Informe: La plataforma de la cadena de suministro de EE. UU. expone datos corporativos confidenciales
El equipo de investigación del planeta descubrió una exposición de datos que afectaba a la plataforma logística y mayorista estadounidense ePalletInc.
EPallet es una marca B2B que proporciona soluciones de cadena de suministro a minoristas y fabricantes.
Un depósito de Amazon S3 propiedad de la empresa estaba mal configurado, exponiendo los datos de cientos de otras empresas en el proceso.
El depósito de ePallet con datos de la empresa expuestos está abierto sin ninguna protección con contraseña. Como resultado, el depósito AWSS3 de la empresa expuso más de 2,5 millones de archivos, lo que equivale a más de 600 GB de datos.
Entre los documentos expuestos, existen diversos tipos de datos sensibles relacionados con ePallet y las empresas que solicitan, venden y entregan productos a través de la plataforma ePallet.
Descubrimos cinco conjuntos de datos separados en el depósito que exponía a ePallet y a sus socios y clientes: pedidos y facturaciones, archivos adjuntos de pedidos, documentos relacionados con el cliente, certificaciones diversas y solicitudes de crédito de ePallet.
Pedidos y notas Los pedidos y notas (o, más exactamente, documentos de "conocimientos de embarque") describen las transacciones para que las empresas compren y vendan mercancías al por mayor a través de la plataforma ePallet. Hay cientos de archivos de este tipo en el depósito.
Los pedidos y las facturas exponen datos confidenciales de los clientes y socios de Wallet, incluidos:
Detalles de la empresa, como el nombre de la empresa y las direcciones de compradores y proveedores. Información del transportista, que es el nombre y dirección de cada empresa transportista. Información de envío, como artículos pedidos, fechas de recogida/entrega, peso y cantidad. Nota: El conocimiento de embarque es un documento entre el remitente y el transportista. Detalla la información de envío y pedido requerida por el transportista y también sirve como recibo.
Puedes ver un ejemplo de un pedido y una factura en la siguiente captura de pantalla.
Adjuntos de pedidos Adjuntos de pedidos adjuntos a los pedidos de los clientes. Encontramos miles de archivos de este tipo en el depósito.
Los archivos adjuntos de los pedidos afectan a datos confidenciales detallados de clientes y socios:
Información de envío, a veces en códigos de barras escaneables.
Puedes ver evidencia del archivo adjunto del pedido a continuación.
Archivos relacionados con el cliente Se encontró un archivo relacionado con el cliente en un depósito mal configurado. Estos parecen ser documentos recopilados por ePallet sobre empresas que utilizan la plataforma ePallet.
Los documentos relacionados con el cliente contienen una variedad de datos confidenciales del cliente:
Nombre de la empresa Dirección de la empresa Detalles de contacto de S3, incluido el número de teléfono, el número de fax y la dirección de correo electrónico de la empresa Información financiera de S3 (en algunos casos ) es decir, ingresos de la empresa 3 varios otros detalles de la empresa, es decir, antigüedad de la empresa, número de empleados, etc.
Los documentos relacionados con los clientes son de diferentes tipos y contienen una gran cantidad de información, parte de la cual no se resume en este informe. Estos documentos incluyen perfiles de empresas (informes de detalles de la empresa), solicitudes de crédito de otras empresas y documentos relacionados con impuestos. EPallet requiere una licencia de revendedor y prueba de situación fiscal (para organizaciones sin fines de lucro), lo que puede explicar parte de la documentación.
Puedes ver la documentación asociada al cliente en la siguiente captura de pantalla.
Otros certificados Otros certificados también se almacenan en el depósito. Los certificados parecen otorgarse a empresas que venden productos a través de billeteras electrónicas. Estos certificados son emitidos por muchas organizaciones y utilizados para muchos propósitos diferentes. Por ejemplo, un certificado es un "certificado kosher" otorgado a una empresa de alimentos que indica que sus productos han sido aprobados por una agencia kosher.
Si bien los certificados no especifican una gran cantidad de datos del proveedor (normalmente el nombre de la empresa y los detalles del certificado), su presencia podría utilizarse contra los proveedores de e-ePallet en una forma de delito cibernético.
EPallet podrá almacenar estos certificados como prueba de su existencia. Puede ver evidencia de otras certificaciones a continuación.
Solicitudes de crédito Las solicitudes de crédito se almacenan en un depósito AWSS3 abierto que expone información relacionada con ePallet, sus operaciones comerciales y sus empleados. EPallet presentó estas solicitudes de crédito a otras empresas.
Las aplicaciones EPalletcredit revelaron varias formas de datos confidenciales de la empresa:
Nombre de la empresa, número de teléfono, dirección de correo electrónico, número de fax, nombre del empleado, es decir, el nombre del director ejecutivo, y varios otros detalles de la empresa. como la antigüedad de la empresa, el estado de propiedad o arrendamiento de bienes raíces.
El siguiente es un ejemplo de una solicitud de crédito.
El depósito AmazonS3 de EPallet funciona en tiempo real y se actualiza cuando se descubre.
El propietario del depósito AWSS3 (ePallet en este caso) es responsable de su seguridad. Entonces Amazon no tiene la culpa de la violación de datos de ePallet.
Según la cantidad de números de identificación de 4 dígitos en los nombres de las carpetas de los depósitos (se cree que cada uno representa una empresa única), estimamos que cientos de empresas se vieron afectadas por la violación de datos de ePallet.
EPallet puede estar sujeto a sanciones legales debido a la filtración de datos.
¿A quién afecta? El depósito Amazon S3 mal configurado de ePallet expuso datos de la empresa, así como datos de empresas de clientes ("compradores" que utilizan epallet.com) y socios (fabricantes/proveedores y operadores de bienes que ofrecen productos a la venta en ePallet.com).
EPallet no opera fuera de Estados Unidos y toda la información contenida en el cubo parece estar relacionada únicamente con empresas estadounidenses.
Grandes empresas venden productos a través de la web de ePallet. MM, Twix, Skittles y Snickers figuran como "proveedores destacados" en epallet. Y una variedad de otros "socios fabricantes" populares también venden productos en el sitio, desde Gillette hasta ArmHammer. No pudimos confirmar si alguna de estas empresas reveló información sobre el barril. ¿Quién publicó los datos?
EPalletInc. Fundada en 2017, EPalletinc es una empresa de servicios de cadena de suministro mayorista en línea con sede en Agoura Hills, California, EE. UU.
El sitio web de EPallet (epallet.com) es una plataforma impulsada por inteligencia artificial que conecta a empresas y fabricantes y permite a los minoristas comprar paletas de productos al por mayor directamente desde el origen.
Además de su "mercado mayorista en línea", ePallet también se asocia con operadores para brindar soluciones logísticas para los productos pedidos a través del sitio web. Esto simplifica el proceso de distribución y abre nuevas oportunidades comerciales para fabricantes y clientes.
EPallet se especializa en alimentos, pero la empresa también vende otros productos que puedes encontrar en un supermercado, incluidos productos para bebés, suministros médicos y artículos para el hogar. EPallet tiene menos de 25 empleados y menos de 5 millones de dólares en ingresos.
Impacto en los clientes y socios de ePallet No tenemos forma de saber si piratas informáticos sin escrúpulos y actores maliciosos han accedido al contenido del depósito abierto AWSS3. Sin embargo, en este caso, los clientes y socios de ePallet podrían verse afectados por la violación de datos de muchas maneras.
BEC, fraude, phishing y correos electrónicos de malware Como resultado de esta filtración de datos, los clientes, proveedores y operadores pueden estar expuestos a ataques de phishing, fraude y malware. Los ciberdelincuentes pueden utilizar direcciones de correo electrónico y números de teléfono de documentos relacionados con los clientes para ponerse en contacto con las empresas.
En intentos de phishing y estafas, los piratas informáticos pueden hacer referencia a otras formas de información expuesta para establecer confianza con la víctima y describir el motivo de la comunicación.
Un ataque de vulneración del correo electrónico empresarial (BEC) es un intento de phishing dirigido. Los delincuentes utilizan cuentas de correo electrónico comprometidas para enviar mensajes a los usuarios, pretendiendo ser de una fuente conocida y tener un motivo legítimo de contacto. BEC es posible gracias a la información de contacto, los nombres de los empleados y la información de entrega que se muestran en el depósito.
Por ejemplo, los piratas informáticos pueden ponerse en contacto con los clientes haciéndose pasar por representantes de operadores, proveedores de productos o monederos electrónicos. Los piratas informáticos pueden hacer referencia a los detalles del pedido/entrega para establecer confianza con la víctima y afirmar que hubo un problema con la entrega.
Los piratas informáticos pueden ponerse en contacto con proveedores u operadores que afirman representar a clientes o billeteras. Del mismo modo, un pirata informático podría consultar los detalles del pedido para sugerir que algo andaba mal. Quizás los piratas informáticos afirmen que necesitan un reembolso porque algunos pedidos aún no han llegado.
Los piratas informáticos también pueden utilizar detalles de la empresa, información financiera o credenciales para construir una narrativa en torno a sus comunicaciones.
Una vez que una víctima confía en un ciberdelincuente, el atacante puede intentar obtener información personal o confidencial de la víctima o de la empresa de la víctima. Esto se llama intento de phishing. Los piratas informáticos también pueden intentar convencer a las víctimas para que hagan clic en enlaces maliciosos. Una vez que se hace clic en él, el enlace malicioso puede descargar malware en el dispositivo de la víctima para complementar otros delitos cibernéticos.
Los ciberdelincuentes también pueden explotar esta confianza para atraer a las víctimas a participar en estafas populares. Por ejemplo, los piratas informáticos pueden convencer a las empresas para que paguen facturas falsas en una estafa de facturas falsas o envíen reembolsos fraudulentos en una estafa de devolución de cargo.
Robo, robo, allanamiento de morada. Las empresas pueden ser objeto de ataques en función del alto valor del pedido o de la información financiera del depósito.
Los pedidos y envíos también pueden ser objeto de robos y robos. Se ha publicado diversa información de pedidos y envío, incluida información del transportista, fecha de envío, dirección de envío y fecha de envío.