Raporti: Platforma e Rezervimeve të Udhëtimeve lëshon të dhëna të personelit të qeverisë amerikane


Udhëhequr nga Noam Rotem dhe Ran Locar, ekipi hulumtues i vpnMentor zbuloi një shkelje në një bazë të dhënash që i përket Autoclerk, një sistem i administrimit të rezervave në pronësi të Grupit të Hoteleve dhe Resorteve më të mira Western Western. Lidhur me të ndryshme platforma të udhëtimit dhe mikpritjes në internet, baza e të dhënave e ekspozuar përbën një rrezik për shumë palë.

Disa javë përpara se ekipi ynë të zbulojë rrjedhjen, Autoclerk u ble nga Hotel Best Western & Resorts Group, duke ekspozuar potencialisht një nga zinxhirët më të mëdhenj të hoteleve në botë.

Rrjedhje ekspozuar të dhëna personale të ndjeshme të përdoruesve dhe mysafirëve të hotelit, së bashku me një përmbledhje të plotë të rezervimeve të hotelit dhe udhëtimit të tyre. Në disa raste, kjo përfshinte kohën e tyre të kontrollit dhe numrin e dhomës. Ajo preku 1,000,000 njerëz në të gjithë globin, me miliona rekorde të reja që shtohen çdo ditë. 

Viktima më befasuese e kësaj rrjedhje nuk ishte një individ apo kompani: ishte Qeveria amerikane, ushtria dhe Departamenti i Sigurisë së Brendshme (DHS). Ekipi ynë shikoi të dhëna shumë të ndjeshme që ekspozonin detajet personale të qeverisë dhe personelit ushtarak, dhe marrëveshjet e tyre të udhëtimit në vendet në të gjithë botën, si e kaluara ashtu edhe e ardhmja.

Kjo përfaqësonte një shkelje masive e sigurisë për qeverinë agjencitë dhe departamentet e ndikuara.

Afati kohor i zbulimit dhe reagimit të pronarit

Ndonjëherë, shkalla e një shkelje të të dhënave dhe pronarit të të dhënave janë të dukshme, dhe çështja zgjidhet shpejt. Por janë të rralla këto kohë. Më shpesh, na duhen ditë hetimi përpara se të kuptojmë se çfarë është në diskutim ose kush po i zbulon të dhënat.

Kuptimi i një shkelje dhe ajo që është në diskutim merr vëmendje dhe kohë të kujdesshme. Disa palë të prekura mohojnë faktet, duke mos marrë parasysh hulumtimin tonë ose duke minimizuar ndikimin e tij. Ne duhet të jemi të plotë dhe sigurohuni që gjithçka që ne të gjeni është e saktë dhe e vërtetë.

Ne punojmë shumë për botimin raporte të sakta dhe të besueshme, për të siguruar që të gjithë ata që i lexojnë ata e kuptojnë seriozitetin e tyre.

Në këtë rast, për shkak të numrin e pikave të origjinës së jashtme dhe madhësinë e plotë të të dhënave të ekspozuara, pronari i bazës së të dhënave ishte e paqartë për pak kohë, por ne dyshohet se i përkiste Autoclerk për një numër arsyesh

ndërkohë, ne kemi kontaktuar me Ekipin e gatishmërisë së urgjencës kompjuterike të Shteteve të Bashkuara (CERT). Ne përshkruam natyrën e rrjedhjes, dhe qeveria, ushtria, dhe të dhënat e DHS që u ekspozuan. Sidoqoftë, në kohën e botimit, ata nuk janë përgjigjur në emailin tonë, duke injoruar shqetësimet tona. 

  • 13 shtator: Baza e të dhënave e zbuluar
  • 13 shtator: CERT amerikane ka kontaktuar, pa asnjë përgjigje
  • 19 shtator: Ambasada e SHBA në Tel Aviv njoftoi për mungesën e përgjigjes së CERT
  • 26 Shtator: Kontakti i bërë me përfaqësuesin e Pentagonit, i cili siguron që çështja do të trajtohet
  • 2 tetor: Baza e të dhënave është e mbyllur

Shembuj të hyrjeve në bazën e të dhënave

Baza e të dhënave u prit nga Amazon Web Servers në SH.B.A., që përmbante mbi 179 GB të të dhënave. Pjesa më e madhe e të dhënave të ekspozuara buruan nga platformat e udhëtimit të jashtëm dhe mikpritja duke përdorur platformën e pronarit të bazës së të dhënave për të bashkëvepruar me njëri-tjetrin.

Platformat e klientëve të prekur përfshijnë sistemet e menaxhimit të pasurive (PMS), motorët e prenotimit dhe shërbimet e të dhënave brenda industrisë së turizmit dhe mikpritjes.

Udhëtim & Platformat e mikpritjes të prekur

Autoclerk është një sistem i kombinuar rezervimesh për hotele, ofrues akomodimi, agjensi udhëtimesh dhe më shumë. Karakteristikat e tij përfshijnë Sistemet e Menaxhimit të Pronave me bazë serveri dhe cloud (PMS), një motor rezervimi në internet, Sistemet Qendrore të Rezervimeve dhe ndërfaqet PMS të hotelit. Për këtë arsye, baza e të dhënave që ekipi ynë gjeti ishte i lidhur me hotele të shumta dhe platformat e udhëtimit.

Disa shembuj të platformave të klientëve të jashtëm të komprometuar nga rrjedhjet përfshijnë:

  • HAPI Re
  • OpenTravel
  • myHMS dhe CleanMeNext nga Autoclerk
  • Synxis by Saber Solutions Hospitality

Ndërsa këto platforma bazohen kryesisht në SH.B.A., përdoruesit e ekspozuar nga rrjedhjet në të gjithë botën. Ekipi ynë shikoi shumë letra kredenciale të logjikuara për të hyrë në llogari në sisteme shtesë të jashtme nga baza e të dhënave, të tilla si platforma të veçanta PMS, vlerësime për mysafirë & sistemet e rishikimit, dhe më shumë.

personal & Të dhënat e udhëtimit të ekspozuara

Ndërsa platformat e ekspozuara në këtë rrjedhje u përqëndruan në udhëtime dhe mikpritje, baza e të dhënave përmbante 100,000 rezerva rezervimesh për mysafirët dhe udhëtarët. Kjo do të thoshte detaje personale të mysafirëve në akomodimet duke përdorur një platformë të prekur u ekspozuan gjithashtu.

Informacioni i njerëzve që bëjnë ekspozimin e rezervave përfshin:

  • Emri i plotë
  • Data e lindjes
  • Adresa e shtepise
  • Numri i telefonit
  • datat & kostot e udhëtimit
  • Detajet e kartës së kreditit të maskuar

Në disa rezerva të caktuara, pasi një i ftuar të kishte regjistruar një hotel, koha e tyre e regjistrimit dhe numri i dhomës gjithashtu u bënë të dukshëm në bazën e të dhënave..

Të gjitha këto informacione janë tepër e vlefshme për hakerat kriminelë dhe hajdutët në internet.

Të dhënat e qeverisë amerikane

Dobësitë që kemi përshkruar më lart do të jenë shqetësuese për kompanitë e zakonshme dhe qytetarët privatë të prekur.

Për qeverinë amerikane, kambanat e alarmit duhet të kumbojnë.

Një nga platformat e ekspozuara në bazën e të dhënave ishte një kontraktues i qeverisë amerikane, ushtarake dhe DHS. Kontraktuesi administron rregullimet e udhëtimit të qeverisë amerikane dhe personelit ushtarak, si dhe kontraktorë të pavarur që punojnë me agjencitë amerikane të mbrojtjes dhe të sigurisë.

Rrjedhja ekspozoi informacionin personalisht identifikues (PII) të personelit dhe aranzhimet e tyre të udhëtimit. Ekipi ynë shikoi regjistrat për Gjeneralët e ushtrisë amerikane që udhëtojnë për në Moskë, Tel Aviv, dhe shumë destinacione. Ne gjithashtu gjetëm adresën e tyre të postës elektronike, numrat e telefonit dhe të dhënat e tjera personale të ndjeshme.

Kjo përfaqëson një defekt i madh në aparatin e sigurisë së të dhënave rreth informacioneve të tilla të ndjeshme. Do kompani që merret me logjistikën e udhëtimit të personelit ushtarak të nivelit të lartë duhet t’i përmbahet praktikave më të rrepta të mbrojtjes së të dhënave.

Duke mos vepruar kështu, pronari i kësaj baze të të dhënave ekspozoi një informacion të madh se klientët qeveritarë dhe ushtarakë më mirë do të mbaheshin privat.

Baza e të dhënave e ekspozuar duhet të jetë shqetësuese për të gjitha palët e prekura. Nga të ftuarit në hotele që përdorin platformat me ndikim tek stafi i lartë i qeverisë amerikane, personeli i të cilit u komprometua, të gjithë janë të prekshëm nga sulmet dhe shfrytëzimet.

Ndikimi i thyerjes së të dhënave

Hakerët mund të përdorin të dhënat e ekspozuara për të krijoni mashtrime komplekse duke synuar bizneset e prekura, mysafirët e tyre dhe qeverinë amerikane.

Ndikimi në mysafirët e hotelit

Mashtrim & Fushata Phishing

Kombinimi i rezervimeve të të ftuarve dhe të dhënave personale, hakerat mund të gjejnë informacion shtesë në internet, duke krijuar profile të plota të caqeve të prekshme.

Ata pastaj mund të synojnë mysafirët e hotelit ekstraktoni më shumë informacione, të tilla si detaje të llogarisë financiare ose fjalëkalime të ndjeshme. Këto mund të përdoren për të vjedhin nga viktimat, ngulitni malware dhe forma të tjera sulmi, zhvatje të parave, ose vjedhin identitetin e tyre.

Të dhënat e ekspozuara ishin a minierë ari për fushatat e phishing. Një fushatë phishing përdor emailet fals, duke imituar bizneset e vërteta për të mashtruar viktimat në sigurimin e fjalëkalimeve, detajet e kartës së kreditit ose ngulitjen e një programi keqdashës në një pajisje.

Kriminelët mund të paraqesin si hotele ose motorë rezervimi të përdorura nga mysafirët, krijimi i postave elektronike bindëse për t’i mashtruar ata me lehtësi. Efektet mund të jenë shkatërruese, si financiare ashtu edhe personale.

Rreziqet fizike

Me informacione të hollësishme për qëndrimet e tyre në hotel, hakerat do të dinë saktësisht kur mysafirët e hoteleve që përdorin PMS të prekur dhe platformat e rezervimit janë me pushime, së bashku me adresat e tyre në shtëpi. 

Ata mund të përdorin këtë informacion për të planifikoni vjedhjet në shtëpi me rrezik minimal të kapjes ose të shënjestrimit të tyre jashtë vendit.

Për më tepër, me numrin e dhomave të hoteleve të ekspozuara, të ftuarit mund të ishin në shënjestër gjatë pushimeve.

Ndikimi tek pronari i bazës së të dhënave dhe klientët

E njëjta taktikë mashtrimi dhe phishing e përshkruar më lart mund të përdoret gjithashtu për bizneset e ndikuara nga rrjedhjet, me pasoja shumë më të mëdha. Kjo përfshin Autoclerk.

Fushatat e phishing dhe sulmet me qëllim të keq të softverit mund të jenë shkatërruese për bizneset e të gjitha madhësive. Ata kompromentojnë sigurinë jo vetëm të biznesit, por edhe të punësuarit dhe klientët. 

Dobësia e ekipit tonë zbuloi ekspozoi pronarët e bazës së të dhënave, shumë platforma të lidhura me të dhe çdo hotel që përdor ato platforma. 

Një sulmues mund të përdorni këtë rrjedhje për të parë se si bashkëveprojnë sistemet dhe fitojnë njohuri të rëndësishme në lidhje me serverët e jashtëm, përfshirë fjalëkalimet për llogaritë në platformat e tjera. Hakerët dhe kriminelët kibernetikë mund ta përdorin këtë informacion për të planifikuar sulme të synuara kundër të gjitha palëve të ekspozuara, madje edhe në sisteme të jashtme të kësaj baze të të dhënave.

Shtrirja për veprimtari të mundshme kriminale është e madhe.

Ndikimi në qeverinë e SHBA

Rreziku më i madh i paraqitur nga kjo rrjedhje ishte për qeverinë dhe ushtrinë amerikane. Sasi të konsiderueshme të të dhënave të ndjeshme të punonjësve dhe të ushtrisë tani mund të jenë në domenin publik. 

Kjo i jep të paçmueshme pasqyrë në operacionet dhe aktivitetet e qeverisë amerikane dhe të personelit ushtarak. Implikimet e sigurisë kombëtare për qeverinë dhe ushtrinë amerikane janë të gjera dhe serioze. 

Punonjësit e qeverisë – sidomos në ushtri – janë caqe të vlefshme për hakerat, kriminelët dhe qeveritë rivale, për arsye të dukshme. 

Ndërsa një fushatë phishing ose një formë tjetër sulmi mund të jetë problematike për qytetarët privatë dhe bizneset, implikimet për një qeveri apo ushtri janë shumë të trishtueshme., kompromentimi i sigurisë kombëtare dhe sigurisë individuale të personelit të prekur. 

Ishte përmes një fushate të thjeshtë phishing që hakerat rusë fituan mundësinë e hyrjes në Komitetin Kombëtar Demokratik të SHBA në 2018.

Kjo rrjedhje rrezikoi gjithashtu sigurinë e personelit duke dhënë informacion të drejtpërdrejtë për rregullimet e tyre të udhëtimit, apo jo poshtë në numrin e dhomës së tyre të hotelit.

Akoma më shumë dëmtime, nëse këto të dhëna u shkarkuan, mund të jenë shitur në Dark Web dhe bëhen gati të pashtershme. 

Këshilla nga ekspertët

Kjo rrjedhje e të dhënave mund të ishte shmangur lehtësisht nëse pronari i bazave të të dhënave kishte ndërmarrë disa masa themelore të sigurisë. Këto mund të përsëriten nga çdo kompani, pa marrë parasysh madhësinë e saj:

  1. Siguroni serverat tuaj.
  2. Zbatimi i rregullave të duhura të hyrjes.
  3. Asnjëherë mos lini një sistem që nuk kërkon autentifikim të hapur për internetin.

Për një udhëzues më të thelluar se si të mbroni biznesin tuaj, shikoni se si të siguroni uebfaqen tuaj dhe bazën e të dhënave online nga hakerat.

Për platformat e prekura

Para se të miratoni softuer ose aplikacione për të menaxhuar një zonë të biznesit tuaj, sigurohuni që ata po ndjekin praktikat më të mira të sigurisë së të dhënave. Nëse përpunoni të dhëna të jashtme, të tilla si një mysafir në hotel ose anëtarët e publikut, duhet të siguroni që këto të dhëna janë të mbrojtura nga hakerat. 

Kompromentimi i të dhënave personale të klientëve tuaj mund krijoni dëme të mëdha reputacioni dhe çështje besimi në të ardhmen. 

Për një udhëzues të thelluar se si të mbroni biznesin tuaj në internet, shikoni se si të siguroni uebfaqen tuaj dhe bazën e të dhënave online nga hakerat.

Për vizitorët e hoteleve me ndikim

Nëse jeni i shqetësuar të dhënat tuaja janë komprometuar në këtë rrjedhje, kontaktoni çdo hotel në të cilin keni qëndruar kohët e fundit për të konfirmuar nëse janë prekur. Ata duhet t’ju informojnë për çdo hap që po ndërmarrin për të zgjidhur çështjen.

Ju gjithashtu mund të lexoni udhëzuesin tonë për privatësinë e internetit lexoni udhëzuesin tonë të plotë për privatësinë në internet. Kjo ju tregon shumë mënyra se si ju mund të synoheni nga kriminelët në internet, dhe hapat që mund të ndërmarrni për të qëndruar të sigurt.

Qeveria dhe ushtria amerikane

Të gjithë organet e qeverisë amerikane të prekur nga kjo rrjedhje duhet rishikoni procedurat e tyre të verifikimit për kontraktorët e palës së tretë. Do kompani e jashtme që merret me të dhëna qeveritare dhe ushtarake duhet të ndjekë protokolle të rrepta të sigurisë së të dhënave dhe të sigurojë që nuk ka dobësi në programin që ata përdorin. 

Si dhe pse e zbuluam shkeljen

Ekipi hulumtues vpnMentor zbuloi këtë shkelje në si pjesë e një projekti të madh hartografie në internet. Hakerët tanë përdorin skanimin e portit për të ekzaminuar blloqe të veçanta IP dhe provoni vrimat e hapura në sisteme për dobësitë. Ata ekzaminojnë secilën vrimë për të dhënat që dalin. 

Kur ata gjejnë një shkelje të të dhënave, ata përdorni teknikat e ekspertëve për të verifikuar identitetin e bazës së të dhënave. Ne pastaj lajmërojmë pronarin e bazës së të dhënave për shkeljen. Nëse është e mundur, ne gjithashtu do të paralajmërojmë ata që preken nga shkelja.

Ekipi ynë ishte në gjendje të hynte në këtë bazë të dhënash sepse ishte plotësisht i pasigurt dhe i pakriptuar. Sidoqoftë, në kohën e shkrimit, identiteti i pronarit të tij nuk është konfirmuar.

Kushdo që zotëron bazën e të dhënave në fjalë përdor një bazë të dhënash Elasticsearch, i cili zakonisht nuk është krijuar për përdorim URL. megjithatë, ne kemi qenë në gjendje t’i qasemi asaj përmes shfletuesit dhe të manipulojmë kriteret e kërkimit të URL-së në ekspozimin e skemave nga një indeks i vetëm në çdo kohë. 

Qëllimi i këtij projekti hartografie në internet është të ndihmojë e bëjnë internetin më të sigurt për të gjithë përdoruesit. 

Si hakerë etikë, ne jemi të detyruar të informojmë një kompani ose klientët e tyre kur zbulojmë të meta në sigurinë e tyre në internet. Kjo është veçanërisht e vërtetë kur shkelja e të dhënave të kompanive përmban informacione të tilla të ndjeshme në lidhje me qeverinë, ushtrinë dhe agjencitë e mbrojtjes së një kombi. 

Këto etikë nënkuptojnë gjithashtu ne mbajmë një përgjegjësi para publikut, të cilët meritojnë të jenë të vetëdijshëm për një shkelje të kësaj madhësie dhe implikimet që ajo ka në interesat e tyre.

Rreth nesh dhe raportet e mëparshme

vpnMentor është uebfaqja më e madhe në botë për shqyrtimin e VPN-së. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të ndihmojë komunitetin online të mbrohet kundër kërcënimeve në internet ndërsa edukon organizatat për mbrojtjen e të dhënave të përdoruesve të tyre. 

Kohët e fundit zbuluam një shkelje të madhe të të dhënave që prek 80 milion familjet e SHBA. Ne gjithashtu zbuluam se një shkelje në Biostar 2 komprometoi të dhënat biometrike të mbi 1 milion njerëzve. Ju gjithashtu mund të dëshironi të lexoni Raportin tonë të Rrjedhjeve VPN dhe Statistikat e Statistikave të Intimitetit të të Dhënave.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map