一家人臉識別技術供應商因安全漏洞危及大量金融企業和重要行業、政府用戶。
據Cybernews報道,全球知名數字身份驗證工具提供商OCR Labs近日曝出敏感數據泄露事件,導致大量銀行和政府客戶面臨嚴重風險。
創辦于2018年的OCR Labs是數字身份驗證工具的領先提供商,主要提供數字身份驗證、客戶信息錄入、身份欺詐甄別和合規服務;其IDkit工具被多家主流銀行、電信公司和政府機構使用于人臉識別身份驗證(關聯身份證件)。
OCR的商業解決方案提供5項專有技術,包括:身份文件光學字符識別(OCR)技術、文件欺詐風險評估、活體檢測、視頻欺詐風險評估和人臉匹配技術。
以下為事件梗概:
- 總部位于倫敦的OCR Labs是數字身份驗證工具的主要提供商之一。其服務被寶馬、沃達豐、澳大利亞政府、西太平洋銀行、澳新銀行、匯豐銀行和維珍貨幣等知名企業使用。
- 公司系統配置錯誤將敏感憑據暴露給公眾。
- 數據泄露影響了多個國家的多家金融機構。
- 使用泄露的數據,黑客能夠入侵OCR Labs的后端基礎設施,從而滲透到其客戶的基礎設施。
- 金融服務是網絡犯罪分子的主要目標,因此該數據泄露事件對企業及其客戶的威脅極為嚴重。
Cybernews聯系了OCR Labs,并幫助后者修復了漏洞。
受數據泄露影響的澳大利亞銀行QBANK主要向澳大利亞政府機構工作人員提供服務,Defense Bank(國防銀行)主要服務于澳大利亞軍隊,而MA Money是一家住宅抵押貸款的公司。
該泄密事件還影響了Bloom Money和Admiral Money——兩家總部位于英國的金融公司,以及英國頂級招聘機構Reed。
Cybernews指出,黑客利用泄露的數據能夠入侵OCR Labs的后端基礎設施,進而入侵其客戶的基礎設施。
公開暴露的“證書寶庫”
2023年3月8日,Cybernews研究團隊發現OCR實驗室的網站idkit.com存在一個可公開訪問的環境文件(.env)。
該文件包含數據庫憑據,包括主機、端口和用戶名、包含簡單隊列服務(SQS)訪問憑據的亞馬遜網絡服務(AWS)、應用程序令牌和各種API密鑰。
在泄露的數據中,研究人員發現了谷歌和Liveness服務的API密鑰。Liveness服務用于在數字識別過程確定樣本是否真人,從而防止欺騙或帳戶持有人冒充。
這些密鑰的暴露非常危險,被攻擊者獲取后可用來查看API的所有數據,并修改和更新相關文件、管道和工作流。
研究人員還偶然發現了Engine v4憑據:雖然他們無法確定這一發現的確切影響,但該憑據與KYC服務有關,該服務負責在開戶時驗證客戶的身份,并定期驗證以防止洗錢。暴露其ID和機密可能會危及KYC流程。
澳大利亞國防銀行泄露的憑據 圖片來自網絡
用戶財務數據面臨風險
Cybernews檢測到的另一條敏感信息是來自知名跨國數據分析和消費者信用報告公司益博睿(Experian)的API密鑰。
益博睿收集了大量個人財務數據,以幫助評估他們的信譽。未授權訪問其API可能使攻擊者能夠獲取私人用戶數據(如信用評分),并編輯與API關聯的所有數據。
泄露的應用程序URL、ID和令牌可能已被攻擊者用來劫持OCR Labs客戶端應用程序。
AWS和SQS訪問憑證的暴露使OCR Labs客戶端處于危險之中。泄露此類數據可能會破壞公司的系統運營,阻礙其查看內部服務器通信的能力,并可能使惡意行為者獲得進一步的訪問權限,從而對客戶造成傷害。
暴露的的OAuth端點URL和業務指標令牌等信息可幫助惡意參與者訪問企業私密商業信息。
攻擊影響范圍極廣
CyberNews指出,如果惡意行為者使用泄露的數據來接管應用程序實例,在目標系統中橫向移動,可能會造成重大損害。
暴露的環境文件中的信息可能會為威脅參與者提供多種攻擊選項,例如部署勒索軟件以及訪問和竊取敏感客戶數據(如個人身份信息(PII)、存款、取款和轉賬)等。
此外,泄露的(個人財務)數據對網絡釣魚者和欺詐者非常有價值,他們可能會利用這個機會冒充經紀人或銀行,對企業和個人實施電匯欺詐。
此外,身份盜用和使用被盜客戶憑據開設欺詐性銀行賬戶的風險也不容忽視。
在接到Cybernews的配置錯誤問題通知后,OCR Labs立即采取了所有必要的緩解措施。OCR Labs表示,它遵守了漏洞披露計劃(VDP)框架,“已安全地接受,分類和快速修復漏洞”,并已通知所有受影響的客戶。
安全建議
為了確保存儲數據的安全性,Cybernews研究人員建議企業謹慎行事,避免在環境文件中存儲敏感信息,例如登錄URL,連接字符串,訪問令牌和憑據,建議將它們始終存儲在安全和受保護的文件夾中。
對于OCR Labs來說,應采取一些必要的預防措施,包括重置憑據、密碼、令牌和API密鑰。此外,還應創建隨機生成的強唯一密碼,同時限制數據庫訪問,以確保只有其所有者才能讀取訪問令牌。
最后,專家建議企業盡快實施可靠的驗證程序來保護客戶端,例如多因素身份驗證。
007bug
RacentYY
FreeBuf
一顆小胡椒
ManageEngine卓豪
ManageEngine卓豪
RacentYY
RacentYY
安全牛
尚思卓越
安全牛
ManageEngine卓豪
