Marketplace na kojem korisnici trguju sniženim online računima, licencnim ključevima i malicioznim softverom pretrpjelo je curenje podataka koje otkriva stotine hiljada osjetljivih zapisa, navodi vpnMentor.
Istraživač bezbjednosti Jeremiah Fowler pronašao je 600.000 “priloga za korisničku podršku” vezanih za web stranicu Z2U, koji su uključivali slike pojedinaca koji drže kreditne kartice, pasoše i druge lične dokumente.
U bazi podataka koja nije zaštićena lozinkom bila su izloženi: platne transakcije uključujući IBAN brojeve, prijave na korisnički račun, email-ovi i lozinke, i potvrde narudžbe koje prikazuju ime kupca, email i detalje o njegovoj kupovini.
Osim toga, Fowler je mogao pristupiti snimcima ekrana kontrolne ploče korisničke podrške, komunikacija, istorije kupovine, kredita računa i zahtjeva za povrat novca.
Fowler je rekao da je platforma bazirana u Kini, kao i server na kojem je data baza podataka. Z2U takođe ima stranicu na engleskom jeziku i ocjenu 4,5 na Trustpilot-u.
Tvrdi se da je “vodeća svjetska trgovačka platforma na digitalnom tržištu” za igrače, posvećena kupovini i prodaji predmeta u igri.
Međutim, čini se da je Fowler-ovo istraživanje otkrilo širok spektar sumnjivih trgovačkih aktivnosti izvan svijeta igara, uključujući prodaju društvenih medija, streaming, pa čak i Amazon račune.
“Ovim se zaobilaze procesi validacije koje su mnoge kompanije društvenih medija postavile kako bi spriječile maliciozne ili lažne aktivnosti na svojim platformama. Računi Amazon kupaca i trgovaca koji se prodaju na Z2U takođe predstavljaju rizik od prevare” tvrdi on.
“Dijeljenje ili prodaja računa izaziva mnoge etičke i sigurnosne probleme. Vidio sam dokumente koji ukazuju na to da korisnici na Z2U prodaju HBO MAX i Netflix Premium naloge za samo 1 USD, a Disney+ tromjesečne pretplate za 5 USD. Za referencu, Disney+ košta 109,99 USD godišnje, dok prodavači na Z2U nude pristup za samo 17 USD godišnje. U Velikoj Britaniji je protiv zakona da korisnici dijele svoje lozinke za usluge kao što su Netflix, Amazon Prime Video i Disney+.”
Fowler je takođe tvrdio da vidi licencne ključeve za Windows na prodaju “po djeliću stvarne cijene” i prodavce koji “nude viruse, maliciozni softver ili druge maliciozne aplikacije”.
Pristup bazi podataka je zatvoren ubrzo nakon što je istraživač stranici poslao poruku na kineskom jeziku.
“Ne impliciramo da Z2U ili njihovi klijenti ne postupe pogrešno i samo ističemo detalje našeg otkrića kako bismo identifikovali rizike u stvarnom svijetu” zaključio je Fowler.
Izvor: Infosecurity Magazine