近期,有安全研究人员在公网上发现了一个不安全的数据库,其中的数据涉及包括万豪在内的多个酒店的安全日志——这其中可能隐藏着高危的安全漏洞。

VpnMentor的研究人员Noam Rotem和Ran Locar在这周四公布了他们的调查结果,明确指出多家酒店已卷入此次安全事件。

vpnMentor的联合创始人Ariel Hochstadt,同时也是安全团队的一员,于2019年5月27日对全网进行端口扫描时,发现了这个有安全漏洞的服务器。

该服务器貌似和一家名为Pyramid Hotel Group的酒店和度假村管理公司联系了起来。

Pyramid在其官网上表示,该公司“为投资者以及资产提供卓越的运营、支持服务”。

该公司管理了美国,夏威夷,加勒比海,爱尔兰和英国等多个国家的众多酒店和度假村。其中包括19个万豪酒店,喜来登酒店,广场度假村和希尔顿酒店物业,以及其他许多独立品牌酒店。

目前来看,这又是一起在9200端口对公网开放Elasticsearch的案例,任何人都可以不受限制地访问由开源检测系统Wazuh生成的安全审计日志。

Pyramid公司曾在官网宣传了旗下的90个客户,但vpnMentor似乎从服务器发现了96个。

万豪的Aloft Sarasota酒店也是其中之一,虽然数据库中没有明确记载,但Tarrytown House Estate(纽约),Carton House Luxury Hotel(爱尔兰),Aloft Hotels(佛罗里达州)和Temple Bar Hotel(爱尔兰)都暗示了这一事实。

在这个存在缺陷的数据库中含有85.4GB的安全审计日志,都是极为敏感的信息。

研究人员表示:“从目前的进展来看,我们可以理清数据库中所使用的各类命名方式,包含的各种域名和服务器,使用的数据库以及可能对攻击者有用的其他敏感信息”。

根据vpnMentor提供的样本,所泄露出的信息似乎可以追溯到2019年4月19日。

其中还包括服务器API密钥和密码,设备名称,各种服务器连接的IP地址,防火墙和开放端口信息,恶意软件警报,受限应用,登录日志,应用程序错误信息以及暴力攻击检测和恶意软件感染日志等信息等信息。

此外,vpnMentor还表示数据库有酒店员工的信息,例如他们的全名和用户名,本地PC名称和地址,服务器名称和操作系统详细信息,网络安全规定以及各种其他网络安全相关信息。

Hochstadt告诉ZDNet:“也许该公司会表示并没有任何敏感信息被泄露,没有任何人非法访问了这些数据。但是,这些数据就像警察的卧底身份信息,一旦泄露,造成的危害是无法想象的。所以,你完全不能容忍它暴露在公网上。”

这些敏感信息往往都是公司的安全团队对内部网络进行安全监控的重要部分,但现在,它却有可能成为攻击者的突破口。而更为讽刺的是,安全检测系统现在成为了攻击者的“好帮手”。

除了各大酒店和度假村的服务器可能面临潜在的网络攻击,更糟糕的是,vpnMentor表示酒店及其客户的人身安全可能也会受到威胁。

在调查数据库时,安全团队还发现与多种安全设备相关的数据,包括酒店的房门锁,室内保险箱和物理安全管理设备的信息。

这可就不仅仅是电子数据泄露和服务器网络安全,可能会有不少人的人身安全受到威胁,特别是当这些数据被犯罪分子掌握时。

vpnMentor和ZDNet都已在2019年5月28日联系到Pyramid,通知他们立刻关闭暴露的服务器。

在Pyramid了解到这一事件的严重性后,该数据源已从公网下线,但该公司尚未确认这个服务器的重要性到底如何,也没有通过电话和电子邮件对此事件进行评论。

这不是vpnMentor第一次发现这种不安全的数据库和服务器。该公司此前曾披露过一个涉及中国电子商务公司Gearbest的一个存在未授权缺陷的数据库,影响了65%的美国家庭。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2689.html
来源:https://www.zdnet.com/article/unsecured-databa se-exposes-security-logs-of-major-hotel-chains/

包括万豪在内的多家酒店的大量安全日志暴露在公网相关推荐

  1. 万豪国际亚太区15家酒店率先启动“益起旅行 ”体验项目

    万豪国际集团宣布在亚太区推出万豪旅享家"益起旅行"体验项目,致力于为宾客打造富有意义的旅程.如今,人们越来越重视自己对所到访的目的地带来的影响,而"益起旅行"的 ...

  2. 万豪国际扩大北京奢华酒店布局,JW万豪将落户东城区

    万豪国际集团日前宣布与北京城建东华房地产开发有限责任公司签约,共同打造全新的JW万豪北京东直门酒店.预计于2024年开业的JW万豪北京东直门酒店是JW万豪品牌进驻北京的第三家酒店,北京作为全国政治.文 ...

  3. 携手新加坡开发商,万豪集团旗下艾美酒店与度假村首次入驻马尔代夫

    上海2021年9月2日 /美通社/ -- 万豪旅享家(Marriott Bonvoy)旗下30个非凡酒店品牌之一,艾美酒店与度假村携手新加坡开发商九鼎企业,近日宣布马尔代夫艾美水疗度假酒店盛大开幕.这 ...

  4. 万豪国际上海第50家酒店--上海东方美谷JW万豪酒店开业

    万豪国际集团宣布,备受瞩目的上海东方美谷JW万豪酒店盛大启幕.同时,上海东方美谷JW万豪酒店也成为了万豪国际于上海开设的第50家旗下品牌酒店,其开业对于万豪国际来说具有里程碑意义.酒店地处上海城市之南 ...

  5. 万豪国际亚太区第1000家酒店开业!总客房数量超一半在中国 | 美通社头条

    美通社消息:万豪国际集团宣布迎来亚太区第1000 家酒店开业里程碑,展现出对该市场长期发展潜力的坚实信心.深耕亚太区近五十载以来,集团在该市场一直保持着稳定的拓展步伐. 墨尔本丽思卡尔顿酒店是万豪国际 ...

  6. 万豪国际大中华区第500家酒店开业

    美通社消息,万豪国际集团宣布,日赛谷丽思卡尔顿隐世酒店开幕.这是万豪国际在大中华区开业的第500家酒店,标志着集团在华发展的重要里程碑.深耕该市场近40年来,万豪国际始终步履不停,不断扩大业务版图.并 ...

  7. 万豪国际集团亚太第800家酒店正式开业

    万豪国际集团近日宣布其在亚太区的第800家酒店 -- 日本的奈良JW万豪酒店盛大开业,标志着JW万豪品牌正式进驻日本.集团同时宣布预计将在年底前迎来艾迪逊酒店和雅乐轩酒店于日本的品牌首秀.Moxy酒店 ...

  8. 万豪在中国开设的第八家W酒店于长沙揭幕

    长沙2021年9月6日 /美通社/ -- 未来,已来.万豪国际集团旗下W酒店近日宣布,备受期待的长沙W酒店正式揭幕,燃亮"星城"长沙.由湖南运达实业集团有限公司投资的长沙W酒店坐落 ...

  9. 上海东方美谷JW万豪、福清喜来登、宁波杭州湾凯悦等酒店开业 | 中国酒店周刊...

    本期焦点:上海东方美谷JW万豪酒店开业,同时也成为万豪国际于上海开设的第50家旗下品牌酒店.福清喜来登酒店的开业成为福建省第三家喜来登酒店,亦是福清市第一家国际品牌高端酒店.宁波杭州湾凯悦酒店开业.第 ...

  10. 丽思卡尔顿游轮正式加入万豪旅享家旅行计划

    上海2021年12月9日 /美通社/ -- 万豪国际集团旗下享誉盛名的的旅行计划万豪旅享家(Marriott Bonvoy®)近日宣布,丽思卡尔顿游轮于2021年11月9日起正式加入该计划.丽思卡尔顿 ...

最新文章

  1. python会不会出现内存泄露_Python内存泄漏和内存溢出的解决方案
  2. python编程到底难不难_养成下面几个编程习惯,学习python并不难!
  3. 【转】Go 语言教程(2)——表达式
  4. 格式化大容量硬盘为fat32
  5. linux里查看所有用户和用户组
  6. 【POJ - 3347 】Kadj Squares (计算几何,思维 或 扫描线)
  7. Spring Boot 整合Mybatis (一)
  8. Java14来了!Switch竟如此简单?Lombok也不需要了?来用Idea搭建Java14吧!
  9. 热门话题“30岁还没结婚你会考虑将就么?”数据告诉你,网友们都如何做出抉择...
  10. 使用Perl实现系统管理自动化(第二版) 中文电子版
  11. 2020-10-18
  12. linux远程连接命令有哪些,linux系统远程连接命令有哪些
  13. 软件测试常见分辨率测试,如何用imatest测分辨率 imatest软件测试分辨率图文教程...
  14. Oracle LiveLabs实验:Introduction to Oracle Spatial
  15. 如何计算机械能增加量,探讨优化验证机械能守恒定律实验中动能增加量的计算方法...
  16. 冶金、水泥、化工行业自动化通信产品介绍
  17. windows环境部署django项目(可部署不同版本的django)
  18. 个人永久性免费-Excel催化剂功能第85波-灵活便捷的批量发送短信功能(使用腾讯云接口)...
  19. 「代码家」的学习过程和学习经验分享
  20. Vue + Element UI 实现权限管理系统 前端篇(六):更换皮肤主题

热门文章

  1. “链上海南”海南省区块链财政电子票据应用管理平台上线
  2. idf实验室图片里的英语
  3. android中怎么保存checkbox中的checked属性_web前端:CSS的常用属性速查表
  4. redis特殊数据类型geospatial
  5. 【论】A deep-learning model for urban traffic flow prediction with traffic events mined from twitter
  6. Android Gradle学习从接触到撕票【持续更新...】
  7. yarn install报Integrity check failed for “extension-widgets“(computed integrity doesn‘t match our)
  8. 爬虫——图书馆抢座,Python果然无所不能!
  9. 实习第一周到第三周工作总结(2013.10.8-2013.10.27)
  10. Python基础第一篇