Aruanne: Reisibroneerimise platvorm lekib USA valitsuse personali andmeid


Noam Rotemi ja Ran Locari juhtimisel avastas vpnMentori uurimisrühm a rikkumine andmebaasis, mis kuulub ettevõttele Best Western Hotels and Resorts Group kuulunud broneeringute haldussüsteemile Autoclerk. Ühendatud erinevate reisi- ja külalislahkusega seotud platvormid Internetis kujutas paljastatud andmebaas ohtu paljudele osapooltele.

Mõni nädal enne meie meeskonna lekke avastamist ostis Best Western Hotel Autoclerki & Resorts Group, mis võib potentsiaalselt paljastada maailma ühe suurima hotelliketi.

Leke avaldatud kasutajate ja hotellikülaliste delikaatseid isikuandmeid, koos täieliku ülevaatega nende hotellist ja reiside broneeringutest. Mõnel juhul hõlmas see sisseregistreerimise aega ja toa numbrit. See mõjutas 1000 inimest kogu maailmas, iga päev lisandub miljoneid uusi plaate. 

Kõige üllatavam ohver ei olnud selle lekke üksikisik ega ettevõte: see oli USA valitsus, sõjavägi ja sisejulgeolekuministeerium (DHS). Meie meeskond vaatas ülitundlikke andmeid, paljastades valitsuse ja sõjaväelaste isiklikud andmed, ja nende reisikorraldus üle kogu maailma, nii minevikust kui ka tulevikust.

See tähistas a massiline valitsuse turvalisuse rikkumine mõjutatud asutused ja osakonnad.

Avastamise ajajoon ja omaniku reageerimine

Mõnikord on andmerikkumise ulatus ja andmete omanik ilmne ning probleem lahenes kiiresti. Kuid harvad on need ajad. Kõige sagedamini vajame uurimise päevi, enne kui mõistame, mis on kaalul või kes levitab andmeid.

Rikkumisest ja sellest, mis on kaalul, mõistmine võtab hoolikalt tähelepanu ja aega. Mõned mõjutatud osapooled eitavad fakte, jättes tähelepanuta meie uuringud või vähendades nende mõju. Peame olema põhjalikud ja veenduge, et kõik, mida leiame, oleks õige ja tõene.

Töötame kõvasti kirjastamisega täpsed ja usaldusväärsed aruanded, et kõik, kes neid loevad, mõistaksid nende tõsidust.

Sel juhul tulenevalt väliste lähtepunktide arv ja paljastatud andmete puhas suurus, andmebaasi omanik oli natuke aega ebaselge, aga meie kahtlustas, et see kuulub Autoclerkile mitmel põhjusel

Vahepeal, oleme ühendust võtnud Ameerika Ühendriikide arvutiavariide valmisoleku meeskonnaga (CERT). Me kirjeldasime lekke olemust ja avaldatud valitsuse, sõjaväe ja sisejulgeolekuministeeriumi andmed. Avaldamise ajal pole nad aga meie e-kirjale vastanud, ignoreerides meie muresid. 

  • 13. september: Andmebaas avastatud
  • 13. september: USA CERT-iga võeti ühendust, vastust ei saadud
  • 19. september: USA saatkond Tel Avivis teatas CERT-i reageerimise puudumisest
  • 26. september: Pentagoni esindajaga võetakse ühendust, kes tagab, et küsimusega tegeletakse
  • 2. oktoober: Andmebaas suletud

Andmebaasi kannete näited

Andmebaasi hostasid USA veebiserverid Amazon, mis sisaldab üle 179 GB andmeid. Suur osa paljastatud andmetest pärines välistest reisi- ja majutusplatvormidest, kasutades üksteisega suhtlemiseks andmebaasi omaniku platvormi.

Mõjutatud kliendiplatvormid hõlmavad kinnisvarahaldussüsteemid (PMS), broneerimismootorid ja andmesideteenused turismi- ja hotellinduse valdkonnas.

Reisima & Mõjutatud külalislahkuse platvormid

Autoclerk on kombineeritud broneerimissüsteem hotellidele, majutusettevõtetele, reisibüroodele ja muule. Selle funktsioonide hulka kuuluvad serveri- ja pilvepõhised kinnisvarahaldussüsteemid (PMS), veebibroneerimise mootor, kesksed reserveerimissüsteemid ja hotelli PMS-liidesed. Sel põhjusel oli meie meeskonna leitud andmebaas ühendatud hulgaliselt hotellide ja reisiplatvormidega.

Mõned näited lekke ohus olevate väliste kliendi platvormide kohta:

  • HAPI pilv
  • OpenTravel
  • myHMS ja CleanMeNext, autor Autoclerk
  • Sünni autor: Sabre Hospitality Solutions

Need platvormid asuvad enamasti USA-s, lekkega kokku puutunud kasutajad kogu maailmas. Meie meeskond vaatas paljusid krüptimata sisselogimismandaate, et pääseda juurde andmebaasist väljaspool asuvate täiendavate süsteemide kontodele, näiteks eraldi PMS-platvormid, külaliste hinnangud & ülevaatussüsteemid ja palju muud.

Isiklik & Reisiandmed on avatud

Kuna selle lekkega paljastatud platvormid keskendusid reisimisele ja külalislahkusele, andmebaas sisaldas 100 000 s broneeringute broneerimist külalistele ja reisijatele. See tähendas külaliste isiklikud andmed kokkupuudet said ka kahjustatud platvormi kasutavates majutuskohtades.

Broneeringuga kokku puutunud inimeste teave sisaldab järgmist:

  • Täisnimi
  • Sünnikuupäev
  • Kodu aadress
  • Telefoninumber
  • Kuupäevad & reisikulud
  • Varjatud krediitkaardiandmed

Teatud broneeringute korral said külalised pärast hotelli sisenemist registris saabumise aja ja numbri vaadata ka andmebaasis.

Kogu see teave on uskumatult väärtuslik kriminaalsete häkkerite jaoks ja veebivargad.

USA valitsuse andmed

Ülalkirjeldatud haavatavused tekitavad muret tavalistele ettevõtetele ja eraisikutele.

USA valitsuse jaoks peaksid helistama häirekellad.

Üks andmebaasis eksponeeritud platvormidest oli USA valitsuse, sõjaväe ja DHSi töövõtja. Töövõtja haldab USA valitsuse ja sõjaväelaste reisikorraldust, samuti Ameerika kaitse- ja julgeolekuagentuuridega koostööd tegevad sõltumatud töövõtjad.

Lekk paljastas töötajate isikut tuvastava teabe (PII) ja nende reisikorralduse. Meie meeskond vaatas logisid USA armee kindralid sõidavad Moskvasse, Tel Avivi, ja palju muid sihtkohti. Samuti leidsime nende e-posti aadressi, telefoninumbrid ja muud tundlikud isikuandmed.

See tähistab a oluline viga andmeturbeaparaatides sellise tundliku teabe ümber. Kõik ettevõtted, kes tegelevad kõrgetasemelise sõjaväelaste reisilogistikaga, peaksid järgima kõige rangemaid andmekaitse tavasid.

Seda mitte tehes, selle andmebaasi omanik paljastas hulgaliselt teavet selle kohta, et valitsuse ja sõjaväe kliendid oleksid pigem privaatsed.

Paljastatud andmebaas peaks olema kõigi mõjutatud osapoolte mure. Alates külalistest hotellides, kus kasutatakse löögiplatvorme, kuni USA valitsuse kõrgemate töötajateni, kelle töötajad on sattunud ohtu, on rünnaku ja ekspluateerimise suhtes haavatavad kõik.

Andmete rikkumise mõju

Häkkerid saavad paljastatud andmeid kasutada luua keerulisi pettusi mis on suunatud mõjutatud ettevõtetele, nende külalistele ja USA valitsusele.

Mõju hotellikülalistele

Pettus & Andmepüügikampaaniad

Külaliste broneeringute ja isiklike andmete kombineerimine, häkkerid võivad veebist leida lisateavet, luues haavatavate sihtmärkide täielikud profiilid.

Seejärel saavad nad suunata hotellikülalised siia eraldage lisateavet, näiteks finantskonto üksikasju või tundlikke paroole. Nendega saab harjuda varastada ohvritelt, manustada pahavara ja muud rünnakud, raha väljapressimine või varastada nende identiteeti.

Paljastatud andmed olid a kuldmiin andmepüügikampaaniate jaoks. Andmepüügikampaania kasutab võltseid e-kirju, mis jäljendavad reaalseid ettevõtteid, et petta ohvreid paroolide, krediitkaardiandmete esitamisse või seadmesse pahatahtliku tarkvara manustamisse.

Kurjategijad võivad poseerida hotellides või külaliste kasutatavates broneerimismootorites, veenvate e-kirjade meisterdamine, et neid hõlpsalt petta. Mõjud võivad olla laastavad nii rahaliselt kui ka isiklikult.

Füüsilised ohud

Üksikasjalik teave nende majutuse kohta hotellis, häkkerid teaksid täpselt, millal mõjutatud PMS-i ja broneerimisplatvorme kasutavate hotellide külalised puhkavad, koos nende koduste aadressidega. 

Nad saaksid seda teavet kasutada planeerige kodus sissemurdmisi minimaalse riskiga tabada või suunata nad välismaale.

Lisaks võib hotellitoa numbrite paljastamise korral suunata külalised ka puhkuse ajal.

Mõju andmebaasi omanikule ja klientidele

Sama ülaltoodud pettuse- ja andmepüügitaktikat võiks kasutada ka lekkest mõjutatud ettevõtetes, millel on palju suuremad tagajärjed. See hõlmab Autoclerki.

Andmepüügikampaaniad ja pahatahtliku tarkvara rünnakud võivad olla igas suuruses ettevõtetele laastavad. Need seavad ohtu mitte ainult ettevõtte, vaid ka töötajate ja klientide turvalisuse. 

Meie meeskonna avastatud haavatavus paljastas andmebaasi omanikud, paljude sellega ühendatud platvormide ja kõik platvorme kasutavad hotellid. 

Ründaja võiks kasutage seda leket, et näha, kuidas süsteemid interakteeruvad ja saada olulisi teadmisi väliste serverite kohta, sealhulgas paroolid muude platvormide kontode jaoks. Häkkerid ja küberkurjategijad saavad seda teavet planeerimiseks kasutada suunatud rünnakud kõigi osapoolte vastu, isegi selle andmebaasi välistes süsteemides.

Võimaliku kriminaalse tegevuse ulatus on tohutu.

Mõju USA valitsusele

Selle lekkega kaasnenud suurim oht ​​oli USA valitsusele ja sõjaväele. Märkimisväärne arv tundlikke töötajate ja sõjaväelaste andmeid võiks nüüd olla avalikkusele kättesaadav. 

See annab hindamatu väärtuse ülevaade USA valitsuse ja sõjaväelaste operatsioonidest ja tegevusest. Mõju riiklikule julgeolekule USA valitsuse ja sõjaväe jaoks on laiaulatuslik ja tõsine. 

Valitsuse töötajad – eriti sõjaväes – on väärtuslikud sihtmärgid häkkeritele, kurjategijatele ja konkureerivatele valitsustele, arusaadavatel põhjustel. 

Kuigi andmepüügikampaania või muud tüüpi rünnakud võivad olla eraisikutele ja ettevõtetele probleemsed, on mõju valitsusele või sõjaväele palju tõsisem, kahjustades mõjutatud personali riiklikku julgeolekut ja isiklikku turvalisust. 

Vene häkkerid pääsesid 2018. aastal USA Demokraatliku Rahvuskomitee juurde lihtsa andmepüügikampaania kaudu.

See leke ohustas ka personali turvalisust, kuna see andis elavat teavet nende reisikorralduse kohta, eks nende hotellitoa numbrini.

Veel kahjulikum on see, kui need andmed alla laaditi, see võib nii olla müüakse Dark Webis ja muutuvad peaaegu jälitamatuks. 

Ekspertide nõuanded

Seda andmete leket oleks võinud hõlpsalt vältida kui andmebaaside omanik oleks võtnud mõned põhilised turvameetmed. Neid saab kopeerida iga ettevõte, olenemata selle suurusest:

  1. Turvaldage oma serverid.
  2. Rakendage nõuetekohased juurdepääsueeskirjad.
  3. Ärge kunagi jätke Internetti avatuks süsteemi, mis ei vaja autentimist.

Ettevõtte kaitsmiseks põhjalikuma juhendi leiate oma veebisaidi ja veebiandmebaasi häkkerite eest kaitsmise kohta.

Mõjutatud platvormide jaoks

Enne ettevõtte või piirkonna haldamiseks tarkvara või rakenduste kasutuselevõttu veenduge, et nad järgiksid andmeturbe parimaid tavasid. Väliste andmete (nt hotellikülaline või elanikud) töötlemisel peate tagama, et need andmed on häkkerite eest kaitstud. 

Klientide isikuandmete kahjustamine võib tekitada tulevikus suuri mainekahjustusi ja usaldusküsimusi. 

Põhjaliku juhendi kohta, kuidas oma ettevõtet veebis kaitsta, vaadake, kuidas kaitsta oma veebisaiti ja veebiandmebaasi häkkerite eest.

Mõjutatud hotellide külastajatele

Kui olete mures, on selle lekke korral teie andmeid rikutud, võtke ühendust kõigi hiljuti peatunud hotellidega, et veenduda, kas need on mõjutatud. Nad peaksid teid teavitama kõigist sammudest, mida nad probleemi lahendamiseks võtavad.

Samuti saate lugeda meie Interneti-privaatsuse juhendit, lugege meie täielikku juhendit Interneti-privaatsuse kohta. See näitab teile paljusid võimalusi, kuidas küberkurjategijad teid suunata võivad, ja samme, mida saate oma turvalisuse tagamiseks võtta.

USA valitsus ja sõjavägi

Seda peaksid tegema kõik USA valitsusorganid, keda see leke mõjutab vaadake üle nende kontrolliprotseduurid kolmandate osapoolte töövõtjate jaoks. Iga välisettevõte, mis tegeleb valitsuse ja sõjaväe andmetega, peaks järgima rangeid andmeturbeprotokolle ja tagama, et nende kasutatavas tarkvaras pole turvaauke.. 

Kuidas ja miks avastasime rikkumise

VpnMentori uurimisrühm avastas selle rikkumise as osa tohutust veebikaardistamisprojektist. Meie häkkerid kasutavad pordi skannimist konkreetsete IP-plokkide ja katsetage süsteemide avatud auke nõrkade külgede osas. Nad uurivad iga auku, kas andmeid pole lekkinud. 

Kui nad leiavad andmete rikkumise, siis nad kasutage andmebaasi identiteedi kontrollimiseks eksperttehnikaid. Seejärel teavitame andmebaasi omanikku rikkumisest. Võimalusel teavitame ka neid, keda rikkumine puudutab.

Meie meeskonnal õnnestus sellele andmebaasile juurde pääseda, kuna see oli täiesti turvamata ja krüptimata. Selle kirjutamise ajal ei ole selle omaniku isikut siiski kinnitatud.

Kellel on kõnealune andmebaas kasutab Elasticsearch andmebaasi, mis pole tavaliselt URL-ide jaoks mõeldud. Kuid, saime sellele juurde pääseda brauseri kaudu ja manipuleerida URL-i otsingukriteeriumidega skeemide paljastamiseks ühest indeksist igal ajal. 

Selle veebikaardistamise projekti eesmärk on aidata muuta Internet kõigile kasutajatele turvalisemaks. 

Eetiliste häkkeritena oleme kohustatud ettevõtteid või nende kliente teavitama, kui avastame nende veebiturbe puudusi. See kehtib eriti siis, kui ettevõtete andmerikkumised sisaldavad sellist tundlikku teavet riigi valitsuse, sõjaväe ja kaitseagentuuride kohta. 

Need eetikad tähendavad ka me kanname vastutust avalikkuse ees, kes vääriksid teadlikkust sellise ulatuse rikkumisest ja selle mõjust nende huvidele.

Meist ja eelmistest aruannetest

vpnMentor on maailma suurim VPN-i arvustuste veebisait. Meie teaduslabor on pro bono teenus, mille eesmärk on aidata veebiringkondadel kaitsta end küberohtude eest, õpetades samal ajal organisatsioone oma kasutajate andmete kaitsmisel.. 

Hiljuti avastasime tohutu andmerikkumise, mis mõjutas 80 miljonit USA leibkonda. Samuti selgus, et Biostar 2 rikkumine kahjustas enam kui miljoni inimese biomeetrilisi andmeid. Võib-olla soovite lugeda ka meie VPN-i lekkearuannet ja andmete privaatsuse statistika aruannet.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map