Izvještaj: Sigurnosna platforma curi sigurnosne zapisnike hotela, uključujući Marriott Properties
Istraživački tim vpnMentor-a nedavno je otkrio da su Marriott i drugi hotelski brendovi kojima upravlja grupacija Pyramid Hotel doživjeli curenje podataka o cyber-sigurnosti, otkrivajući ranjivosti koje bi mogle biti važan alat s značajnim utjecajem u masovnom budućem napadu.
Predvođeni haktivistima Noamom Rotemom i Ranom Locarom, istraživači vpnMentor otkrili su kršenje koje izlaže 85,4 GB zapisnika o reviziji sigurnosti, a koje uključuju i osobne identifikacijske podatke (PII) zaposlenika pogođenih tvrtki, te sežu do 19. travnja 2023. godine. Taj datum može ukazivati na postavljanje, rekonfiguraciju ili održavanje sustava koji su utjecali na poslužitelj i učinili ga otvorenim i dostupnim svijetu.
Grupa hotela Pyramid koristi Wazuh – otvoreni izvorni sustav za otkrivanje upada – na nezaštićenom poslužitelju koji curi informacije o njihovim operativnim sustavima, sigurnosnim pravilima, internim mrežama i zapisnicima aplikacija.
Napomena urednika: Wazuh je alat za nadzor sigurnosti i kao takav upozorenja koje generira Wazuh mogu se pohraniti gotovo bilo gdje. Osiguravanje tih sustava prepušteno je odgovornosti korisnika, uključujući osiguranje podataka i sprječavanje izlaganja neovlaštenim korisnicima. To propuštanje nije prouzrokovano pogreškom ni alata Wazuh, niti njegovog tima.
Vremenska crta otkrića i reakcije
| DATUM | DOGAĐAJ |
| 5/27/19 | Kršenje otkrilo tim vpnMentor Research |
| 5/28/19 | Obaviješteni o PHG-u o kršenju |
| 5/28/19 | Primljeno priznanje od PHG-a |
| 5/29/19 | Propuštanje podataka je zatvoreno. Problem je riješen. |
Podaci uključeni u bazu podataka
Nezaštićeni podaci koji su javno vidljivi uključuju praćenje i upozorenja, prijavljene pogreške u sustavu, pogrešnu konfiguraciju, kršenja pravila, potencijalne pokušaje zlonamjernih kršenja i druge cyber-sigurnosne događaje.
Čini se da pogođene stranke uključuju Tarrytown House Estate (New York), Carton House Luxury Hotel (Irska), Aloft Hoteli (Florida), Temple Bar Hotel (Irska) i druge marke u grupi Pyramid Hotel.
Ono što možemo vidjeti kroz propuštanje podataka uključuje – ali nije ograničeno na – sljedeće osjetljive detalje:
- Ključ i lozinka API-ja poslužitelja
- Imena uređaja
- IP adrese dolaznih veza na sustav i geolokacije
- Informacije o vatrozidu i otvorenim portovima
- Upozorenja o zlonamjernom softveru
- Ograničene aplikacije
- Pokušaji prijave
- Otkrivanje brutalne sile napada
- Naziv i adrese lokalnog računala, uključujući upozorenja za koja od njih nije instaliran antivirus
- Virus i zlonamjerni softver otkriveni su na raznim strojevima
- Pogreške u aplikaciji
- Nazivi poslužitelja i detalji o OS-u
- Informacije o pravilima za kibernetičku sigurnost
- Puna imena i korisnička imena zaposlenih
- Ostali podaci o sigurnosti
Opasnost od izlaganja ovih podataka
Ova baza podataka daje svakom potencijalnom napadaču mogućnost da prati mrežu hotela, prikuplja vrijedne informacije o administratorima i drugim korisnicima i gradi vektor napada ciljajući na najslabije veze u sigurnosnom lancu. Također omogućuje napadaču da vidi što vidi sigurnosni tim, nauči iz njihovih pokušaja na temelju upozorenja koje su podigli sustavi i, prema tome, prilagodi napade. Kao da zloglasni pojedinci imaju vlastiti fotoaparat u uredu za sigurnost tvrtke.
U najgorem slučaju, ovaj propust može ugroziti ne samo sustave, već i goste hotela i fizičke zaštitnike. Naš tim pronašao je više uređaja koji kontroliraju mehanizme zaključavanja hotela, elektroničke sefove u sobi i druge sustave upravljanja fizičkom sigurnošću. Ovo se, pogotovo u pogrešnim rukama, vraća kod kuće vrlo stvarne opasnosti kada nedostaci cyber-sigurnosti prijete sigurnosti u stvarnom svijetu..
Pomoću ovog prozora u događaje i politike kibernetičke sigurnosti moguće je precizno prilagoditi taktike za ulazak u sustave pogođenih tvrtki. Iz onoga što vidimo, moguće je razumjeti konvenciju imenovanja koju koristi organizacija, njihove različite domene i kontrolu domena, korištene baze podataka i druge važne informacije koje vode potencijalnom prodiranju.
Ovo curenje podataka otkriva privatne, tajne podatke i obično je namijenjeno samo unutarnjem timu ili MSSP-u. Ironija je da je ono što je izloženo iz sustava koji treba zaštititi tvrtku od takvih ranjivosti.
Kako smo otkrili curenje
Istraživački tim vpnMentor trenutno poduzima veliki projekt web mapiranja. Korištenje skeniranja portova za ispitivanje poznatih IP blokova otkriva nedostatke u web sustavima, koji se ispituju na ranjivosti, uključujući potencijalnu izloženost podataka i kršenja.
Koristeći dugogodišnje iskustvo i znanje, istraživački tim pregledava bazu podataka kako bi potvrdio svoj identitet.
Nakon identifikacije, obratimo se vlasniku baze podataka da prijavi curenje. Kad god je to moguće, upozoravamo i one koji su izravno pogođeni. Ovo je naša verzija stavljanja dobre karme na web – kako bismo izgradili sigurniji i zaštićeniji internet.
Savjet stručnjaka
Može li se spriječiti ovo curenje podataka? Apsolutno! Tvrtke mogu izbjeći takvu situaciju poduzimanjem odmah bitnih sigurnosnih mjera, uključujući:
- Prije svega, osigurajte svoje poslužitelje.
- Primijenite pravilna pravila pristupa.
- Nikada ne ostavljajte sustav za koji nije potrebna provjera autentičnosti otvoren na internetu.
Za detaljnije informacije o tome kako zaštititi svoju tvrtku, pogledajte kako zaštititi svoje web mjesto i internetsku bazu podataka od hakera.
Možda će vas zanimati naša prethodna izvješća:
vpnMentor je najveća web stranica za pregled VPN-a na svijetu. Naš istraživački laboratorij je pro bono usluga koja nastoji pomoći mrežnoj zajednici da se brani od cyber prijetnji, istovremeno educirajući organizacije o zaštiti podataka svojih korisnika..
Nedavno smo otkrili da je kršenjem podataka otkrilo više od 80 milijuna američkih domaćinstava te da je više od 25% tvrtki Fortune 500 hakirano. Možda ćete htjeti pročitati i naše izvješće o lažnim aplikacijama koje se u Iranu koriste za praćenje korisnika, izvještaj o curenju putem VPN-a i izvještaj o statistikama o privatnosti podataka..
Molim podijelite ovaj izvještaj na Facebooku ili cvrkutati.
17.04.2023 @ 21:31
Ovo je vrlo zabrinjavajuća vijest za sve koji koriste usluge hotela Marriott i drugih brendova koji su pogođeni ovim curenjem podataka. Činjenica da su osobni identifikacijski podaci zaposlenika također uključeni u ovaj propust čini ga još ozbiljnijim. Nadamo se da će tvrtke koje su pogođene ovim propustom poduzeti sve potrebne korake kako bi osigurale da se to ne ponovi u budućnosti. Također, važno je da svi korisnici ovih usluga budu svjesni opasnosti koje ovaj propust predstavlja i da poduzmu mjere opreza kako bi zaštitili svoje osobne podatke.