Báo cáo: Nền tảng bảo mật rò rỉ Nhật ký bảo mật khách sạn, bao gồm các thuộc tính của Marriott


Nhóm nghiên cứu vpnMentor, gần đây đã phát hiện ra rằng Marriott và các thương hiệu khách sạn khác do Tập đoàn khách sạn Pyramid quản lý đã bị rò rỉ dữ liệu an ninh mạng, tiết lộ các lỗ hổng có thể là một công cụ quan trọng có tác động đáng kể trong một cuộc tấn công lớn trong tương lai.

Được dẫn dắt bởi những kẻ tấn công Noam Rotem và Ran Locar, các nhà nghiên cứu của vpnMentor đã phát hiện ra một vi phạm làm lộ 85,4GB nhật ký kiểm toán bảo mật, bao gồm thông tin nhận dạng cá nhân (PII) của nhân viên của các công ty bị ảnh hưởng và quay trở lại cho đến ngày 19 tháng 4 năm 2019. Ngày này có thể cho biết thiết lập hệ thống, cấu hình lại hoặc bảo trì đã tác động đến máy chủ và làm cho nó mở và có sẵn cho thế giới.

Tập đoàn khách sạn Pyramid sử dụng Wazuh – một hệ thống phát hiện xâm nhập nguồn mở – trên một máy chủ không bảo mật đang rò rỉ thông tin liên quan đến hệ điều hành, chính sách bảo mật, mạng nội bộ và nhật ký ứng dụng của họ.

Biên tập viên Lưu ý: Wazuh là một công cụ giám sát an ninh và do đó, các cảnh báo do Wazuh tạo ra có thể được lưu trữ ở bất cứ đâu. Bảo mật các hệ thống đó thuộc trách nhiệm của người dùng, bao gồm bảo mật dữ liệu và ngăn chặn việc tiếp xúc với người dùng trái phép. Rò rỉ này không phải do lỗi trên một phần của công cụ Wazuh, cũng như nhóm của nó. 

Dòng thời gian khám phá và phản ứng

NGÀYBIẾN CỐ
27/5/19Vi phạm được phát hiện bởi nhóm nghiên cứu vpnMentor
28/11/19PHG thông báo vi phạm
28/11/19Nhận được xác nhận từ PHG
29/5/19Dữ liệu bị đóng. Giải quyết vấn đề.

Thông tin có trong cơ sở dữ liệu

Dữ liệu không được bảo mật hiển thị công khai bao gồm cả giám sát và cảnh báo, báo cáo lỗi hệ thống, cấu hình sai, vi phạm chính sách, các vi phạm độc hại đã cố gắng tiềm ẩn và các sự kiện an ninh mạng khác.

Các bên bị ảnh hưởng dường như bao gồm Tarrytown House động sản (New York), Khách sạn sang trọng carton House (Ireland), Khách sạn Aloft (Florida), Khách sạn Temple Bar (Ireland) và các thương hiệu khác trong Tập đoàn khách sạn Pyramid.

Những gì chúng ta có thể thấy thông qua rò rỉ dữ liệu bao gồm – nhưng không giới hạn – các chi tiết nhạy cảm sau:

  • Khóa và mật khẩu API máy chủ
  • Tên thiết bị
  • Địa chỉ IP của các kết nối đến hệ thống và định vị địa lý
  • Tường lửa và thông tin cổng mở
  • Cảnh báo phần mềm độc hại
  • Các ứng dụng bị hạn chế
  • Cố gắng đăng nhập
  • Phát hiện tấn công vũ phu
  • Tên và địa chỉ máy tính cục bộ, bao gồm các cảnh báo trong đó chúng không được cài đặt phần mềm chống vi-rút
  • Virus và phần mềm độc hại được phát hiện trên các máy khác nhau
  • Lỗi ứng dụng
  • Tên máy chủ và chi tiết hệ điều hành
  • Thông tin xác định chính sách an ninh mạng
  • Nhân viên tên đầy đủ và tên người dùng
  • Dữ liệu bảo mật khác

Nguy cơ lộ thông tin này

Cơ sở dữ liệu này cung cấp cho bất kỳ kẻ tấn công nào khả năng giám sát mạng khách sạn, thu thập thông tin có giá trị về quản trị viên và người dùng khác và xây dựng một vectơ tấn công nhắm vào các liên kết yếu nhất trong chuỗi bảo mật. Nó cũng cho phép kẻ tấn công thấy những gì nhóm bảo mật nhìn thấy, học hỏi từ những nỗ lực của họ dựa trên các cảnh báo được đưa ra bởi các hệ thống và điều chỉnh các cuộc tấn công của chúng cho phù hợp. Nó như thể những cá nhân bất chính có máy ảnh riêng của họ đang tìm kiếm trong văn phòng bảo mật của công ty..

Trong trường hợp xấu nhất, rò rỉ này có khả năng gây nguy hiểm không chỉ cho các hệ thống, mà cả khách hàng của khách sạn an ninh vật lý và các khách hàng quen khác. Nhóm của chúng tôi đã tìm thấy nhiều thiết bị kiểm soát các cơ chế khóa khách sạn, két điện tử trong phòng và các hệ thống quản lý an ninh vật lý khác. Đặc biệt là trong tay kẻ xấu, điều này dẫn đến nguy cơ rất thực sự ở đây khi lỗ hổng an ninh mạng đe dọa an ninh thế giới thực.

Với cửa sổ này vào các sự kiện và chính sách an ninh mạng, có thể tinh chỉnh các chiến thuật để có thể xâm nhập vào hệ thống của các công ty bị ảnh hưởng. Từ những gì chúng ta có thể thấy, có thể hiểu được quy ước đặt tên được sử dụng bởi tổ chức, các miền và kiểm soát miền khác nhau, cơ sở dữ liệu được sử dụng và thông tin quan trọng khác dẫn đến khả năng thâm nhập.

Rò rỉ dữ liệu này đang tiết lộ thông tin là riêng tư, bí mật và thường chỉ dành cho mắt của một nhóm nội bộ hoặc MSSP. Điều trớ trêu là những gì mà lộ ra là từ một hệ thống nhằm bảo vệ công ty khỏi những lỗ hổng như vậy.

Làm thế nào chúng tôi phát hiện ra rò rỉ

Nhóm nghiên cứu vpnMentor.com hiện đang thực hiện một dự án lập bản đồ web khổng lồ. Sử dụng quét cổng để kiểm tra các khối IP đã biết cho thấy các lỗ hổng trong hệ thống web, sau đó được kiểm tra các lỗ hổng, bao gồm cả việc phơi nhiễm và vi phạm dữ liệu tiềm năng.

Khai thác nhiều năm kinh nghiệm và bí quyết, nhóm nghiên cứu kiểm tra cơ sở dữ liệu để xác nhận danh tính của nó.

Sau khi xác định, chúng tôi liên hệ với chủ sở hữu cơ sở dữ liệu để báo cáo rò rỉ. Bất cứ khi nào có thể, chúng tôi cũng cảnh báo những người bị ảnh hưởng trực tiếp. Đây là phiên bản của chúng tôi về việc đưa nghiệp tốt lên web – để xây dựng một mạng internet an toàn hơn và được bảo vệ nhiều hơn.

Lời khuyên từ các chuyên gia

Có thể ngăn chặn rò rỉ dữ liệu này? Chắc chắn rồi! Các công ty có thể tránh tình trạng như vậy bằng cách thực hiện các biện pháp bảo mật thiết yếu ngay lập tức, bao gồm:

  1. Đầu tiên và quan trọng nhất, bảo mật máy chủ của bạn.
  2. Thực hiện các quy tắc truy cập thích hợp.
  3. Không bao giờ rời khỏi một hệ thống mà không yêu cầu xác thực mở ra internet.

Để biết thêm thông tin chi tiết về cách bảo vệ doanh nghiệp của bạn, hãy xem cách bảo mật trang web và cơ sở dữ liệu trực tuyến của bạn khỏi tin tặc.

Bạn có thể quan tâm đến các báo cáo trước đây của chúng tôi:

vpnMentor là trang web đánh giá VPN lớn nhất thế giới. Phòng thí nghiệm nghiên cứu của chúng tôi là một dịch vụ chuyên nghiệp nhằm cố gắng giúp cộng đồng trực tuyến tự bảo vệ mình trước các mối đe dọa trên mạng trong khi giáo dục các tổ chức về bảo vệ dữ liệu người dùng của họ..

Gần đây chúng tôi đã tiết lộ rằng một vụ vi phạm dữ liệu đã phơi bày hơn 80 triệu hộ gia đình ở Mỹ và hơn 25% công ty Fortune 500 đã bị hack. Bạn cũng có thể muốn đọc báo cáo của chúng tôi về các ứng dụng giả được sử dụng ở Iran để theo dõi người dùng, Báo cáo rò rỉ VPN và Báo cáo thống kê bảo mật dữ liệu.

Xin vui lòng chia sẻ báo cáo này trên Facebook hoặc là tweet nó.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map