据Cybernews报道,全球知名数字身份验证工具提供商OCR Labs近日曝出敏感数据泄露事件,导致大量银行和政府客户面临严重风险。
创办于2018年的OCR Labs是数字身份验证工具的领先提供商,主要提供数字身份验证、客户信息录入、身份欺诈甄别和合规服务;其IDkit工具被多家主流银行、电信公司和政府机构使用于人脸识别身份验证(关联身份证件)。
OCR的商业解决方案提供5项专有技术,包括:身份文件光学字符识别(OCR)技术、文件欺诈风险评估、活体检测、视频欺诈风险评估和人脸匹配技术。
以下为事件梗概:
Cybernews联系了OCR Labs,并帮助后者修复了漏洞。
受数据泄露影响的澳大利亚银行QBANK主要向澳大利亚政府机构工作人员提供服务,Defense Bank(国防银行)主要服务于澳大利亚军队,而MA Money是一家住宅抵押贷款的公司。
该泄密事件还影响了Bloom Money和Admiral Money——两家总部位于英国的金融公司,以及英国顶级招聘机构Reed。
Cybernews指出,黑客利用泄露的数据能够入侵OCR Labs的后端基础设施,进而入侵其客户的基础设施。
公开暴露的“证书宝库”
2023年3月8日,Cybernews研究团队发现OCR实验室的网站idkit.com存在一个可公开访问的环境文件(.env)。
该文件包含数据库凭据,包括主机、端口和用户名、包含简单队列服务(SQS)访问凭据的亚马逊网络服务(AWS)、应用程序令牌和各种API密钥。
在泄露的数据中,研究人员发现了谷歌和Liveness服务的API密钥。Liveness服务用于在数字识别过程确定样本是否真人,从而防止欺骗或帐户持有人冒充。
这些密钥的暴露非常危险,被攻击者获取后可用来查看API的所有数据,并修改和更新相关文件、管道和工作流。
研究人员还偶然发现了Engine v4凭据:虽然他们无法确定这一发现的确切影响,但该凭据与KYC服务有关,该服务负责在开户时验证客户的身份,并定期验证以防止洗钱。暴露其ID和机密可能会危及KYC流程。
用户财务数据面临风险
Cybernews检测到的另一条敏感信息是来自知名跨国数据分析和消费者信用报告公司益博睿(Experian)的API密钥。
益博睿收集了大量个人财务数据,以帮助评估他们的信誉。未授权访问其API可能使攻击者能够获取私人用户数据(如信用评分),并编辑与API关联的所有数据。
泄露的应用程序URL、ID和令牌可能已被攻击者用来劫持OCR Labs客户端应用程序。
AWS和SQS访问凭证的暴露使OCR Labs客户端处于危险之中。泄露此类数据可能会破坏公司的系统运营,阻碍其查看内部服务器通信的能力,并可能使恶意行为者获得进一步的访问权限,从而对客户造成伤害。
暴露的的OAuth端点URL和业务指标令牌等信息可帮助恶意参与者访问企业私密商业信息。
攻击影响范围极广
CyberNews指出,如果恶意行为者使用泄露的数据来接管应用程序实例,在目标系统中横向移动,可能会造成重大损害。
暴露的环境文件中的信息可能会为威胁参与者提供多种攻击选项,例如部署勒索软件以及访问和窃取敏感客户数据(如个人身份信息(PII)、存款、取款和转账)等。
此外,泄露的(个人财务)数据对网络钓鱼者和欺诈者非常有价值,他们可能会利用这个机会冒充经纪人或银行,对企业和个人实施电汇欺诈。
此外,身份盗用和使用被盗客户凭据开设欺诈性银行账户的风险也不容忽视。
在接到Cybernews的配置错误问题通知后,OCR Labs立即采取了所有必要的缓解措施。OCR Labs表示,它遵守了漏洞披露计划(VDP)框架,“已安全地接受,分类和快速修复漏洞”,并已通知所有受影响的客户。
安全建议
为了确保存储数据的安全性,Cybernews研究人员建议企业谨慎行事,避免在环境文件中存储敏感信息,例如登录URL,连接字符串,访问令牌和凭据,建议将它们始终存储在安全和受保护的文件夹中。
对于OCR Labs来说,应采取一些必要的预防措施,包括重置凭据、密码、令牌和API密钥。此外,还应创建随机生成的强唯一密码,同时限制数据库访问,以确保只有其所有者才能读取访问令牌。
最后,专家建议企业尽快实施可靠的验证程序来保护客户端,例如多因素身份验证。
参考链接:https://cybernews.com/security/ocr-labs-exposes-its-systems/ 【来源:GoUpSec】
本地下载
实操指南:如何监控聊天中的敏感信息?这款秘籍软件,轻松掌握微信聊天动态
电影《摩登时代》里,流水线工人就连在吃饭时都要用“自动喂食机”提高效率,这样才能挤出更多时间投入工作。虽然现在打工人不至于此,但有些老板仍然放心不下……像企业聊天记录往往蕴含着大量的敏感信息。为了确保信息安全,监控聊天中的敏感信息成为了一项必要且重要的工作。以下是一款秘籍软件,帮助你轻松掌握微信聊天动态,确保信息安全。...
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过员工上班在干什么?摸鱼?打游戏?老板该怎么管理?如何才能监视怎么监控员工上班情况?监控员工上班情况可以通过多种方式实现,但重要的是要确保这些措施既合法又合规,同时尊重员工的隐私权。以下是一些建议的方法:一、制定明确的行为规范与奖惩制度1、制定行为规范: 企...
怎么监控员工上班情况?快速监控员工状态
怎么监控员工上班情况?快速监控员工状态在企业管理中,如何有效监控员工上班情况,确保工作效率与团队协作,是每位老板都需面对的课题。本文为您揭秘五招快速监控员工状态的实用技巧,不仅能帮助您实时掌握员工动态,还能提升整体管理效率。作为老板,掌握这些技巧,将让您在企业管理中游刃有余,轻松应对各种挑战。一、使用安企神软件实时监控...
安企神桌管软件:提升企业管理效率的全能助力
安企神桌管软件:提升企业管理效率的全能助力在当今竞争激烈的商业环境中,企业必须不断优化管理和运营流程,以提高效率和盈利能力。安企神桌管软件正是这样一款面向中小企业的管理工具,能够帮助企业在多方面提升综合管理水平。本文将详细探讨安企神桌管软件给企业带来的多重价值。一、全方位的管理功能安企神桌管软件是一款集成了多种管理功能...
安企神:揭开终端安全管理软件的神秘面纱
安企神:揭开终端安全管理软件的神秘面纱在数字化日益普及的今天,企业的网络安全问题愈发显得重要。数据泄露、网络攻击等事件层出不穷,如何保障企业内部信息的安全性成为众多企业关心的焦点。安企神终端安全管理软件应运而生,作为一款专业的安全管理工具,它的功能与优势备受关注。本文将全面揭秘安企神软件的核心功能、应用场景及其在终端安...