Upozorenje o sigurnosti: Collectibles.com otkriva osjetljive podatke korisnika
Collectibles.com, jedan od vodećih tržišta za kolekcionarske karte, nedavno je izložio osjetljive informacije o stotinama tisuća korisnika, čime je stvorio rizik od krađe identiteta, financijskih prijevara, i drugih prijetnji, tvrde stručnjaci. Prema istraživačkom timu Cybernews, otkrivena je instanca Elasticsearch-a koja nije bila zaštićena lozinkom, a tim je pronašao 300 GB vrijednih korisničkih podataka, uključujući više od 870.000 zapisa, svaki koji predstavlja drugu osobu.
Što se dogodilo?
Prema riječima istraživača, “Izloženost korisničkih podataka i povijesti transakcija predstavlja značajan sigurnosni rizik, potencijalno omogućujući krađu identiteta, ciljane prijevare i preuzimanje računa.” Prije poznata kao Cardbase, Collectibles.com je online tržište i platforma za upravljanje kolekcionarima koja korisnicima omogućava praćenje, kupnju i prodaju raznih kolekcionarskih predmeta, uključujući trgovinske karte, stripove i memorabilije. U priopćenju za medije iz 2024. godine, kompanija je navela da ima otprilike 300.000 korisnika.
Što su podaci uključivali?
Podaci koje je Collectibles.com otkrio uključuju:
- Potpuna imena korisnika
- Email adrese
- Linkovi na profile slika
- Detalji o korisničkim računima
- Podaci o prodaji kolekcionarskih karata
- Povijest transakcija
Cybernews je kontaktirao kompaniju kako bi izvijestio o svojim saznanjima, ali su, umjesto konkretne reakcije, dobili samo automatski odgovor, a kompanija nije priznala curenje podataka. Instanca je zatvorena deset dana kasnije, iako nije poznato koliko je dugo ostala otvorena prije nego što je otkrivena. Također, nema informacija o tome jesu li zlonamjerni akteri otkrili tu instancu prije Cybernewsa i eventualno iskoristili podatke za phishing napade.
Zašto su izložene baze podataka problem?
Izložene baze podataka ostaju jedan od glavnih uzroka curenja podataka. Mnoge organizacije pohranjuju osjetljive podatke o korisnicima u cloud bazama podataka, bez potpuno razumijevanja da je sigurnost u oblaku zajednička odgovornost. I istraživači sigurnosti i kibernetički kriminalci koriste alate poput Shodana ili Elasticsearcha za pronalaženje ovih baza podataka i korištenje pronađenih informacija za provođenje raznih prijevara.
Zaključak
Ovaj incident sa Collectibles.com služi kao ozbiljno upozorenje za sve online platforme koje obrađuju osobne podatke korisnika. Osiguravanje podataka nije samo odgovornost pojedinaca, već i kompanija koje moraju poduzeti proaktivne mjere kako bi zaštitile svoje korisnike od potencijalnih prijetnji. Budite oprezni i uvijek se informirajte o sigurnosnim standardima platformi koje koristite.
