首页 > 网络安全资讯 > OCR Labs敏感数据泄露

OCR Labs敏感数据泄露

Lonely 4月 07, 2023 235 0

OCR Labs向主要银行和政府机构提供的数字识别工具的敏感凭证泄露,使客户面临严重风险。

  • 总部位于伦敦的OCR Labs是数字身份验证工具的主要供应商。它的服务被包括宝马、沃达丰、澳大利亚政府、西太平洋银行、澳新银行、汇丰银行和维珍金融在内的公司和金融机构使用。
  • 公司系统的错误配置将敏感凭证暴露给公众。
  • 数据泄露影响了QBANK、Defense Bank、Bloom Money、Admiral Money、MA Money和Reed。
  • 使用泄露的数据,威胁行为者可能会破坏银行的后端基础设施,进而破坏其客户的基础设施。
  • 金融服务是网络犯罪分子的主要目标,因此对组织及其客户的威胁是严重的。
  • Cyber​​news联系了OCR Labs,该公司解决了这个问题。

Cyber​​news研究团队在OCR Labs 系统中发现了一个暴露敏感数据的错误配置。

该公司是数字身份验证工具的领先供应商,其IDkit工具被各大银行、电信公司和政府机构使用。IDKit通过将用户的面孔链接到他们的身份证件来验证用户。

发现的数据泄露影响了澳大利亚的金融机构——主要由政府机构工作人员使用的QBANK、为澳大利亚武装部队提供服务的 Defense Bank以及专注于住宅抵押贷款的公司MA Money。

泄密事件还影响了Bloom Money和Admiral Money——两家总部位于英国的金融公司,以及英国最大的招聘机构Reed。

使用泄露的数据,威胁行为者可能会破坏公司的后端基础设施,进而破坏其客户的基础设施。虽然金融服务是网络犯罪分子的主要目标,但对组织及其客户的威胁是严重的。

Cyber​​news联系了该公司,解决了这个问题。

凭证宝库

2023年3月8日,Cyber​​news研究团队发现了一个属于OCR实验室所有的idkit.com的可公开访问的环境文件(.env)。

该文件包含数据库凭据,包括主机、端口和用户名、 具有简单队列服务(SQS)访问凭据的亚马逊网络服务(AWS)、应用程序令牌和各种应用程序编程接口(API)密钥。

在泄露的数据中,研究人员发现了Google和Liveness API密钥。Liveness用于数字识别过程,确定样本是真人还是假人,从而防止欺骗或假冒账户持有人。

这些密钥的暴露特别危险,因为它可能允许攻击者查看 API 的所有数据并修改和更新相关文件、管道和工作流。

研究人员还偶然发现了Engine v4凭据:虽然他们无法确定这一发现的确切影响,但它与了解你的客户(KYC)服务有关,该服务需要在开户时验证客户的身份,并定期验证客户的身份以防止金钱损失洗钱。其ID和秘密的暴露可能会危及KYC流程。

光学字符识别实验室

财务数据存在风险

观察到的另一条敏感信息是来自知名跨国数据分析和消费者信用报告公司Experian的API密钥。

Experian收集有关个人的财务数据以帮助评估他们的信用度。访问API可能使威胁行为者能够访问私人用户数据(例如信用评分),并编辑与API关联的所有数据。

泄露的应用程序URL、ID和令牌可能已被威胁行为者用来劫持OCR Labs客户端应用程序。

AWS和SQS访问凭证的泄露使OCR实验室的客户处于危险之中。泄露此类数据可能会破坏公司的系统运营,妨碍其查看内部服务器通信的能力,并可能使恶意行为者获得进一步的访问权限,从而对客户造成伤害。

发现的用于业务指标的OAuth端点URL和令牌可以帮助恶意行为者访问私人商业信息。

攻击范围广

如果恶意行为者使用它来接管应用程序实例,则此泄漏可能会造成重大损害,从而实现目标系统的横向移动。

环境文件可能会为威胁参与者提供各种攻击选项。勒索软件部署以及对敏感客户数据(如个人身份信息 (PII)、存款、取款和转账)的访问,只是可以对泄露的数据执行的操作的几个示例。

泄露的数据可能对网络钓鱼者和欺诈者非常有利,他们可能会利用这个机会冒充经纪人或银行,并欺骗毫无戒心的个人和企业将资金转移给诈骗者。

此外,身份盗窃和使用被盗客户凭证建立欺诈性银行账户(也称为银行账户丢失)的风险不容忽视。

OCR实验室的回应

在Cyber​​news将错误配置通知该公司后,立即采取了所有必要的措施来纠正这种情况。OCR Labs表示,它遵守漏洞披露计划(VDP)框架,“以安全地接受、分类和快速修复漏洞。”

根据该框架,该公司声称已通知所有受影响的客户作为其回应的一部分。经过内部调查后,它表示“我们客户的数据或任何其他客户的安全没有风险。”

“经过40多个小时的调查,我们发现这些报告与未使用的演示和非生产环境有关,而机器人发现的密钥属于离线系统,”OCR实验室的Paul Warren-Tape说。

Cyber​​news联系了受影响的客户,但在撰写本文时尚未收到他们的评论。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/5561.html
打赏微海报分享

标签

相关推荐

热门标签

AI apache APT C++ Cisco CVE DNS EFER fuzz Github hook IDA JAVA Linux NSA RAT Ring Shellcode SYSCALL 下载 代码执行漏洞 俄罗斯 信息泄露 分析 勒索软件 反序列化 后门 安全资讯 恶意代码 恶意软件 提权 攻击 数据泄露 木马 混淆 渗透 漏洞 漏洞分析 漏洞利用 网络安全 远程代码执行 逆向 通信 防护 静态分析

友情链接

Lonely Blog看雪论坛安全客三叔博客