Rapport: Datalek Freedom Mobile Legt Gegevens van tot 1,5 miljoen Klanten Bloot

Het onderzoeksteam van VpnMentor heeft onlangs ontdekt dat Freedom Mobile te maken heeft gehad met een enorme datalek.

Onder leiding van hacktivisten Noam Rotem en Ran Locar ontdekten onderzoekers van VpnMentor een inbreuk, die tot 1,5 miljoen actieve persoonsgegevens van Freedom Mobile-gebruikers blootlegt. Freedom Mobile (voorheen Wind Mobile) is Canada’s op drie na grootste aanbieder van draadloze communicatie.

De database was volledig onbeschermd en onversleuteld. De gegevens omvatten creditcardnummers en CVV-codes.

Tijdlijn van de Ontdekking van de Datalek en de Reactie

  • 17 april: We ontdekken een lek in de database van Freedom Mobile.
  • 18 april: We e-mailen Freedom Mobile om het bedrijf te informeren over een ernstige datalek. We krijgen geen reactie.
  • 23 april: We proberen opnieuw contact op te nemen met Freedom Mobile.
  • 24 april: Freedom Mobile reageert eindelijk op berichten.
  • 24 april: Freedom Mobile sluit datalek.

 Voorbeelden van gegevens in de database

Vergelijkbaar met de onbeschermde Elasticsearch-database van Gearbest, was de database van Freedom Mobile volledig onversleuteld. We hadden volledige toegang tot meer dan 5 miljoen records, goed voor maximaal 1,5 miljoen gebruikers.

Deze records lijken alle acties weer te geven, die binnen een gebruikersaccount hebben plaatsgevonden, waardoor meerdere entries per klant mogelijk zijn.

De blootgestelde persoonlijke gegevens omvatten:

  • e-mailadres
  • huis- en gsm-nummer
  • huisadressen
  • geboortedatum
  • klanttype
  • IP-adres gekoppeld aan betaalmethode
  • onversleutelde creditcardnummers en CVV-codes
  • reacties op kredietwaardigheid van Equifax en andere bedrijven, met redenen voor acceptatie/afwijzing

We hadden ook toegang tot accountnummers, abonnementsdatums, datums voor factureringscycli en klantenservicegegevens, inclusief locaties.

Sommige entries bevatten ook gegevens uit een Equifax-database. Dit omvatte informatie over kredietwaardigheid, kredietklasse en creditcardaccounts.

Impact van de Datalek

Ironisch genoeg is Freedom Mobile trots op het bieden van hoge niveaus van privacy. Het staat zelfs in hun bio op Twitter:

Ze hebben echter duidelijk hun klantgegevens gedeeld – en te veel gedeeld.

Nadat we de datalek hadden ontdekt, hebben we Freedom Mobile snel op de hoogte gesteld. Toen ze niet onmiddellijk reageerden, vroegen we hulp aan contactpersonen van een andere beveiligingssite in het geval onze e-mails spam werden. Toen ze uiteindelijk antwoordden, wisten we dat dit niet het geval is.

Om ethische redenen hebben we de database niet gedownload, dus weten we niet precies hoeveel mensen zijn getroffen.

We hadden echter toegang tot minstens 5 miljoen onbeschermde records. Freedom Mobile heeft ten minste 1,5 miljoen abonnees en het moederbedrijf is eigendom van Shaw Communications, met meer dan 3,2 miljoen klanten in heel Canada. Dit is misschien wel de grootste datalek van een Canadees bedrijf.

Het is zeldzaam om een ​​lek te vinden dat zowel creditcardgegevens als CVV-codes gezamenlijk betreft, vooral bij zo’n grote inbreuk.

Omdat deze datalek onversleutelde creditcardinformatie bevat, is Freedom Mobile mogelijk in overtreding met de complianceregels van PCI (Payment Card Industry). Dit kan resulteren in serieuze, reële gevolgen voor zowel het bedrijf als zijn gebruikers.

Gevaren van Hacks

Een database vol met creditcardgegevens, geboortedata, volledige namen, adressen en telefoonnummers kan ook leiden tot creditcardfraude en identiteitsdiefstal. Dit kan gebruikers – en hun banken en verzekeringsmaatschappijen – honderdduizenden dollars kosten.

Een onversleutelde database met gepersonaliseerde informatie is een waardevolle bron voor hackers. Toegang tot adressen, e-mailadressen, telefoonnummers en kredietgegevens kan kwaadwillende actoren helpen bij het uitvoeren van geavanceerde phishingpraktijken.

Kredietinformatie maakt ook zeer gerichte ransomware-aanvallen mogelijk, omdat slechte actoren weten waar ze hoge bedragen kunnen eisen.

Zelfs de meest voorzichtige gebruiker kan zichzelf niet verdedigen tegen een bedrijf dat zijn gegevens opslaat in een onbeveiligde database. De beste manier is om een ​​tijdelijk kaartnummer, accountnummer of CVV-code te gebruiken dat is gekoppeld aan je account. Zie onze complete gids voor meer informatie.

Over Ons en Eerdere Rapporten:

VpnMentor is ’s werelds grootste VPN-beoordelingswebsite. Ons onderzoekslaboratorium is een pro Deo-service, die ernaar streeft de online community te helpen zichzelf te beschermen tegen cyberbedreigingen en organisaties te leren hoe ze de gegevens van hun gebruikers kunnen beschermen.

We hebben onlangs een enorme datalek ontdekt, die impact heeft op 80 miljoen Amerikaanse huishoudens. We hebben ook onthuld dat Gearbest met een enorme datalek te maken heeft gehad. Waarschijnlijk ben je ook geïnteresseerd in ons VPN-lekrapport en ons Rapport over gegevensprivacystatistieken.

Deel dit rapport op Facebook of tweet het.

Was dit nuttig? Deel het!