Men i den digitala tidsåldern finns det ytterligare en sak att tänka på och det är: läckte återförsäljaren mina personuppgifter och kreditinformation online? Med den senaste upptäckten av nästan en miljon register som läckt online, har både bilhandlare och kunder funnit att deras privata data är sårbara för brottslingar. Nu måste vi inse verkligheten att oavsett vilken bransch du arbetar i eller vilka produkter du köper, så finns det en stor chans att dina känsliga personuppgifter kan läcka online om de inte är ordentligt skyddade.
Det verkar som om databasen som innehåller informationen tillhör dealerbuilt.com, ett system för återförsäljare och lönehantering. På deras hemsida uppger de att “DealerBuilts löneapp erbjuder en enda lösning för att hantera dina lönebehov.” De erbjuder också anpassningsbara rapporteringsverktyg som hjälper återförsäljare att historiskt dokumentera och granska löner och annan viktig personalinformation. Trots att man hanterar privata och känsliga uppgifter från över en miljon kunder och säljare, nämns det inget om hur DealerBuilt hanterar säkerheten eller dataskyddet för alla dessa poster.
Här är den offentliga rapporten som fortfarande är synlig på Shodan: https://www.shodan.io/host/199.102.214.20#873
Denna upptäckt fångade omedelbart vår uppmärksamhet, eftersom just den här instansen innehöll 128 mappar med kundnamn. Alla av dem var lösenordsskyddade, utom en, den mest sårbara var: “DealerBuilt”, med “Customer Backup”. Det verkade som om den här mappen innehöll alla dina kunders säkerhetskopior av CRM SQL-databas. När de väl återställts och monterades var dessa databaser en oändlig källa till privata data.
Vid ytterligare analys av innehållet drog vi slutsatsen att data som formaterats i tabellerna är nästan exakt samma eftersom företaget som är värd för det (DealerBuilt) erbjuder alla sina bilhandlarkunder samma CRM-programvara.
Bara för att ge dig ett exempel: det fanns flera mappar som innehöll privat och personlig information om över tusentals kunder och anställda. Dessa filer innehåller namn som “faemployee” och “lycustomer”. I ett enda dokument som kallas “lycustomer” finns 27 703 personer. Vissa av filerna har personnummer och till och med makas personnummer. Tabellen “faemployee” innehöll 60 till 300 rader med information. Multiplicerat med 128 kan du gissa eller uppskatta det totala antalet personer som har fått sina personuppgifter exponerade.
När anställningsdata som innehåller personnummer läcker, ökar det risken att brottslingar deltar i identitetsstöld, falsk skatteanmälan eller andra former av bedrägeri. Samma risk gäller sannolikt de tusentals kunder som har köpt fordon eller till och med ansökt om finansiering hos varje återförsäljare som använder DealerBuilt-plattformen. Denna massiva läcka är bara ytterligare en smärtsam lektion i vad som händer när privata och känsliga data lagras utan kryptering eller modern datasäkerhetspraxis. Databasen dealerbuilt.com är nu skyddad och det är oklart hur många andra personer som kan ha kommit åt data eller vilka åtgärder DealerBuilt kommer att vidta för att meddela miljontals berörda kunder och säljare.
