欢迎来到永胜在线
国内最专业的科技资讯提供商

Kiosk漏洞将客户数据置于风险之中

据Trustwave报道,研究人员发现了一个影响一家领先的管理信息亭制造商的漏洞,该公司在酒店、企业、零售和其他行业都有管理信息亭,可能允许恶意行为者访问云数据库。

Uniguest外包安全、全面管理的面向客户的技术解决方案,但研究人员报告称,“根据他们的基础设施的设置方式,Uniguest似乎是在实际管理机器,而不是酒店或其他使用Uniguest软件的企业。”

Uniguest的云数据库包含kiosk凭证,包括所有客户的管理、路由器、BIOS密码和产品密钥。根据这项研究,有了这些信息,攻击者就可以植入键盘记录器和远程访问木马,来捕获亭客活动,比如打印登机牌、酒店签到和网上银行。

通过使用谷歌搜索,研究人员发现了一个公开的网站,其中包含了技术人员部署或管理kiosk位置所需的工具。

无需认证,在预包装的kiosk软件和手册中,SystemSleuth脱颖而出。SystemSleuth是用c#编写的,因此可以使用dnSpy之类的东西轻松地反编译回源代码,”研究人员写道。

据报道,部署到Uniguest遗留信息亭的SystemSleuth应用程序被用来收集产品密钥、资产标签、密码和其他各种数据等信息。“数据被发送到Salesforce API,当然,使用c#反编译器,不需要很长时间就可以找到应用程序中硬编码的API凭据,”报告说。

报告称,如果对手能够发现这些信息,攻击者就可以“部署键盘记录器、远程访问木马和其他各种形式的恶意软件,攻击刚刚经过的酒店客人或企业顾客。”

研究人员联系了Uniguest,该公司已将该网站置于一个身份验证门户之后,但研究人员指出,“SystemSleuth和API凭据(尽管已禁用)仍然可以在他们的托管系统上找到,直到Uniguest可以重新对它们进行映像。”

历史上的今天
七月
12
    哇哦~~~,历史上的今天没发表过文章哦
赞(0)
未经允许不得转载:永胜在线 » Kiosk漏洞将客户数据置于风险之中
分享到: 更多 (0)
标签:

相关推荐

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  • Q Q(选填)

永胜在线科技网 更权威 更方便

永胜在线联系我们