PandaBuy adatszivárgás – 1,3 millió ügyfél adata került ki

April 2, 2024 Yanac Adatszivárgás, Kína, Sérülékenység

A PandaBuy online vásárlási platform több mint 1,3 millió ügyfelének adata kerültek veszélybe, miután két, “Sanggiero” és “IntelBoker” néven ismert fenyegető szereplő több sebezhetőséget kihasználva bejutott a rendszerbe. A PandaBuy nemzetközi vásárlókat szolgál ki, lehetővé téve számukra, hogy termékeket vásároljanak több nagy kínai e-kereskedelmi platformról, mint például a Tmall, a Taobao és a JD.com. A támadók a PandaBuy API-jában és a weboldal más részeiben található kritikus hibákat kihasználva számos személyes adatot, többek között felhasználói azonosítókat, neveket, elérhetőségi adatokat, IP-címeket, rendelési információkat és lakcímeket tudtak megszerezni.

A betörés akkor került nyilvánosságra, amikor az egyik fenyegető szereplő a BreachForums-on közzétett egy bejegyzést, amelyben az ellopott adatokat egy kis kriptopénzért cserébe kínálta fel. A Have I Been Pwned (HIBP) adatbetöréseket összesítő szolgáltatás megerősítette, hogy 1 348 407 PandaBuy fiók volt érintett. A kiszivárgott információk hitelességének igazolása érdekében a támadók megosztottak egy mintát az adatokból, amely e-mail címeket, vásárlói neveket, rendelési adatokat és fizetési azonosítókat mutatott be. Troy Hunt, a HIBP alapítója tovább igazolta a jogsértés mértékét azzal, hogy megerősítette a PandaBuy-hoz kapcsolódó legalább 1,3 millió e-mail cím érvényességét, a 3 millió veszélyeztetett fiókról szóló állítást pedig eltúlzottnak minősítette.

Az esetet követően a PandaBuy még nem foglalkozott hivatalosan az adatszivárgással, és a jelentések szerint megpróbálta elnyomni az incidensről szóló vitát olyan platformokon, mint a Discord és a Reddit. A PandaBuy Discord csatornáján azonban egy adminisztrátor elismert egy korábbi biztonsági incidenst, azt állítva, hogy a kiszivárgott adatok elavultak, és hogy a támadásra válaszul a platformon azonnali biztonsági intézkedéseket vezettek be. A felhasználóknak azt tanácsolják, hogy változtassák meg jelszavaikat és legyenek óvatosak az esetleges átverési kísérletekkel szemben, a HIBP-re feliratkozottakat pedig értesítették a jogsértésről.

(forrás)