Rapport: Sikkerhetsplattform som lekker hotellsikkerhetslogger, inkludert Marriott Properties


vpnMentors forskerteam har nylig oppdaget at Marriott og andre hotellmerker administrert av The Pyramid Hotel Group har opplevd en nettlesikkerhetsdatalekkasje, og avslører sårbarheter som kan være et viktig verktøy med betydelig innvirkning i et massivt fremtidig angrep.

Anført av hacktivistene Noam Rotem og Ran Locar, oppdaget vpnMentors forskere et brudd som utsetter 85,4 GB sikkerhetsrevisjonslogger, som også inkluderer personlig identifiserende informasjon (PII) om ansatte i de berørte selskapene, og går tilbake så langt som 19. april 2019. Denne datoen kan indikere systemoppsett, omkonfigurasjon eller vedlikehold som påvirket serveren og gjorde den åpen og tilgjengelig for verden.

Pyramid Hotel Group bruker Wazuh - et åpen kildekode-innbruddsdeteksjonssystem - på en usikret server som lekker informasjon angående operativsystemer, sikkerhetspolicyer, interne nettverk og applikasjonslogger..

Redaktørens merknad: Wazuh er et sikkerhetsovervåkningsverktøy, og som sådan kan varsler generert av Wazuh lagres omtrent hvor som helst. Å sikre disse systemene overlates til brukerens ansvar, inkludert sikring av data og forhindring av eksponering for uautoriserte brukere. Denne lekkasjen var ikke forårsaket av en feil fra Wazuh-verktøyet eller av teamet. 

Tidslinjen for oppdagelse og reaksjon

DATO BEGIVENHET
5/27/19 Brudd oppdaget av vpnMentor Research team
5/28/19 Informert PHG om brudd
5/28/19 Mottatt bekreftelse fra PHG
5/29/19 Datalekkasje stengt. Problemet løst.

Informasjon inkludert i databasen

Rapport: Sikkerhetsplattform som lekker hotellsikkerhetslogger, inkludert Marriott Properties

Usikrede data som er offentlig synlige inkluderer både overvåking og varsler, rapporterte systemfeil, feilkonfigurasjon, brudd på retningslinjene, potensielle forsøk på ondsinnede brudd og andre nettlesikkerhetshendelser.

Rapport: Sikkerhetsplattform som lekker hotellsikkerhetslogger, inkludert Marriott Properties

Berørte parter ser ut til å inkludere Tarrytown House Estate (New York), Carton House Luxury Hotel (Irland), Aloft Hotels (Florida), Temple Bar Hotel (Irland) og andre merker i Pyramid Hotel Group.

Det vi kan se gjennom datalekkasjen inkluderer - men er ikke begrenset til - følgende sensitive detaljer:

  • Server API-nøkkel og passord
  • Enhetsnavn
  • IP-adresser for innkommende tilkoblinger til systemet og geolokalisering
  • Informasjon om brannmur og åpne porter
  • Varsler om skadelig programvare
  • Begrensede søknader
  • Påloggingsforsøk
  • Deteksjon av brute force attack
  • Lokalt datamaskinnavn og adresser, inkludert varsler om hvilken av dem som ikke har installert antivirus
  • Virus og skadelig programvare oppdaget på forskjellige maskiner
  • Bruksfeil
  • Servernavn og OS-detaljer
  • Informasjon som identifiserer nettpolicyer
  • Ansattes fulle navn og brukernavn
  • Andre forteller sikkerhetsdata

Rapport: Sikkerhetsplattform som lekker hotellsikkerhetslogger, inkludert Marriott Properties

Faren for å avsløre denne informasjonen

Denne databasen gir en hvilken som helst angripende mulighet til å overvåke hotellnettverket, samle verdifull informasjon om administratorer og andre brukere og bygge en angrepsvektor rettet mot de svakeste koblingene i sikkerhetskjeden. Det gjør også at angriperen kan se hva sikkerhetsteamet ser, lære av sine forsøk basert på varslene fra systemene, og justere angrepene deretter. Det er som om de skumle personene har sitt eget kamera som ser på selskapets sikkerhetskontor.

I verste fall har denne lekkasjen potensial til å sette ikke bare systemer i fare, men også de fysiske sikkerhetshotellgjestene og andre lånetakere. Vårt team fant flere enheter som kontrollerer hotelllåsmekanismer, elektroniske safe på rommet og andre systemer for fysisk sikkerhetsstyring. Spesielt i gale hender driver dette hjem den reelle faren her når feil på nettets sikkerhet truer den virkelige verdenen.

Med dette vinduet i cybersecurity-hendelsene og -policyene, er det mulig å finjustere taktikker for å få tilgang til systemene til de berørte selskapene. Fra hva vi kan se, er det mulig å forstå navnekonvensjonen som brukes av organisasjonen, deres forskjellige domener og domenekontroll, databasen (e) som brukes og annen viktig informasjon som fører til potensiell penetrering.

Denne datalekkasjen avslører informasjon som er privat, hemmelig og vil vanligvis være for øynene til et internt team eller MSSP. Ironien er at det som blir utsatt er fra et system som er ment å beskytte selskapet mot slike sårbarheter.

Hvordan vi oppdaget lekkasjen

vpnMentors forskerteam pågår for tiden et stort nettkartleggingsprosjekt. Å bruke portskanning for å undersøke kjente IP-blokkeringer avslører hull i websystemer, som deretter undersøkes for sårbarheter, inkludert potensiell dataeksponering og brudd.

Forskergruppen undersøker databasen for å bekrefte identiteten, og benytter seg av mange års erfaring og kunnskap.

Etter identifikasjon, kontakter vi eieren av databasen for å rapportere lekkasjen. Når det er mulig, varsler vi også de som er direkte berørt. Dette er vår versjon av å sette god karma ut på nettet - for å bygge et tryggere og mer beskyttet internett.

Råd fra ekspertene

Kunne denne datalekkasjen blitt forhindret? Absolutt! Bedrifter kan unngå en slik situasjon ved å iverksette nødvendige sikkerhetstiltak umiddelbart, inkludert:

  1. Først og fremst, sikre serverne dine.
  2. Implementere riktige tilgangsregler.
  3. La aldri et system som ikke krever godkjenning være åpent for internett.

For mer detaljert informasjon om hvordan du kan beskytte virksomheten din, kan du se hvordan du sikrer nettstedet og online databasen mot hackere.

Du kan være interessert i våre tidligere rapporter:

vpnMentor er verdens største nettsted for VPN-gjennomgang. Forskningslaboratoriet vårt er en pro bono-tjeneste som prøver å hjelpe nettsamfunnet å forsvare seg mot cybertrusler, samtidig som de utdanner organisasjoner om å beskytte brukerens data.

Vi avslørte nylig at et datainnbrudd utsatte mer enn 80 millioner amerikanske husholdninger, og at mer enn 25% av Fortune 500-selskaper er blitt hacket. Det kan også være lurt å lese rapporten vår om falske apper som er brukt i Iran for å overvåke brukere, VPN Leak Report and Data Privacy Stats Report.

Vær så snill del denne rapporten på Facebook eller twitre den.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me