Forskere har afdækket en svøbe af sårbarheder, som påvirker visitor management systemer, hvor automatisering har erstattet menneskelige assistenter.
Automatisering, kunstig intelligens (AI), machine learning (ML), Internet of Things (IoT), og mobilitet er begyndt at gennemsyre alle aspekter af vores daglige liv. I gæstfrihed industrien, at disse teknologier har præsenteret en mulighed for at forbedre sikkerheden af besøgende og gæster, samt reducere den menneskelige arbejdskraft, der kræves for at opretholde den beskyttende foranstaltninger.
Såkaldte visitor management-systemer, der erstatter din gennemsnitlige sikkerhedsvagt eller receptionen er ved at blive store virksomhed, som forventes at blive et marked til en værdi af over $1,3 milliarder i 2025.
Men i det øjeblik du tilføje Internet-forbindelse til en enhed, du invitere potentielle angreb — og sikkerhedshuller, fundet i badges og digital kontrol systemer kan være lige så modtagelige for at udnytte som alle andre.
Se også: Cloudflare udvider regering garanterer kanariske øer i gennemsigtighed bud
For cyberattackers, evnen til at manipulere med adgangskontrol kan give dem uautoriseret adgang til bygninger og områder for kriminelle ordninger. Mens dette kan synes en aparte udsigten, social engineering — som en mand udklædt som en vedligeholdelse arbejdstager til at passere gennem bygninger uden udfordring — er allerede et kendt taktik.
“Hvis en besøgende management system fungerer korrekt, bør det være lettere at identificere, hvilke besøgende, der er legitime, og hvis de skal have lov til at flytte hele campus uledsaget,” IBM siger. “Hvis systemerne ikke fungerer efter hensigten, de kan give en falsk følelse af sikkerhed, at de virksomheder, der implementerer dem.”
Selskabets cybersecurity team, IBM X-Force Red, har for nylig undersøgt sikkerhedssituation af fem populære visitor management systemer, der tilbydes af Jolly Teknologier, HID Global, Tærskel Sikkerhed, Udsending, og Receptionist.
TechRepublic: Hvorfor virksomheder frygt cyberangreb fra ex-ansatte mere end nationalstater
Holdet fandt i alt 19 zero-day-sårbarheder på tværs af leverandører, produkter; Jolly Technologies’ Lobby Styr Desktop, HID Global EasyLobby Solo, Tærskel Sikkerhed er eVisitorPass, Udsending s Udsending Pas, og Receptionisten system.
IBM X-Force Red ‘ s fund, der indgår offentliggørelse af oplysninger sårbarheder, brug af standard administratorrettigheder, rettighedsforøgelse fejl, som kan tillade, at oplysninger udbrud af sådanne miljøer, og data lækage, herunder besøgende registre, cpr-numre og kørekort numre.
CNET: Ved at høre på federal data-loven om privatlivets fred, debat nødblus over statslige regler
“Selv hvis den besøgende management system er ikke tilsluttet noget netværk og ikke udsteder adgangskort, det holder stadig, data om besøgende, som kan være en velsignelse til konkurrenter og inde erhvervsdrivende,” siger forskerne. “At vide, for eksempel, at den administrerende DIREKTØR af et tilknyttet selskab har været på besøg hver dag i de sidste par uger kunne være værdifuld intelligens til at indsamle. Afhængigt af, hvilke data visitor management system butikker, der kan være en mulighed for identitetstyveri, så godt.”
De leverandører, der er ramt af forskernes resultater blev meddelt før offentliggørelse. Flere sårbarheder er blevet lappet, andre rettelser vil blive udsendt i den nærmeste fremtid, og nogle af de fejl, vil blive dæmpet gennem isolation teknikker.
De sårbarheder, der er anført nedenfor.
Lobbyen Styr Desktop
CVE-2018-17482 : Besøgende registreringer offentliggørelse af oplysninger
CVE-2018-17483: Kørekort nummer afsløring af oplysninger
CVE-2018-17484: Database afsløring af oplysninger
CVE-2018-17485: Standard-konto
CVE-2018-17486: Besøgende registreringer sikkerhed bypass
CVE-2018-17487: Kiosk breakout rettighedsforøgelse
CVE-2018-17488: Kiosk breakout rettighedsforøgelse
EasyLobby Solo
CVE-2018-17489: cpr-nummer afsløring af oplysninger
CVE-2018-17490: Task manager denial-of-service
CVE-2018-17491: Program rettighedsforøgelse
CVE-2018-17492: Standard-konto
eVisitorPass
CVE-2018-17493: Fuldskærm-knappen breakout rettighedsforøgelse
CVE-2018-17494: Start Menu breakout rettighedsforøgelse
CVE-2018-17495: Hjælp til Dialogboksen rettighedsforøgelse
CVE-2018-17496: Kiosk rettighedsforøgelse
CVE-2018-17497: Admin-legitimationsoplysningerne standard konto
Udsending Pas
CVE-2018-17499: Udsending Pas til Android og Udsending Pas til iPhone API-nøgle
offentliggørelse af oplysninger
CVE-2018-17500: Udsending Pas til Android og Udsending Pas til iPhone OAuth Creds afsløring af oplysninger
Receptionisten
CVE-2018-17502: Receptionist til iPad kontakter afsløring af oplysninger
Tidligere og relaterede dækning
Dow Jones overvågningsliste af høj-risiko finansielle forbindelser lækket online
Målrettet malware-angreb mod Elasticsearch servere bølge
19-årige gør millioner fra etisk hacking
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre