当联系Bizongo关于数据泄漏的问题时,他们没有对研究人员做出回应。
在线包装市场Bizongo遭受了数据泄漏,该公司使高度敏感的客户信息不安全,并可能暴露给黑客和其他恶意个人。该事件背后的原因是该公司的AWS S3数据存储桶配置错误。
截至2020年12月下旬,数据泄漏已由Website Planet安全研究人员发现,但现在也已共享了其详细信息。据研究人员称,他们立即就此事件与Bizongo联系,但未收到任何回应。
截至2020年12月下旬,我们的团队发现Bizongo拥有的配置错误的存储桶,使高度敏感的客户信息不安全,并可能暴露给黑客和其他有害个人。考虑到违规的规模,可能有上千家企业受到影响,还有数十万人。
Bizongo是一个在线包装市场,拥有覆盖多个行业的400多个客户的庞大网络,迄今为止已交付了8.6亿个包装。
通过Bizongo收到包裹或向公司下订单的任何人都有遭受数据泄露的风险
公司名称和位置: | Bizongo,总部位于印度。 |
大小(以GB和记录量为单位): | 643GB,其中包含2,532,610个文件。 |
数据存储格式: | AWS S3存储桶 |
受影响的国家: | 印度 |
泄露了哪些数据以及多少数据?
但是,在2021年1月8日,团队再次检查了AWS S3数据存储桶,发现漏洞已经关闭。在此期间,大约泄露了2,532,610个文件,相当于643GB的数据。
值得注意的是,Bizongo向公众公开了其AWS S3数据存储桶,使任何人都可以访问数据宝库,而无需任何密码甚至是最简单的安全身份验证形式。
根据Website Planet的报告,暴露的存储区包括PII和Bizongo的Bizongo的付款数据。其中包括以下内容:
Bizongo将客户数据放在不正确配置的错误使用的Amazon Web Services(AWS)S3存储桶中,该存储桶是一种广泛使用的云存储服务。在一段时间内,潜在有害的第三方可以访问买卖双方的姓名,地址,编号和财务详细信息。
结果,公开了2,532,610个文件,相当于643GB的数据。Bizongo的存储桶在发现时就处于活动状态,其中包含一些带有最新日期的文件。
根据我们的安全团队的说法,存储桶中存储了两种不同类型的文件。如下面的示例所示,客户票据和运输标签没有担保。
客户账单暴露在数据泄露中。一些泄漏的账单看起来有所不同,也许稍大一些。
运输标签也被暴露在外。
目前尚不知道此数据不安全的确切时间段。但是,我们可以告诉您,该漏洞是在2020年12月30日发现并报告的。尽管我们从未收到Bizongo关于此数据泄露的回复,但Website Planet安全团队于2021年1月8日再次检查了该数据段违反已关闭。
Bizongo与750多家制造商合作,为400多家客户提供包装。这意味着可能有超过一千家企业受到影响。
鉴于一个企业可以订购一个地址,而另一企业可以将包装发送到多个地址,或通过多个名称下订单,因此很难确切地知道有多少人受到影响。当然有成千上万的人处于危险之中,考虑到Bizongo的业务规模,其潜在危险可能会更多。
尽管印度尚未颁布具体的数据保护法规,但Bizongo仍应对任何不当披露个人数据负有责任。受影响的个人完全有权寻求法律诉讼和赔偿。
Bizongo是一个企业对企业的品牌,这意味着此数据泄露行为将主要影响其他企业,而不是普通大众。
Bizongo的主要重点是为印度企业提供服务,没有证据表明它们的服务已超出印度的范围。尽管该公司刚刚将其网站域名更改为“ dotcom”,但这暗示着国际业务的潜力。
Bizongo的已知客户包括:Saso, Jodhpur, Delhivery, Box 8, Bunge, Neolite, snapdeal, Carnival Group, Jio, Cure.fit, swiggy and Flipkart。这些客户有可能受到违反的影响。
使用Bizongo平台的任何印度企业或包装供应商也有遭受此数据泄露的风险。有关各方应向Bizongo自己寻求有关其数据和此违规行为的进一步澄清。
Bizongo是一个B2B在线包装市场,可简化为印度各地企业提供的包装解决方案的采购和交付。Bizongo将客户与包装制造商的产品联系起来,从而缩短了谈判过程。他们是一家相对较新的公司,成立于2015年,目前雇用250-500名员工。
到目前为止,Bizongo已在全国范围内交付了8.6亿个包装,其包装解决方案为零售,物流,工程,化妆品,电子商务等许多行业提供了解决方案。Bizongo已经筹集了超过7900万美元的资金,投资者在2021年初承诺了900万美元(按紧缩基准)。
尽管AWS S3存储桶是Amazon产品,但Amazon对此数据泄露概不负责。暴露可能是Bizongo方面人为错误的结果,从而导致配置错误。
我们无法确定不安全的数据是否已被不道德的黑客和诈骗者访问。但是,很可能已经发现泄漏的数据,在这种情况下,用户应注意许多风险。
如前所述,Bizongo被要求为其客户和合作伙伴的数据提供足够级别的安全性。尽管违反该“规则”尚无法律处罚(截至目前),但受影响的各方有权在其数据泄露时提起法律诉讼并获得赔偿。
这种数据泄露还可能损害Bizongo的声誉,导致业务损失是普遍的结果。
Bizongo未能正确保护客户及其关联品牌的数据,这使他们成为一个不可信任的组织。希望试用该平台的企业现在可以完全避免使用Bizongo。
如果Bizongo无法确保其客户和合作伙伴的安全,那么那些现有的客户和合作伙伴也可能希望在其他地方开展业务。
这是利用间谍活动(间谍活动)来获得商业上或商业上优于商业竞争者的优势的行为。
数据泄露使Bizongo以及暴露其信息的所有供应商和客户面临这种威胁。黑客可能会冒充企业或客户的身份来访问机密信息(例如帐户),甚至是商业机密。
竞争对手将能够窃取信息,并能够获取价格点和客户详细信息,从而轻易削弱和破坏Bizongo的业务运营。
漏洞是在2020年12月30日发现的,我们在同一天将漏洞告知了Bizongo。我们还于2021年1月2日向AWS披露了该违规行为。
Bizongo没有响应我们的努力。我们的安全小组于1月8日再次检查了aws的状态。幸运的是,发现该存储桶是安全的,并且漏洞已关闭。
有清晰的品牌运输标签和客户收据示例,找到违规数据库的所有者非常简单。所有公开的数据都被确定为准确的,这些数据属于真实个人。
不幸的是,处于数据泄露错误的一端,并不是特别令人愉快。但是,您可以采取一些步骤来最大程度地减少欺诈,欺诈,网络钓鱼或间谍活动的风险。
首先,如果您担心数据会保存在不安全的数据库中,则可以请求删除数据。只需与有问题的公司联系,并要求他们将您从数据库中删除。他们将必须遵守隐私标准。
通过电话或电子邮件与未知方通话时,您还应该格外警惕。如果不可靠的一方要求您单击链接或下载文件,请拒绝这样做,直到您可以完全确定这是合法的互动,而不是欺诈。在必要时要求提供审计证明,甚至将来考虑考虑实施其他安全程序。
同样,您应该警惕未知方询问有关您的业务运营的过多问题。通过确保您自己的数据库是安全的,您可以防御来自黑客或竞争对手的其他攻击。
我们建议您聘请网络安全专业人员,以确保您的数据库免受有害个人的侵扰。
我们希望帮助读者在使用任何网站或在线产品时保持安全。
不幸的是,大多数数据泄露从未被负责的公司发现或报告过。因此,我们决定进行这项工作,并找到使人们处于危险之中的漏洞。
我们遵循道德黑客的原则,并遵守法律。我们仅调查随机发现的开放的,不受保护的数据库,并且我们从未针对特定的公司。
通过报告这些泄漏,我们希望使互联网成为每个人都更安全的地方。