身份验证厂商OCR Labs数据泄露,危及大量银行客户

据Cybernews报道,全球知名数字身份验证工具提供商OCR Labs近日曝出敏感数据泄露事件,导致大量银行和政府客户面临严重风险。

创办于2018年的OCR Labs是数字身份验证工具的领先提供商,主要提供数字身份验证、客户信息录入、身份欺诈甄别和合规服务;其IDkit工具被多家主流银行、电信公司和政府机构使用于人脸识别身份验证(关联身份证件)。

OCR的商业解决方案提供5项专有技术,包括:身份文件光学字符识别(OCR)技术、文件欺诈风险评估、活体检测、视频欺诈风险评估和人脸匹配技术。

以下为事件梗概:

  • 总部位于伦敦的OCR Labs是数字身份验证工具的主要提供商之一。其服务被宝马、沃达丰、澳大利亚政府、西太平洋银行、澳新银行、汇丰银行和维珍货币等知名企业使用。
  • 公司系统配置错误将敏感凭据暴露给公众。
  • 数据泄露影响了多个国家的多家金融机构。
  • 使用泄露的数据,黑客能够入侵OCR Labs的后端基础设施,从而渗透到其客户的基础设施。
  • 金融服务是网络犯罪分子的主要目标,因此该数据泄露事件对企业及其客户的威胁极为严重。

Cybernews联系了OCR Labs,并帮助后者修复了漏洞。

受数据泄露影响的澳大利亚银行QBANK主要向澳大利亚政府机构工作人员提供服务,Defense Bank(国防银行)主要服务于澳大利亚军队,而MA Money是一家住宅抵押贷款的公司。

该泄密事件还影响了Bloom Money和Admiral Money——两家总部位于英国的金融公司,以及英国顶级招聘机构Reed。

Cybernews指出,黑客利用泄露的数据能够入侵OCR Labs的后端基础设施,进而入侵其客户的基础设施。

公开暴露的“证书宝库”

2023年3月8日,Cybernews研究团队发现OCR实验室的网站idkit.com存在一个可公开访问的环境文件(.env)。

该文件包含数据库凭据,包括主机、端口和用户名、包含简单队列服务(SQS)访问凭据的亚马逊网络服务(AWS)、应用程序令牌和各种API密钥。

在泄露的数据中,研究人员发现了谷歌和Liveness服务的API密钥。Liveness服务用于在数字识别过程确定样本是否真人,从而防止欺骗或帐户持有人冒充。

这些密钥的暴露非常危险,被攻击者获取后可用来查看API的所有数据,并修改和更新相关文件、管道和工作流。

研究人员还偶然发现了Engine v4凭据:虽然他们无法确定这一发现的确切影响,但该凭据与KYC服务有关,该服务负责在开户时验证客户的身份,并定期验证以防止洗钱。暴露其ID和机密可能会危及KYC流程。

澳大利亚国防银行泄露的凭据 图片来自网络

用户财务数据面临风险

Cybernews检测到的另一条敏感信息是来自知名跨国数据分析和消费者信用报告公司益博睿(Experian)的API密钥。

益博睿收集了大量个人财务数据,以帮助评估他们的信誉。未授权访问其API可能使攻击者能够获取私人用户数据(如信用评分),并编辑与API关联的所有数据。

泄露的应用程序URL、ID和令牌可能已被攻击者用来劫持OCR Labs客户端应用程序。

AWS和SQS访问凭证的暴露使OCR Labs客户端处于危险之中。泄露此类数据可能会破坏公司的系统运营,阻碍其查看内部服务器通信的能力,并可能使恶意行为者获得进一步的访问权限,从而对客户造成伤害。

暴露的的OAuth端点URL和业务指标令牌等信息可帮助恶意参与者访问企业私密商业信息。

攻击影响范围极广

CyberNews指出,如果恶意行为者使用泄露的数据来接管应用程序实例,在目标系统中横向移动,可能会造成重大损害。

暴露的环境文件中的信息可能会为威胁参与者提供多种攻击选项,例如部署勒索软件以及访问和窃取敏感客户数据(如个人身份信息(PII)、存款、取款和转账)等。

此外,泄露的(个人财务)数据对网络钓鱼者和欺诈者非常有价值,他们可能会利用这个机会冒充经纪人或银行,对企业和个人实施电汇欺诈。

此外,身份盗用和使用被盗客户凭据开设欺诈性银行账户的风险也不容忽视。

在接到Cybernews的配置错误问题通知后,OCR Labs立即采取了所有必要的缓解措施。OCR Labs表示,它遵守了漏洞披露计划(VDP)框架,“已安全地接受,分类和快速修复漏洞”,并已通知所有受影响的客户。

安全建议

为了确保存储数据的安全性,Cybernews研究人员建议企业谨慎行事,避免在环境文件中存储敏感信息,例如登录URL,连接字符串,访问令牌和凭据,建议将它们始终存储在安全和受保护的文件夹中。

对于OCR Labs来说,应采取一些必要的预防措施,包括重置凭据、密码、令牌和API密钥。此外,还应创建随机生成的强唯一密码,同时限制数据库访问,以确保只有其所有者才能读取访问令牌。

最后,专家建议企业尽快实施可靠的验证程序来保护客户端,例如多因素身份验证。

参考链接:

https://cybernews.com/security/ocr-labs-exposes-its-systems/

声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表GetTrust立场,转载目的在于传递更多信息。如有侵权,请联系删除。

相关推荐: Rapid7花4500万美元收购反勒索厂商Minerva Labs:仅14人

2023年3月15日,以色列反勒索初创Minerva Labs宣布将以4500万美元的价格被Rapid7收购,这笔交易包括3800万美元的现金。Minerva只雇佣了14人,他们都在以色列,后续也都会加入Rapid7。迄今为止,该公司总共只募资750万美元。M…