零售商季风奇怪的是通过脉冲连接服务器曝光数据

脉冲连接安全VPN的未分割版本的脉冲和零售商季风的数据有妥协的风险，据称忽视了透露披露它的企图忽视披露。

根据研究员Jan Youngren的VPNPRO，发现零售商正在使用旧版本的脉冲连接安全VPN，该脉冲vpn具有潜在的漏洞，可能使网络犯罪分子能够在其VPN上看到任何活动用户，以及他们的纯文本密码。

理论上可以使用此信息来访问服务器以抵消受害者的数据，部署恶意软件或勒索软件，或执行任何数量的其他恶意操作。

CVE-2019-11510漏洞于2019年4月首次披露，并在2020年1月20日的Revil / SodInokibi Ransomware犯罪犯罪联合会损害旅行的同一问题。它被评为至关重要，但修复已从脉冲安全可获得超过12个月。

youngren说，他能够访问季风的内部文件，包括客户信息，敏感的商业文件，销售和收入数等。

他的团队利用VPN客户面板中的专门制作的URL在没有身份验证的情况下使用专为Crafted URL提取会话数据的漏洞。然后，它们运行脚本以导入会话数据，并尝试使用给定的会话ID访问VPN门户。

通过监视这些以查找活动会话，然后能够将ID作为浏览器cookie导入并访问该面板，以及该特定用户。然后，它们已刮擦信息以确认文件是可读的，它们具有写入访问权限，并了解漏洞的范围。

Youngren指出，漏洞的限制是它需要提高用户权限以执行更广泛的攻击。

找到的数据包括员工用户名和哈希密码列表，加密管理员详细信息，VPN登录详细信息和会话cookie，日常销售数据，内部会议分钟，商业智能资产和其他内部文件，名称和其他45,000名季风客户的其他细节以及约650,000件奖励卡和凭证号码的数据。

“拥有这种漏洞的最大风险是，黑客可以锁定使用勒索软件的服务器，类似于Travelex发生的事情，”Youngren写道。

“在那种情况下，连接到或依赖于这些服务器中包含的信息的任何操作将停止，直到情况解决。这可能对季风来说非常昂贵，这取决于黑客收费的价格，或者他们可能会采用任何情况下的替代方案需要几天或几周来修复。“

糟糕的演员还可以在业务和客户数据上窃取和销售，利用优惠券代码和奖励卡，用于远程桌面协议（RDP）服务器的蛮力密码（RDP）服务器和访问敏感服务器，并攻击季风在线商店安装信用卡撇芯。

关于奇闻，尤文格伦据称季风忽略或拒绝vpnpro试图联系它以负责任地披露。

“5月28日开始，我们试图通过电子邮件首次联系季风，包括两个后续电子邮件。然后，我们试图在他们的公司Twitter上到达29年5月29日，但没有回应。

“之后，我们试图在其网站上列出的两个电话号码调用它们，但无济于事。最后，我们于6月3日联系了英国的国家网络安全中心（NCSC），处理网络安全问题，可以帮助获得与供应商联系的道德黑客。但是，我们也没有收到他们的回应。

“在出版时，漏洞仍然存在，我们没有收到他们身边的回应。”

零售商的客户可以做到不仅仅是监控他们的数据，并警惕任何可疑的电子邮件或联系人尝试。

计算机每周伸出季风，寻求确认Youngren的调查结果并澄清公司的回应，但该公司的新闻联系人在出版时没有回复我们的方法。我们还联系了NCSC，但该组织拒绝回应关于该事事件的具体问题。

季风在2020年6月进入政府，因为被迫在锁定期间百次幸福，而是由其创始人彼得西蒙回来的被称为包装前交易。许多商店仍然有闭幕风险，超过500名员工面临冗余的风险，而零售商的债权人欠欠132万英镑。

2020年8月12日更新：

在VPNPRO的初始研究博客发布后，季风修复了这个问题，而VPNPRO的安全团队现在已经确认服务器不再脆弱。零售商仍未响应评论请求。