Rapportera: Säkerhetsplattform som läcker hotellsäkerhetsloggar, inklusive Marriott Properties


vpnMentors forskargrupp har nyligen upptäckt att Marriott och andra hotellmärken som hanteras av The Pyramid Hotel Group har upplevt en dataläcka för cybersäkerhet, vilket avslöjar sårbarheter som kan vara ett viktigt verktyg med betydande effekter i en massiv framtida attack.

Under ledning av hacktivisterna Noam Rotem och Ran Locar upptäckte vpnMentors forskare ett brott som avslöjar 85,4 GB säkerhetsrevisionsloggar, som också innehåller personligt identifierande information (PII) om anställda i de drabbade företagen och går tillbaka så långt som 19 april 2019. Detta datum kan indikera systeminställning, omkonfiguration eller underhåll som påverkade servern och gjorde den öppen och tillgänglig för världen.

Pyramid Hotel Group använder Wazuh - ett system för öppen källa för intrångsdetektering - på en osäker server som läcker information om deras operativsystem, säkerhetspolicy, interna nätverk och applikationsloggar.

Redaktörens anmärkning: Wazuh är ett säkerhetsövervakningsverktyg, och som sådant kan varningar genererade av Wazuh lagras nästan var som helst. Att säkra dessa system överlämnas till användarens ansvar, inklusive att säkra data och förhindra exponering för obehöriga användare. Denna läcka orsakades inte av ett fel från Wazuh-verktyget eller av dess team. 

Tidslinjen för upptäckt och reaktion

DATUM HÄNDELSE
5/27/19 Överträdelse upptäckt av vpnMentor Research team
5/28/19 Informerad PHG om överträdelse
5/28/19 Mottagna bekräftelse från PHG
5/29/19 Dataläckage stängd. Problemet löst.

Information ingår i databasen

Rapportera: Säkerhetsplattform som läcker hotellsäkerhetsloggar, inklusive Marriott Properties

De osäkrade uppgifterna som är offentligt synliga inkluderar både övervakning och varningar, rapporterade systemfel, felkonfiguration, policyöverträdelser, potentiella försök till skadliga överträdelser och andra händelser inom cybersäkerhet.

Rapportera: Säkerhetsplattform som läcker hotellsäkerhetsloggar, inklusive Marriott Properties

Berörda parter verkar inkludera Tarrytown House Estate (New York), Carton House Luxury Hotel (Irland), Aloft Hotels (Florida), Temple Bar Hotel (Irland) och andra varumärken i Pyramid Hotel Group.

Det vi kan se genom dataläckan inkluderar - men är inte begränsat till - följande känsliga detaljer:

  • Server-API-nyckel och lösenord
  • Enhetsnamn
  • IP-adresser för inkommande anslutningar till systemet och geolokalisering
  • Information om brandvägg och öppna portar
  • Varningar om skadlig programvara
  • Begränsade applikationer
  • Inloggningsförsök
  • Detektering av brute force attack
  • Lokalt datornamn och adresser, inklusive varningar om vilka av dem som inte har installerat antivirusprogram
  • Virus och skadlig programvara upptäcks på olika maskiner
  • Applikationsfel
  • Servernamn och OS-detaljer
  • Information som identifierar policy för cybersäkerhet
  • Anställdas fulla namn och användarnamn
  • Andra berättande säkerhetsuppgifter

Rapportera: Säkerhetsplattform som läcker hotellsäkerhetsloggar, inklusive Marriott Properties

Faran för att avslöja denna information

Denna databas ger alla som kan vara angripare förmågan att övervaka hotellens nätverk, samla värdefull information om administratörer och andra användare och bygga en attackvektor riktad mot de svagaste länkarna i säkerhetskedjan. Det gör det också möjligt för angriparen att se vad säkerhetsteamet ser, lära sig av sina försök baserat på de larm som systemen tagit upp och anpassa sina attacker i enlighet därmed. Det är som om de besvärliga individerna har en egen kamera som tittar in på företagets säkerhetskontor.

I värsta fall har denna läcka möjligheten att inte bara riskera system utan också de fysiska hotellgästerna och andra beskyddare. Vårt team hittade flera enheter som styr hotelllåsmekanismer, elektroniska kassaskåp på rummet och andra system för fysisk säkerhetshantering. Speciellt i fel händer driver detta hem den verkliga faran här när brister i cybersäkerheten hotar den verkliga säkerheten.

Med detta fönster i händelser och policyer för cybersäkerhet är det möjligt att finjustera taktik för att få inträde i de berörda företagens system. Från vad vi kan se, är det möjligt att förstå namnskonventionen som används av organisationen, deras olika domäner och domänkontroll, databasen (erna) som används och annan viktig information som leder till potentiell penetration.

Denna dataläckage avslöjar information som är privat, hemlig och skulle vanligtvis endast vara för ett internt team eller MSSP. Det ironiska är att det som utsätts kommer från ett system som är avsett att skydda företaget från sådana sårbarheter.

Hur vi upptäckte läckan

vpnMentors forskarteam pågår för närvarande ett stort webbkartläggningsprojekt. Att använda portskanning för att undersöka kända IP-block avslöjar luckor i webbsystem, som sedan undersöks för sårbarheter, inklusive potentiell dataexponering och överträdelser.

Genom att använda många års erfarenhet och kunskap undersöker forskarteamet databasen för att bekräfta dess identitet.

Efter identifiering når vi till databasens ägare för att rapportera läckan. När det är möjligt, varnar vi också de som är direkt drabbade. Detta är vår version av att lägga ut bra karma på webben - för att bygga ett säkrare och mer skyddat internet.

Råd från experterna

Kan detta dataläckage ha förhindrats? Absolut! Företag kan undvika en sådan situation genom att vidta nödvändiga säkerhetsåtgärder omedelbart, inklusive:

  1. Säkra dina servrar först och främst.
  2. Implementera korrekta åtkomstregler.
  3. Lämna aldrig ett system som inte kräver autentisering öppet för internet.

För mer djupgående information om hur du skyddar ditt företag, kolla in hur du säkra din webbplats och online-databas från hackare.

Du kan vara intresserad av våra tidigare rapporter:

vpnMentor är världens största webbplats för VPN-granskning. Vårt forskningslaboratorium är en pro bono-tjänst som strävar efter att hjälpa onlinemiljön att försvara sig mot cyberhot samtidigt som vi utbildar organisationer om att skydda sina användares data.

Vi avslöjade nyligen att ett dataöverträdelse utsatte mer än 80 miljoner hushåll i USA, och att mer än 25% av Fortune 500-företag har hackats. Du kanske också vill läsa vår rapport om falska appar som används i Iran för att övervaka användare, VPN Leak Report och Data Privacy Stats Report.

Snälla du dela denna rapport på Facebook eller tweet det.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me