Zpráva: Platforma cestovních rezervací prosakuje údaje o personálu vlády USA


Vedoucí Noam Rotem a Ran Locar, výzkumný tým vpnMentor objevil a porušení v databázi Autoclerk, systému správy rezervací ve vlastnictví Best Western Hotels and Resorts Group. Připojeno k různým cestovní a pohostinské platformy online, vystavená databáze představovala riziko pro mnoho stran.

Několik týdnů před tím, než náš tým odhalil únik, koupil Autoclerk Best Western Hotel & Resorts Group, potenciálně vystavující jeden z největších hotelových řetězců na světě.

Únik citlivé osobní údaje uživatelů a hotelových hostů, spolu s úplným přehledem jejich hotelů a cestovních rezervací. V některých případech to zahrnovalo jejich čas odbavení a číslo pokoje. Ovlivnilo to 1 000 lidí na celém světě, denně se přidávají miliony nových záznamů. 

Nejpřekvapivější oběť tohoto úniku nebyl jednotlivec nebo společnost: byla to Americká vláda, armáda a ministerstvo vnitřní bezpečnosti (DHS). Náš tým si prohlédl vysoce citlivé údaje odhalující osobní údaje vládního a vojenského personálu a jejich cestovní uspořádání do míst po celém světě, minulost i budoucnost.

To představovalo a masivní narušení bezpečnosti vlády zasažené agentury a oddělení.

Časová osa objevu a reakce vlastníka

Někdy je zřejmý rozsah narušení dat a vlastník dat a problém rychle vyřešen. Ale tyto časy jsou vzácné. Nejčastěji potřebujeme dny vyšetřování, než pochopíme, co je v sázce nebo kdo data vykládá.

Pochopení porušení a toho, co je v sázce, věnuje pečlivou pozornost a čas. Některé dotčené strany popírají fakta, nezohledňují náš výzkum nebo snižují jeho dopad. Musíme být důkladní a ujistěte se, že vše, co najdeme, je správné a pravdivé.

Tvrdě pracujeme na publikování přesné a důvěryhodné zprávy, aby každý, kdo je přečte, rozuměl jejich vážnosti.

V tomto případě kvůli počet vnějších počátečních bodů a naprostá velikost vystavených údajů, majitel databáze byl chvíli nejasný, ale my měl podezření, že patří Autoclerk z několika důvodů

Mezitím, kontaktovali jsme tým americké pohotovostní počítačové pohotovosti (CERT). Nastínili jsme povahu úniku a údaje o vládě, armádě a DHS, které byly odhaleny. V době zveřejnění však na náš e-mail neodpověděli, ignorovat naše obavy. 

  • 13. září: Databáze byla objevena
  • 13. září: US CERT kontaktován, žádná odpověď
  • 19. září: Velvyslanectví USA v Tel Avivu oznámilo nedostatek reakce CERT
  • 26. září: Bude se jednat o kontaktu se zástupcem Pentagonu, který zajistí vydání problému
  • 2. října: Databáze byla uzavřena

Příklady záznamů v databázi

Databáze byla hostována webovými servery Amazon v USA, obsahující přes 179 GB dat. Většina vystavených dat pocházela z externích cestovních a pohostinských platforem, které využívaly platformu vlastníka databáze k vzájemné interakci.

Mezi dotčené klientské platformy patří systémy správy nemovitostí (PMS), rezervační systémy a datové služby v cestovním ruchu a pohostinství.

Cestovat & Postižené pohostinské platformy

Autoclerk je kombinovaný rezervační systém pro hotely, poskytovatele ubytování, cestovní kanceláře a další. Mezi jeho vlastnosti patří serverové a cloudové systémy správy nemovitostí (PMS), webový rezervační systém, centrální rezervační systémy a rozhraní hotelu PMS. Z tohoto důvodu byla databáze, kterou náš tým našel, napojena na nesčetné hotelové a cestovní platformy.

Mezi příklady externích klientských platforem ohrožených únikem patří:

  • HAPI Cloud
  • OpenTravel
  • myHMS a CleanMeNext od Autoclerk
  • Synxis od Saber Hospitality Solutions

Zatímco tyto platformy jsou většinou založeny v USA, uživatelé vystavení úniku z celého světa. Náš tým si prohlédl mnoho nezašifrovaných přihlašovacích údajů pro přístup k účtům na dalších systémech mimo databázi, jako jsou samostatné platformy PMS, hodnocení hostů & revizní systémy a další.

Osobní & Cestovní údaje vystaveny

Jako platformy vystavené v tomto úniku se zaměřily na cestování a pohostinnost, databáze obsahovala 100 000 rezervací rezervace pro hosty a cestující. To znamenalo osobní údaje hostů v ubytovacích zařízeních využívajících postiženou platformu byly také vystaveny.

Informace o vystavených rezervacích zahrnují:

  • Celé jméno
  • Datum narození
  • Domovní adresa
  • Telefonní číslo
  • Termíny & cestovní náklady
  • Maskované údaje o kreditní kartě

U některých rezervací, jakmile se host přihlásil do hotelu, se jejich čas příjezdu a číslo pokoje také zobrazily v databázi.

Všechny tyto informace jsou neuvěřitelně cenné pro zločinecké hackery a online zloději.

Vládní data USA

Chyby, které jsme popsali výše, budou pro běžné společnosti a soukromé občany znepokojující.

Pro vládu USA by měly zvonit poplašné zvonky.

Jednou z platforem odhalených v databázi byl dodavatel americké vlády, armády a DHS. Dodavatel řídí cestovní opatření americké vlády a vojenského personálu, stejně jako nezávislí dodavatelé spolupracující s americkými obrannými a bezpečnostními agenturami.

Únik odhalil osobní identifikační informace (PII) personálu a jejich cestovní uspořádání. Náš tým si prohlédl záznamy Generálové americké armády cestující do Moskvy, Tel Aviv, a mnoho dalších destinací. Nalezli jsme také jejich e-mailovou adresu, telefonní čísla a další citlivé osobní údaje.

To představuje a hlavní chyba v zařízení pro zabezpečení dat kolem takových citlivých informací. Každá společnost zabývající se cestovní logistikou vojenského personálu na vysoké úrovni by měla dodržovat nejpřísnější postupy v oblasti ochrany údajů.

Pokud tak neučiníte, majitel této databáze odhalil množství informací, které by vládní a vojenští klienti raději nechali v soukromí.

Exponovaná databáze by se měla týkat všech dotčených stran. Od hostů v hotelech využívajících zasažené platformy až po vedoucí pracovníky americké vlády, jejichž personál byl ohrožen, je každý náchylný k útoku a vykořisťování.

Dopad porušení dat

Hackeři mohou odhalená data použít vytvářet složité podvody zacílení na postižené podniky, jejich hosty a vládu USA.

Dopad na hotelové hosty

Podvod & Kampaně phishingu

Kombinace rezervačních rezervací a osobních údajů hostů, hackeři mohou najít další informace online a vytvořit kompletní profily zranitelných cílů.

Poté mohou cílit na hotelové hosty extrahovat další informace, například údaje o finančních účtech nebo citlivá hesla. Ty lze použít ukrást oběti, vložit malware a jiné formy útoku, vydírání peněz nebo ukrást jejich totožnost.

Exponovaná data byla a zlatý důl pro phishingové kampaně. Kampaň typu phishing využívá falešné e-maily napodobující skutečné firmy, aby obětem přiměla oběti, aby do zařízení zadávaly hesla, údaje o kreditní kartě nebo vkládaly škodlivý software do zařízení..

Zločinci by mohli představovat jako hotely nebo rezervační systémy používané hosty, vytvářet přesvědčivé e-maily, aby je snadno oklamaly. Účinky mohou být ničivé, a to jak finančně, tak osobně.

Fyzická nebezpečí

S podrobnými informacemi o jejich pobytech v hotelu, hackeři by věděli přesně, kdy hosté hotelů používajících postižené PMS a rezervační platformy jsou na dovolené, spolu s jejich domácími adresami. 

Tyto informace mohli použít plánovat domácí loupeže s minimálním rizikem být chycen nebo zacílen na ně v zahraničí.

Kromě toho, s odhalenými čísly hotelových pokojů, by se hosté mohli zaměřit také na dovolenou.

Dopad na vlastníka databáze a klienty

Stejné taktiky podvodů a phishingu, jaké byly popsány výše, by mohly být použity také pro podniky zasažené únikem, což má mnohem větší důsledky. To zahrnuje Autoclerk.

Kampaně typu phishing a útoky škodlivého softwaru mohou být pro podniky všech velikostí zničující. Neohrozují bezpečnost nejen firmy, ale také zaměstnanců a zákazníků. 

Zranitelnost, kterou náš tým objevil odhalili vlastníky databáze, mnoho platforem s ní spojených a všechny hotely, které tyto platformy využívaly. 

Útočník mohl použijte tuto úniku, abyste viděli, jak systémy interagují, a získejte důležité znalosti o externích serverech, včetně hesel pro účty na jiných platformách. Hackeři a počítačoví zločinci mohou tyto informace použít k plánování cílené útoky proti všem vystaveným stranám, dokonce na systémech externích k této databázi.

Rozsah potenciální trestné činnosti je obrovský.

Dopad na vládu USA

Největší riziko, které tento únik představuje, bylo pro vládu a armádu USA. Značná množství citlivých údajů o zaměstnancích a vojenském personálu by nyní mohla být veřejně přístupná. 

To dává neocenitelný vhled do operací a činností americké vlády a vojenského personálu. Důsledky národní bezpečnosti pro vládu USA a armádu jsou rozsáhlé a závažné. 

Vládní zaměstnanci - zejména v armádě - jsou cenné cíle pro hackery, zločince a soupeřící vlády, ze zřejmých důvodů. 

Zatímco phishingová kampaň nebo jiná forma útoku mohou být pro soukromé občany a podniky problematické, důsledky pro vládu nebo armádu jsou mnohem závažnější, ohrožení národní bezpečnosti a individuální bezpečnosti dotčených pracovníků. 

V roce 2018 získali ruští hackeři přístup k americkému demokratickému národnímu výboru prostřednictvím jednoduché phishingové kampaně.

Tento únik také ohrožoval bezpečnost personálu tím, že poskytoval živé informace o jejich uspořádání cesty, správně na číslo jejich hotelového pokoje.

Ještě škodlivější, pokud byla tato data stažena, to může být prodává se na webu Dark Web a stává se téměř nevysledovatelným. 

Rada odborníků

Tomuto úniku dat bylo možné snadno zabránit pokud vlastník databází přijal některá základní bezpečnostní opatření. Ty mohou být replikovány jakoukoli společností, bez ohledu na její velikost:

  1. Zabezpečte své servery.
  2. Implementujte řádná pravidla přístupu.
  3. Nikdy nenechávejte systém, který nevyžaduje ověřování, otevřený na internetu.

Podrobnější průvodce, jak chránit vaši firmu, naleznete v tématu, jak zabezpečit web a online databázi před hackery.

Pro postižené platformy

Před přijetím softwaru nebo aplikací pro správu oblasti vašeho podnikání se ujistěte, že dodržují doporučené postupy zabezpečení dat. Při zpracování externích dat, jako je hotelový host nebo veřejnost, musíte zajistit, aby byla tato data chráněna před hackery. 

Kompromitování osobních údajů vašich zákazníků může v budoucnu vytvářet hlavní poškození pověsti a problémy s důvěrou. 

Podrobný průvodce, jak chránit vaši firmu online, naleznete v tématu, jak zabezpečit web a online databázi před hackery.

Pro hosty hotelů ovlivněných

Pokud máte obavy, vaše data byla v tomto úniku ohrožena, kontaktujte všechny hotely, které jste nedávno zůstali, a potvrďte, zda byly ovlivněny. Měli by vás informovat o všech krocích, které podnikají k vyřešení problému.

Můžete si také přečíst našeho průvodce po soukromí na internetu a přečíst si našeho úplného průvodce po soukromí na internetu. Ukazuje vám mnoho způsobů, jak vás mohou kybernetičtí zločinci zacílit, a kroky, které můžete podniknout, abyste byli v bezpečí.

Americká vláda a armáda

Všechny vládní orgány USA, kterých se tento únik týká, by měly přezkoumejte své prověrkové postupy u dodavatelů třetích stran. Každá externí společnost zabývající se vládními a vojenskými daty by měla dodržovat přísné protokoly zabezpečení dat a zajistit, aby v softwaru, který používají, nebyly zjištěny žádné chyby.. 

Jak a proč jsme objevili porušení

Výzkumný tým vpnMentor objevil toto porušení v roce součástí obrovského projektu mapování webu. Naši hackeři používají skenování portů k prozkoumání konkrétních IP bloků a vyzkoušejte slabiny v otvorech v systémech. Prověřují každou díru z hlediska úniku dat. 

Když zjistí narušení dat, tak k ověření identity databáze použijte odborné techniky. Poté upozorníme vlastníka databáze na narušení. Pokud je to možné, upozorníme také ty, kterých se porušení týká.

Náš tým měl přístup k této databázi, protože byla zcela nezabezpečená a nešifrovaná. V době psaní však nebyla totožnost jeho vlastníka potvrzena.

Každý, kdo vlastní dotyčnou databázi používá databázi Elasticsearch, který obvykle není určen pro použití s ​​URL. nicméně, mohli jsme k němu přistupovat pomocí prohlížeče a manipulovat s kritérii pro vyhledávání adres URL kdykoli odhalit schémata z jediného indexu. 

Účelem tohoto projektu mapování webu je pomoci učinit internet bezpečnějším pro všechny uživatele. 

Jako etičtí hackeři jsme povinni informovat společnost nebo její klienty, když zjistíme nedostatky v jejich online bezpečnosti. To platí zejména v případě, že narušení dat společností obsahuje citlivé informace týkající se vlády státu, vojenské a obranné agentury. 

Tato etika také znamená neseme odpovědnost vůči veřejnosti, kteří si zaslouží být vědomi porušení této velikosti a důsledků, které to má na jejich zájmy.

O nás a předchozích zprávách

vpnMentor je největší web pro kontrolu VPN na světě. Naše výzkumná laboratoř je pro bono služba, která se snaží pomoci online komunitě bránit se před kybernetickými hrozbami a zároveň vzdělávat organizace o ochraně dat svých uživatelů.. 

Nedávno jsme objevili obrovské porušení dat postihující 80 milionů amerických domácností. Také jsme odhalili, že porušení Biostar 2 ohrozilo biometrická data více než 1 milionu lidí. Můžete si také přečíst naši zprávu o úniku VPN a zprávu o statistikách ochrany osobních údajů.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me