastingaangiften, terugbetalingsverzoeken op naam van slachtoffers, creditcardfraude en fraude met online shoppen, het overnemen van accounts, het misbruiken van verzamelde spaarpunten en zelfs het afsluiten van leningen bij online kredietverstrekkers. Daarnaast stelt deze schat aan informatie de gebruikers van Key Ring bloot aan phishing en gepersonaliseerd, en daardoor erg overtuigend, e-mailbedrog.”
“Wat nog het meest opmerkelijk is aan dit incident is dat mensen er kennelijk zomaar op vertrouwen dat een bedrijf hun gegevens wel zal beveiligen”, voegt Rotem daar aan toe. “Daardoor delen ze zonder meer van alles met de leverancier, zelfs afbeeldingen van beide zijden van hun creditcard, zonder zich zorgen te maken over misbruik.”
De onderzoekers wijzen er bovendien op dat Key Ring zelf ook gevaar loopt als de databases gedownload zijn door cybercriminelen. “Ze kunnen gebruikers en partners verliezen, maar het bedrijf stelt zich ook bloot aan rechtszaken, boetes en intensief onderzoek door toezichthouders op de privacy”, zegt Locar. “Key Ring trok zich eerder al terug uit de EU omdat het bedrijf niet kon voldoen aan de regels van de GDPR. In januari van dit jaar werd in Californië de CCPA, een soortgelijke strenge privacywet van kracht. Hierdoor kan Key Ring alsnog te maken krijgen met onderzoek en boetes in deze staat. Gezien de omvang en ernst van dit datalek, kan de impact op de financiën, de reputatie en het marktaandeel van Key Ring gigantisch zijn.”
Fouten met configuraties
Foutieve configuraties komen in de cloud erg vaak voor en hierdoor zijn de gegevens van zowel grote als kleine bedrijven kwetsbaar voor cybercriminelen. Een recent onderzoek door Unit 42 toonde aan dat meer dan de helft van alle datalekken in de openbare cloud het gevolg zijn van foutieve configuratie. “Het lukt veel te veel bedrijven niet om hun gegevens te beveiligen”, zegt Rotem. “Het is daarom vooral de manier waarop ze reageren op datalekken en hoe ze daarna handelen waarmee een bedrijf dat echt om zijn beveiliging en klanten geeft zich onderscheidt van een bedrijf dat dit niet doet.”
Bron: Threatpost