据Cybernews报道,全球知名数字身份验证工具提供商OCR Labs近日曝出敏感数据泄露事件,导致大量银行和政府客户面临严重风险。
创办于2018年的OCR Labs是数字身份验证工具的领先提供商,主要提供数字身份验证、客户信息录入、身份欺诈甄别和合规服务;其IDkit工具被多家主流银行、电信公司和政府机构使用于人脸识别身份验证(关联身份证件)。
OCR的商业解决方案提供5项专有技术,包括:身份文件光学字符识别(OCR)技术、文件欺诈风险评估、活体检测、视频欺诈风险评估和人脸匹配技术。
以下为事件梗概:
Cybernews联系了OCR Labs,并帮助后者修复了漏洞。
受数据泄露影响的澳大利亚银行QBANK主要向澳大利亚政府机构工作人员提供服务,Defense Bank(国防银行)主要服务于澳大利亚军队,而MA Money是一家住宅抵押贷款的公司。
该泄密事件还影响了Bloom Money和Admiral Money——两家总部位于英国的金融公司,以及英国顶级招聘机构Reed。
Cybernews指出,黑客利用泄露的数据能够入侵OCR Labs的后端基础设施,进而入侵其客户的基础设施。
公开暴露的“证书宝库”
2023年3月8日,Cybernews研究团队发现OCR实验室的网站idkit.com存在一个可公开访问的环境文件(.env)。
该文件包含数据库凭据,包括主机、端口和用户名、包含简单队列服务(SQS)访问凭据的亚马逊网络服务(AWS)、应用程序令牌和各种API密钥。
在泄露的数据中,研究人员发现了谷歌和Liveness服务的API密钥。Liveness服务用于在数字识别过程确定样本是否真人,从而防止欺骗或帐户持有人冒充。
这些密钥的暴露非常危险,被攻击者获取后可用来查看API的所有数据,并修改和更新相关文件、管道和工作流。
研究人员还偶然发现了Engine v4凭据:虽然他们无法确定这一发现的确切影响,但该凭据与KYC服务有关,该服务负责在开户时验证客户的身份,并定期验证以防止洗钱。暴露其ID和机密可能会危及KYC流程。
用户财务数据面临风险
Cybernews检测到的另一条敏感信息是来自知名跨国数据分析和消费者信用报告公司益博睿(Experian)的API密钥。
益博睿收集了大量个人财务数据,以帮助评估他们的信誉。未授权访问其API可能使攻击者能够获取私人用户数据(如信用评分),并编辑与API关联的所有数据。
泄露的应用程序URL、ID和令牌可能已被攻击者用来劫持OCR Labs客户端应用程序。
AWS和SQS访问凭证的暴露使OCR Labs客户端处于危险之中。泄露此类数据可能会破坏公司的系统运营,阻碍其查看内部服务器通信的能力,并可能使恶意行为者获得进一步的访问权限,从而对客户造成伤害。
暴露的的OAuth端点URL和业务指标令牌等信息可帮助恶意参与者访问企业私密商业信息。
攻击影响范围极广
CyberNews指出,如果恶意行为者使用泄露的数据来接管应用程序实例,在目标系统中横向移动,可能会造成重大损害。
暴露的环境文件中的信息可能会为威胁参与者提供多种攻击选项,例如部署勒索软件以及访问和窃取敏感客户数据(如个人身份信息(PII)、存款、取款和转账)等。
此外,泄露的(个人财务)数据对网络钓鱼者和欺诈者非常有价值,他们可能会利用这个机会冒充经纪人或银行,对企业和个人实施电汇欺诈。
此外,身份盗用和使用被盗客户凭据开设欺诈性银行账户的风险也不容忽视。
在接到Cybernews的配置错误问题通知后,OCR Labs立即采取了所有必要的缓解措施。OCR Labs表示,它遵守了漏洞披露计划(VDP)框架,“已安全地接受,分类和快速修复漏洞”,并已通知所有受影响的客户。
安全建议
为了确保存储数据的安全性,Cybernews研究人员建议企业谨慎行事,避免在环境文件中存储敏感信息,例如登录URL,连接字符串,访问令牌和凭据,建议将它们始终存储在安全和受保护的文件夹中。
对于OCR Labs来说,应采取一些必要的预防措施,包括重置凭据、密码、令牌和API密钥。此外,还应创建随机生成的强唯一密码,同时限制数据库访问,以确保只有其所有者才能读取访问令牌。
最后,专家建议企业尽快实施可靠的验证程序来保护客户端,例如多因素身份验证。
参考链接:https://cybernews.com/security/ocr-labs-exposes-its-systems/ 【来源:GoUpSec】
本地下载
u盘加密后在别的系统能用吗?
随着信息化的发展,数据安全已成为各行各业不可忽视的重要问题。U盘作为一种便捷的数据存储设备,广泛应用于数据备份、文件传输等场景。然而,U盘的使用也带来了数据泄露的风险。为了保护重要数据的安全,许多企业或个人会选择对U盘进行加密处理。那么,U盘加密后在别的系统能否正常使用呢?首先,需要明确的是,U盘加密后,在别的系统上仍...
上网行为监控软件有哪些好用
上网行为监控软件有哪些好用在信息技术飞速发展的今天,网络已成为我们生活的重要组成部分。然而,随之而来的网络安全问题和隐私泄露风险也让我们不得不考虑如何有效地监控和管理我们的上网行为。无论是家庭使用,还是企业管理,拥有一款合适的上网行为监控软件,能够帮助我们更好地保护个人隐私、提升工作效率、以及确保网络环境的安全。本文将...
图纸加密软件功能介绍,CAD图纸防泄密
图纸加密软件功能介绍,CAD图纸防泄密数据时代,设计软件是设计行业不可或缺的“工作伙伴”,而设计方案、设计图纸不仅承载了每个设计师的个人知识成果,更承载了设计公司重要的数据资料及效益来源。为了通过图纸加密软件针对设计图纸加密来保护设计师及公司知识产权的安全,很多设计公司决定建立一套图纸加密系统来维护内部图纸加密安全及公...
企业级办公文件如何加密?
企业级办公文件如何加密?文档加密软件有哪些? 如今,数据安全已成为企业和个人不可忽视的重要议题,无论是个人隐私还是企业机密,都需要通过加密软件来确保安全。“数据安全无小事”,在2024年,各类加密软件如雨后春笋般涌现,为信息安全提供了强有力的保障。以下将为您分享8款优秀的加密软件,帮助大家更好地保护自己的数据。1、安企...
文件加密软件对企业有什么帮助?
文件加密软件对企业有什么帮助?企业所存在的数据安全隐患:• 技术员工离职并带走企业核心资料,导致严重隐患• 新产品图纸失窃,被竞争对手直接超越• 客户数据泄漏,造成企业直接经济损失• 标书方案外泄,直接导致投标失败• 财务数据被随便公开,影响企业正常经营云计算、大数据等新技术的发展和应用直接增加了数据安全风险。对于企业...