Mercari E-Commerce Platform ของญี่ปุ่นประสบปัญหาข้อมูลรั่วไหลเป็นจำนวนมาก

Mercari แพลตฟอร์ม E-Commerce ยอดนิยมของญี่ปุ่น ซึ่งมีผู้ใช้งานมากกว่า 100 ล้านคนทั่วโลกและเพิ่งขยายการดำเนินงานไปยังสหรัฐอเมริกา และสหราชอาณาจักร ได้ออกมาเปิดเผยปัญหาข้อมูลที่สำคัญรั่วไหลซึ่งเกิดขึ้นจาก Codecov supply-chain attack

Codecov เป็นบริษัทที่ให้บริการตรวจสอบ Sorce code ตกเป็นเหยื่อของการโจมตีในลักษณะของ Supply chain attack เป็นระยะเวลามากว่า 2 เดือน ซึ่งในช่วง 2 เดือนนี้แฮกเกอร์ได้ทำการแก้ไข Bash Uploader tool ของ Codecov เพื่อขโมยข้อมูลออกจากระบบ CI/CD (Continuous Integration, Continuous Delivery) ของลูกค้าของ Codecov ซึ่งข้อมูลส่วนใหญ่ประกอบไปด้วย keys, tokens, และ credentials ของลูกค้าของ Codecov

Mercari ได้ออกมาเปิดเผยถึงผลกระทบที่ได้รับจากการโจมตีในลักษณะ Supply chain attack ข้างต้นว่ามีข้อมูลของลูกค้ารั่วไหลอกไปนับหมื่นรายรวมถึงข้อมูลรายละเอียดทางการเงิน โดยระบุรายละเอียด ดังนี้

ข้อมูลระหว่างวันที่ 5 สิงหาคม 2557 ถึงวันที่ 20 มกราคม 2557 บันทึกที่เกี่ยวข้องกับการโอนเงินจากการขายไปยังบัญชีลูกค้า 17,085 รายการ ซึ่งข้อมูลที่รั่วไหล ได้แก่ รหัสธนาคารรหัสสาขาหมายเลขบัญชีเจ้าของบัญชี (kana) และจำนวนเงินที่โอน
ข้อมูลที่เกี่ยวกับผู้ร่วมธุรกิจของ "Mercari" และ "Merpay" ได้รับการเปิดเผยซึ่งรวมถึง ชื่อ วันเดือนปีเกิด ความสัมพันธ์ ที่อยู่อีเมลและอื่น ๆ จำนวน 7,966 รายการ
เอกสารที่เกี่ยวกับพนักงาน รวมถึงคนที่ทำงานให้กับ Mercari ชื่อพนักงาน,ที่อยู่อีเมลบริษัท,รหัสพนักงาน,หมายเลขโทรศัพท์,วันเกิดและข้อมูลอื่น ๆ ณ เดือนเมษายน 2564 จำวน 2,615 รายการ
รายละเอียดของพนักงานเก่า,ผู้ขายและพนักงานภายนอกของบริษัท ที่เกี่ยวข้องกับกรณีการสนับสนุนการบริการลูกค้า Mercari 217 ระหว่างเดือนพฤศจิกายน 2015 ถึงมกราคม 2018
ข้อมูลของลูกค้า ได้แก่ ชื่อ,ที่อยู่,อีเมล,หมายเลขโทรศัพท์ และเอกสารแบบสอบถาม
บันทึก 6 รายการที่เกี่ยวข้องกับเหตุการณ์ในเดือนพฤษภาคม 2013

Mercari ได้รับแจ้งจาก GitHub เมื่อวันที่ 23 เมษายน เกี่ยวกับพฤติกรรมที่น่าสงสัยซึ่งเชื่อมโยงกับ incident ที่พบใน Mercari’s repositories เนื่องจาก Mercari พบผู้ไม่หวังดีได้รับสิทธิ์และสามารถจัดการข้อมูลการตรวจสอบสิทธิ์ของ Mercari ได้ ทางบริษัทจึงปิดการเข้าถึงข้อมูล credentials ที่ถูกบุกรุกทันที ในขณะที่ดำเนินการตรวจสอบขอบเขตของการบุกรุกทั้งหมด

Mercari จะดำเนินการติดต่อแจ้งบุคคลที่มีข้อมูลรั่วไหลทันที และจัดตั้งช่องทางติดต่อสอบถามเกี่ยวกับเหตุการณ์นี้ให้กับผู้เสียหายโดยเฉพาะ

ที่มา: ehackingnews

Magento plugs XSS holes that can lead to e-store hijacking, patch immediately!

เมื่อสัปดาห์ที่ผ่านมา นักวิจัยด้านความปลอดภัยจาก Sucuri Security เปิดเผยว่าพบช่องโหว่ Stored XSS บน Magento ที่เป็น CMS ออกแบบมาเพื่อทำ e-commerce หรือสำหรับขายสินค้าออนไลน์ ซึ่งส่งผลให้แฮกเกอร์สามารถเข้าควบคุมเว็บไซต์ทีติดตั้ง Magento ได้เพียงแค่ผู้ใช้งานที่มีบัญชีของ Magento ใส่โค้ด Javascript ที่อันตรายในช่อง email address ในหน้าตั้งค่าบัญชี โดยที่ระบบของ Magneto ไม่มีการกรองอักขระที่เป็นอันตราย ทำให้โค้ดของ Javascript สามารถรันในหน้าแอดมินได้ อย่างไรก็ตามช่องโหว่ Stored XSS มีผลกระทบโดยตรงกับ Magento CE เวอร์ชั่นต่ำกว่า 1.9.2.3 และ Magento EE เวอร์ชั่นต่ำกว่า 1.14.2.3 นอกจากนี้ยังมีการพบช่องโหว่ Stored XSS ในช่องคอมเมนต์ที่สามารถใส่โค้ด Javascript ไปบันทึกในฐานข้อมูลได้ ส่งผลกระทบกับ Magento CE เวอร์ชั่น 2 และ Magento EE เวอร์ชั่นตำกว่า 2.0.1 แนะนำให้ควรอัพเกรด Magento ไปเป็นเวอร์ชั่นล่าสุดโดยทันที

ที่มา : net-security, SUCURIBlog