Skýrsla: Ferðatilkynningarpallur lekur gögn starfsmanna Bandaríkjastjórnar


Stýrt af Noam Rotem og Ran Locar, uppgötvaði rannsóknarteymi vpnMentor a brot í gagnagrunni sem tilheyrir Autoclerk, pöntunarstjórnunarkerfi í eigu Best Western Hotels and Resorts Group. Tengdur ýmsum ferða- og gestrisnistengd pallur á netinu, óvarinn gagnagrunnur stafaði hætta af mörgum aðilum.

Nokkrum vikum áður en liðið okkar uppgötvaði lekann var Autoclerk keyptur af Best Western Hotel & Resorts Group, sem hugsanlega afhjúpar eina stærstu hótelkeðju í heimi.

Lekinn afhjúpa viðkvæmar persónulegar upplýsingar notenda og hótelgesta, ásamt fullkomnu yfirliti yfir hótel- og ferðapantanir þeirra. Í sumum tilvikum var um að ræða innritunartíma og herbergisnúmer. Það hafði áhrif 1.000 manns um allan heim, með milljón nýjum plötum bætt við daglega. 

Það óvæntasta fórnarlambið af þessum leka var ekki einstaklingur eða fyrirtæki: það var Bandarísk stjórnvöld, herinn og Department of Homeland Security (DHS). Lið okkar skoðaði mjög viðkvæm gögn sem afhjúpa persónulegar upplýsingar um starfsmenn stjórnvalda og hersins og ferðatilhögun sína til staða um allan heim, bæði fortíð og framtíð.

Þetta táknaði a stórfellt öryggisbrot stjórnvalda stofnanir og deildir höfðu áhrif.

Tímalína fyrir uppgötvun og viðbrögð eigenda

Stundum er umfang gagnabrots og eigandi gagna augljóst og málið leystist fljótt. En sjaldgæf eru þessir tímar. Oftast þurfum við daga rannsókna áður en við skiljum hvað er í húfi eða hver lekur gögnunum.

Að skilja brot og hvað er í húfi tekur vandlega athygli og tíma. Sumir aðilar sem hafa áhrif hafa afneitað staðreyndum, virða að vettugi rannsóknir okkar eða segja frá áhrifum þeirra. Við verðum að vera rækileg og vertu viss um að allt sem við finnum sé rétt og satt.

Við leggjum hart að okkur við útgáfu nákvæmar og áreiðanlegar skýrslur, til að tryggja að allir sem lesa þá skilji alvarleika þeirra.

Í þessu tilfelli, vegna fjöldi ytri upphafsstiga og hrein stærð gagnanna sem eru afhjúpaðir, eigandi gagnagrunnsins var óljóst í smá stund, en við grunaði að það tilheyrði Autoclerk af ýmsum ástæðum

Á meðan, Við höfum haft samband við tölvu neyðaraðstoðarteymi Bandaríkjanna (CERT). Við gerðum grein fyrir eðli lekans og gögn stjórnvalda, hersins og DHS sem voru afhjúpuð. En þegar þeir voru gefnir út hafa þeir ekki svarað tölvupósti okkar, hunsa áhyggjur okkar. 

  • 13. september: Gagnasafn uppgötvað
  • 13. september: US CERT hafði samband, ekkert svar
  • 19. september: Sendiráð Bandaríkjanna í Tel Aviv tilkynnti um skort á viðbrögðum við CERT
  • 26. september: Samband haft við fulltrúa Pentagon, sem tryggir að málið verði afgreitt
  • 2. október: Gagnasafn lokað

Dæmi um færslur í gagnagrunninn

Gagnagrunnurinn var hýstur af Amazon netþjónum í Bandaríkjunum, sem innihélt yfir 179GB af gögnum. Margt af þeim gögnum sem afhjúpað var upprunnin frá utanaðkomandi ferða- og gestrisni vettvangi sem notaði vettvang gagnagrunnseigandans til að hafa samskipti sín á milli.

Viðskiptavinapallarnir hafa áhrif eignastýringarkerfi (PMS), bókunarvélar og gagnaþjónusta innan ferðaþjónustu og gestrisni.

Ferðalög & Gestrisni pallur sem hefur áhrif

Autoclerk er sameinað pöntunarkerfi fyrir hótel, veitendur gistingar, ferðaskrifstofur og fleira. Þessir eiginleikar fela í sér net- og skýjabundna fasteignastjórnunarkerfi (PMS), vefbókunarvél, aðalbókunarkerfi og PMS tengi fyrir hótel. Af þessum sökum var gagnagrunnurinn sem lið okkar fann tengdur við ótal hótel- og ferðapalla.

Nokkur dæmi um utanaðkomandi viðskiptavinaskipti sem lekinn hefur í hættu eru:

  • HAPI ský
  • OpenTravel
  • myHMS og CleanMeNext eftir Autoclerk
  • Samræmd af Sabre Hospitality Solutions

Þó að þessir kostir séu að mestu byggðir í Bandaríkjunum, notendur leka út um allan heim. Lið okkar skoðaði mörg ódulkóðað skilríki með innskráningu til að fá aðgang að reikningum í viðbótarkerfum utan við gagnagrunninn, svo sem aðskilda PMS palla, gestamat & endurskoðunarkerfi og fleira.

Persónulega & Ferðagögn afhjúpuð

Þegar pallarnir sem voru í þessum leka beindust að ferðalögum og gestrisni, gagnagrunnurinn innihélt 100.000 bókanir á netinu fyrir gesti og ferðamenn. Þetta þýddi persónulegar upplýsingar um gesti í gistiaðstöðu sem notuð var á vettvang sem varð fyrir áhrifum komu einnig fram.

Upplýsingar um fólk sem gerir fyrirvara óvarinn felur í sér:

  • Fullt nafn
  • Fæðingardagur
  • Heimilisfangið
  • Símanúmer
  • Dagsetningar & kostnaður við ferðalög
  • Greindar kreditkortsupplýsingar

Þegar gestur var búinn að innrita sig á hótel, varð innritunartími þeirra og herbergisnúmer einnig sýnilegt í gagnagrunninum.

Allar þessar upplýsingar eru ótrúlega dýrmætt fyrir glæpamenn og þjófar á netinu.

Gögn Bandaríkjastjórnar

Veikleikarnir sem við höfum lýst hér að ofan munu vera til vandræða fyrir venjuleg fyrirtæki og einkaaðila.

Fyrir Bandaríkjastjórn ættu viðvörunarbjöllur að hringja.

Einn af þeim vettvangi sem var sýndur í gagnagrunninum var verktaki bandarískra stjórnvalda, hersins og DHS. Verktakinn hefur umsjón með ferðatilhögun bandarískra stjórnvalda og hersins, sem og óháðir verktakar sem vinna með bandarískum varnar- og öryggisstofnunum.

Lekinn afhjúpaði persónugreinanlegar upplýsingar (PII) starfsmanna og ferðatilhögun þeirra. Lið okkar skoðaði logs fyrir Hershöfðingjar Bandaríkjahers sem ferðast til Moskvu, Tel Aviv, og margir fleiri áfangastaðir. Við fundum einnig netfang þeirra, símanúmer og önnur viðkvæm persónuleg gögn.

Þetta táknar a mikill galli í gagnaöryggisbúnaðinum í kringum svo viðkvæmar upplýsingar. Sérhvert fyrirtæki sem lýtur að ferðaflutningum háttsettra hermanna skal fara eftir ströngustu gagnaverndarvenjum.

Með því að gera það ekki, eigandi þessa gagnagrunns afhjúpaði fjölda upplýsinga um að stjórnendur og hernaðarlegir viðskiptavinir vildu frekar vera lokaðir.

Gagnagrunnurinn sem afhjúpast ætti að vera áhyggjuefni fyrir alla aðila sem hafa áhrif á hann. Allt frá gestum á hótelum sem notuðu áhrifapallana til yfirmanna starfsmanna Bandaríkjastjórnar, þar sem starfsmenn þeirra voru í hættu, allir eru viðkvæmir fyrir árásum og misnotkun.

Áhrif gagnabrots

Tölvusnápur getur notað afhjúpuð gögn til búa til flókin svindl beinist að fyrirtækjunum sem hafa áhrif, gestum þeirra og Bandaríkjastjórn.

Áhrif á hótelgesti

Svik & Netveiðiherferðir

Sameina bókunarpöntun gesta og persónuleg gögn, tölvusnápur getur fundið viðbótarupplýsingar á netinu og búið til fullkomin snið viðkvæmra markmiða.

Þeir geta síðan miðað hótelgestum að draga út frekari upplýsingar, svo sem upplýsingar um fjárhagsreikning eða viðkvæm lykilorð. Þetta er hægt að nota til stela frá fórnarlömbum, embed in malware og annars konar árás, fjárkúgun, eða stela sjálfsmynd þeirra.

Gögnin sem afhjúpuð voru voru gullmín fyrir phishing herferðir. Phishing-herferð notar svikinn tölvupóst sem líkir eftir raunverulegum fyrirtækjum til að plata fórnarlömb til að láta í té lykilorð, upplýsingar um kreditkort eða fella skaðlegan hugbúnað í tæki.

Afbrotamenn gætu gefið sig fram sem hótel eða bókunarvélar notaðir af gestum, búa til sannfærandi tölvupóst til að auðvelda blekkja þá. Áhrifin gætu verið hrikaleg, bæði fjárhagslega og persónulega.

Líkamlegar hættur

Með nákvæmum upplýsingum um hóteldvöl þeirra, tölvusnápur myndi vita nákvæmlega hvenær gestir hótela sem nota viðkomandi PMS og pöntunarpalla eru í fríi, ásamt heimilisföngum. 

Þeir gætu notað þessar upplýsingar til skipuleggðu innbrot í heimahús með lágmarks áhættu að vera veiddur eða miða við þá erlendis.

Ennfremur, með útsýni af hótelherbergjum, væri einnig hægt að miða gesti á meðan þeir voru í fríi.

Áhrif á eiganda gagnagrunnsins og viðskiptavini

Sama svik og phishing tækni sem lýst er hér að ofan gæti einnig verið notuð á fyrirtæki sem hafa áhrif á lekann, með miklu meiri afleiðingum. Þetta felur í sér Autoclerk.

Phishing herferðir og illgjarn árásir á hugbúnað geta verið hrikaleg fyrir fyrirtæki af öllum stærðum. Þeir skerða öryggi ekki aðeins fyrirtækisins, heldur einnig starfsmenn og viðskiptavinir. 

Varnarleysið okkar komst að afhjúpað eigendur gagnagrunnsins, þá fjölmörgu vettvang sem honum tengjast og öll hótel sem nota þá vettvang. 

Árásarmaður gat það notaðu þennan leka til að sjá hvernig kerfin hafa samskipti og öðlast mikilvæga þekkingu um utanaðkomandi netþjóna, þ.mt lykilorð fyrir reikninga á öðrum kerfum. Tölvusnápur og netbrotamenn geta notað þessar upplýsingar til að skipuleggja markvissar árásir gegn öllum þeim aðilum sem verða fyrir, jafnvel í kerfum utan þessa gagnagrunns.

Svigrúmið fyrir hugsanlega refsiverða virkni er mikið.

Áhrif á Bandaríkjastjórn

Mesta áhættan sem stafaði af þessum leka var fyrir Bandaríkjastjórn og her. Verulegt magn viðkvæmra starfsmanna og hersins gæti nú verið á almenningi. 

Þetta gefur ómetanlegt innsýn í rekstur og starfsemi bandarískra stjórnvalda og starfsmanna hersins. Afleiðingar þjóðaröryggis fyrir Bandaríkjastjórn og her eru víðtækar og alvarlegar. 

Ríkisstarfsmenn – sérstaklega í hernum – eru það verðmæt markmið fyrir tölvusnápur, glæpamenn og keppinautar ríkisstjórnir, af augljósum ástæðum. 

Þó að phishing-herferð eða önnur árás geti verið vandasöm fyrir almenna borgara og fyrirtæki, eru afleiðingarnar fyrir stjórnvöld eða her miklu alvarlegri, skerða þjóðaröryggi og öryggi einstakra starfsmanna sem verða fyrir áhrifum. 

Það var með einfaldri phishing herferð sem rússneskir tölvuþrjótar fengu aðgang að lýðræðisnefnd Bandaríkjanna árið 2018.

Þessi leki stofnaði öryggi starfsmanna einnig í hættu með því að gefa lifandi upplýsingar um ferðatilhögun sína, rétt niður á hótelherbergi númer þeirra.

Ennþá skaðlegra, ef þessi gögn voru sótt getur það verið selt á Dark Web og verða næstum ekki rekjanlegar. 

Ráðgjöf sérfræðinga

Auðvelt hefði verið að forðast þennan gagnaleka ef eigandi gagnagrunna hefði gripið til nokkurra grundvallar öryggisráðstafana. Þetta fyrirtæki er hægt að endurtaka, sama stærð þeirra:

  1. Tryggja netþjónum þínum.
  2. Innleiða viðeigandi aðgangsreglur.
  3. Aldrei skal skilja eftir kerfi sem þarfnast ekki auðkenningar opið fyrir internetið.

Til að fá ítarlegri leiðbeiningar um hvernig hægt er að vernda fyrirtæki þitt, skoðaðu hvernig þú getur tryggt vefsíðuna þína og netgagnagrunninn frá tölvusnápur.

Fyrir pallana sem hafa áhrif

Áður en þú samþykkir hugbúnað eða forrit til að stjórna svæði fyrirtækisins skaltu ganga úr skugga um að þeir fylgi bestu vinnubrögðum gagnaöryggis. Ef vinnsla utanaðkomandi gagna, svo sem hótelgestur eða almenningur, verður þú að tryggja að þessi gögn séu varin fyrir tölvusnápur. 

Málamiðlun persónuupplýsinga viðskiptavina þinna getur skapa meiriháttar mannorðstjón og traustmál í framtíðinni. 

Til að fá ítarlegan leiðbeiningar um hvernig hægt er að vernda viðskipti þín á netinu, skoðaðu hvernig þú getur tryggt vefsíðuna þína og netgagnagrunninn frá tölvusnápur.

Fyrir gesti hótela sem hafa áhrif

Ef þú hefur áhyggjur af gögnum þínum hefur verið stefnt í þessum leka, hafðu samband við öll hótel sem þú gistir nýlega til að staðfesta hvort þau hafa orðið fyrir áhrifum. Þeir ættu að upplýsa þig um öll skref sem þau taka til að leysa málið.

Þú getur líka lesið handbók okkar um persónuvernd á internetinu og lesið heildarleiðbeiningar okkar um persónuvernd á netinu. Það sýnir þér hinar mörgu leiðir sem þú getur verið beint að af netbrotamönnum og skrefin sem þú getur tekið til að vera öruggur.

Bandaríkjastjórn og her

Allir stofnanir í Bandaríkjunum hafa áhrif á þennan leka endurskoða vetting verklagsreglur þeirra fyrir þriðja aðila verktaka. Sérhver utanaðkomandi fyrirtæki, sem er að fást við gögn stjórnvalda og her, ætti að fylgja ströngum gagnaöryggisreglum og tryggja að það séu engar varnarleysi í hugbúnaðinum sem þeir nota.. 

Hvernig og hvers vegna við uppgötvuðum brotið

Rannsóknarteymið vpnMentor uppgötvaði þetta brot sem hluti af risastóru netkortagerðarverkefni. Tölvusnápur okkar nota höfn skönnun til að skoða sérstakar IP blokkir og prófa opið göt í kerfum fyrir veikleika. Þeir skoða hvert gat fyrir gögn sem lekið er. 

Þegar þeir finna gagnabrot, þeir notaðu sérfræðitækni til að sannreyna hver gagnagrunnurinn er. Við gerum síðan viðvörun eiganda gagnagrunnsins um brotið. Ef mögulegt er munum við einnig láta þá sem verða fyrir áhrifum af brotinu láta vita af sér.

Lið okkar gat aðgang að þessum gagnagrunni vegna þess að hann var fullkomlega ótryggður og dulkóðaður. Þegar þetta er skrifað hefur auðkenni eiganda þess þó ekki verið staðfest.

Sá sem á umræddan gagnagrunn notar Elasticsearch gagnagrunn, sem venjulega er ekki hannað til notkunar URL. Samt sem áður, við gátum nálgast það í vafra og unnið með leitarskilyrðin fyrir vefslóðina að afhjúpa tímasetningar frá einni vísitölu hvenær sem er. 

Tilgangurinn með þessu kortlagningarverkefni er að hjálpa gera internetið öruggara fyrir alla notendur. 

Sem siðferðilegum tölvuþrjótum er okkur skylt að upplýsa fyrirtæki eða viðskiptavini sína þegar við uppgötvum galla á öryggi þeirra á netinu. Þetta á sérstaklega við þegar gagnabrot fyrirtækjanna innihalda svo viðkvæmar upplýsingar varðandi stjórnvöld, her og varnarmálastofnanir þjóðarinnar. 

Þessar siðareglur þýða líka við berum ábyrgð gagnvart almenningi, sem eiga skilið að vera meðvitaðir um brot á þessari stærðargráðu og þeim afleiðingum sem það hefur á hagsmuni þeirra.

Um okkur og fyrri skýrslur

vpnMentor er stærsta vefsíða heimsskoðunar VPN. Rannsóknarstofa okkar er pro bono þjónusta sem leitast við að hjálpa netsamfélaginu að verja sig gegn netógnunum og fræða samtök um að vernda gögn notenda sinna. 

Við fundum nýlega mikið gagnabrot sem hafði áhrif á 80 milljónir heimila í Bandaríkjunum. Við afhjúpuðum einnig að brot á Biostar 2 skerti líffræðileg tölfræði gögn yfir 1 milljón manns. Þú gætir líka viljað lesa VPN-lekaskýrslu og persónuupplýsingaskýrslu gagnanna.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map