Echipa de cercetare vpnMentor a descoperit recent o breșă de securitate într-o platformă web românească deținută de compania internațională de tutun British American Tobacco, companie care are sediul în Regatul Unit, fiind unul dintre cei mai mari producători din lume de produse de tutun și nicotină.
Dacă nu știți, vpnMentor deține un laborator de cercetare cibernetică, acesta fiind un serviciu pro bono și are se străduiește să ajute comunitatea online să se apere de amenințările cibernetice, educând organizațiile pentru a proteja datele utilizatorilor acestora. Echipa de cercetare vpnMentor a descoperit această breșă de securitate în cadrul unui proiect de mapare web la scară mare. Echipa de cercetare scanează porturile pentru a găsi blocuri IP cunoscute și apoi caută apoi vulnerabilități în sistem care ar indica o bază de date deschisă. Odată constatată o încălcare a datelor, echipa vpnMentor securizează baza de date apoi contactează proprietarul, îl informează despre vulnerabilitate și sugerează modalități prin care proprietarul își poate asigura sistemul mai sigur .
Condusă de cercetătorii de confidențialitate internet Noam Rotem și Ran Locar, echipa vpnMentor a descoperit încălcarea datelor pe un server nesecurizat conectat la platforma web YOUniverse.ro . Platforma web face parte dintr-o campanie de promovare a British American Tobacco România destinată fumătorilor adulți. Prin intermediul platformei, cetățenii români pot câștiga bilete la petreceri și evenimente.
Încălcarea securității datelor în acest caz implică informații sensibile ale utilizatorilor. Și mai îngrijorător este faptul că echipa vpnMentor a descoperit că serverul nesecurizat a fost deja compromis de ransomware.
În ciuda multiplelor încercări din partea echipei vpnMentor de a dezvălui încălcarea, baza de date a rămas deschisă și nesigurată timp de peste două luni. Începând cu 22 septembrie, vpnMentor a încercat în mod repetat să contacteze compania (sucursala locală, precum și compania globală), compania de găzduire a serverului, Autoritatea Națională pentru Protecția Consumatorilor (ANPC) și autoritatea de certificare (CA).
Breșa de securitate a fost raportată de echipa vpnMentor către CERT-RO, iar echipa CERT-RO a făcut demersurile necesare pentru închiderea accesului la baza de date. Începând cu 27 noiembrie baza de date a fost în sfârșit închisă.
Ransomware Attack
Echipa vpnMentor a descoperit un fișier readme cu o cerere de răscumpărare:

Pe baza fișierului readme, se pare că un hacker sau un grup de hackeri au amenințat cu ștergerea datelor de pe server dacă cerințele lor nu sunt îndeplinite . Hackerii au solicitat o plată Bitcoin în schimbul datelor.
Jurnalele zilnice expuse
Echipa vpnMentor a identificat și a putut accesa jurnalele zilnice din ultimele șapte zile, fiecare fisier fiind stocat într-un index separat. Jurnalele par a fi înregistrări ale comunicațiilor http prin intermediul platformei web YOUniverse.
Exemple de detalii personale accesibile:
- Numele complet
- e-mail
- numar de telefon
- Data de nastere
- sex
- sursa IP
- preferințele privind țigara și produsul din tutun
Există, de asemenea, date care ar putea conține informații mai sensibile. Semnificația unora dintre datele interne era neclară.

Unele dintre intrări includeau mesaje scrise în limba română. Se pare că sunt întrebări trimise de utilizatori, care pot fi clienți sau afiliați.
De exemplu, unele dintre mesaje cer asistență și descriu probleme cu codurile de premii și recompense.

„Bună seara, la sfârșitul lunii iunie am folosit puncte de experiență pentru a solicita 2 vouchere Doncafe de 400 de lei fiecare. Mesajele de confirmare pentru premii nu au specificat o dată în care pot fi utilizate codurile, dar când am sunat astăzi pentru a face o rezervare acolo, mi-au spus că au încheiat colaborarea cu tine. Vă rugăm să-mi oferiți o soluție pentru a utiliza cele 2 vouchere. Mulțumesc!"
Baza de date conținea, de asemenea, câteva metadate legate de e-mailurile care au ieșit care nu au reușit să ajungă la destinatar. Aceste informații nu se referă și la conținutul mesajelor reale ale e-mailurilor.
Echipa vpnMentor a putut vedea următoarele informații în metadatele de e-mail:
- adresa de e-mail destinatie destinata a utilizatorului
- Subiectul emailului
- ID utilizator intern

"Este posibil ca o mulțime de date să lipsească de pe server din cauza atacului ransomware. Pentru a ne face o idee despre ce tip de date ar putea fi scurse, am analizat politica de confidențialitate care acoperă toate platformele web pentru campania de promovare British American Tobacco România. Printre acestea se numără YOUniverse.ro, aplicația mobilă YOUniverse, experiencemore.ro, mereumaimult.ro, preprietenie.ro și theunseen.ro.
Am descoperit, de asemenea, datele de autentificare la un sistem Microsoft Dynamic CRM, inclusiv parolele necriptate. Din păcate, acest lucru înseamnă că ar putea fi și mai multe date expuse. Din motive etice, Echipa vpnMentor nu a folosit datele de autentificare, deci nu știm ce informații sunt accesibile prin intermediul sistemului", au declarat specialiștii.
Ce spune politica de confidențialitate ?
Conform declarației de confidențialitate, compania colectează și folosește următoarele informații atunci când utilizatorii se înregistrează pentru oricare dintre platformele sale:
- numele și prenumele
- Data de nastere
- numar de telefon
- adresa de email
- locul de reședință
- preferințele mărcii și ale produselor, inclusiv tutunul preferat
Pentru a se înscrie pe platformă, utilizatorii trebuie să introducă, de asemenea, un cod care poate fi obținut numai prin achiziționarea unui pachet de țigări. Acest cod este utilizat pentru a respecta legislația română. Compania trebuie să verifice dacă toți utilizatorii sunt fumători activi înainte de a putea participa la activitățile promoționale.
În plus, declarația de confidențialitate spune că, dacă câștigați un premiu în valoare de peste o anumită sumă, compania trebuie să solicite CNP-ul. Echipa vpnMentor nu a găsit dovezi că CNP-urile utilizatorilor au fost expuse, dar am putut doar să vizualizăm jurnalele zilnice. Este posibil ca numerele de identitate ale utilizatorilor să fi fost expuse anterior în atacul ransomware.
Impactul încălcării datelor
Este dificil de estimat numărul de persoane care ar putea fi afectate de această încălcare a datelor. Serverul conține jurnalele pentru șapte zile precedente. Unele dintre jurnalele zilnice conțin mai mult de 60 de milioane de intrări , iar unele intrări conțin mai multe seturi de date ale utilizatorilor.
Probleme de confidențialitate pentru fumători
Pentru a participa la platformă, utilizatorii trebuie să demonstreze că sunt fumători activi, furnizând un cod care poate fi găsit pe un pachet de țigări. Această breșă de securitate a permis expunerea numelui fumătorilor activi, care poate nu doresc ca obiceiurile lor de fumat să fie făcute publice. Această expunere ar putea avea chiar consecințe financiare grave pentru utilizatori. De exemplu, companiile de asigurări au deseori prime de asigurare diferite pentru fumători. Dacă cineva afirmă că nu este fumător, dar compania de asigurări găsește numele persoanei respective în baza de date expusă, utilizatorul ar putea fi taxat cu o primă de asigurare mai mare.
Consecințele Ransomware-ului
Din păcate, serverul nesecurizat a fost deja compromis de ransomware când echipa de cercetare vpnMentor a descoperit vulnerabilitatea. Deoarece baza de date a fost deja modificată, dimensiunea reală și gravitatea impactului încălcării datelor nu sunt cunoscute. Chiar dacă cererea de răscumpărare este plătită, nu există nicio modalitate de a primi înapoi cu adevărat informațiile scurse. Hackerii ar putea restabili orice date lipsă, dar hackerii pot păstra cu ușurință o copie a datelor sensibile ale utilizatorului și companiei.