安全專家指出,此次大規模數據庫泄露事件代表著紐約機場網絡完整性的“徹底崩潰”
E安全2月28日訊 幾個月以來,不斷有報道指出紐約斯圖爾特國際機場的內部敏感數據已經被暴露在互聯網之上,且未加任何密碼保護。其泄露的數據總量已超過750 GB,數據中包含電子郵件、密碼與政府文件。MacKeeper公司安全研究人員克里斯·維克里指出,此次泄露事件標志著紐約機場的網絡完整性“徹底崩潰”。
這座位于曼哈頓以北40英里的紐約斯圖爾特國際機場每年為數十萬名乘客提供服務,還定期供軍方執行任務。該機場以提供大量面向外國貴賓在內的高端客戶的包機航班而聞名。
數據泄露從去年3月就已開始根據克里斯·維克里所言,截至上周(2月21日)紐約機場的大量敏感數據被惡意人士所隨意竊取,且網絡入侵至少自去年3月就已經開始。此接入互聯網的存儲驅動器包含由斯圖爾特國際機場所使用的多個服務器備份鏡像,但各備份驅動器皆未對其磁盤鏡像進行密碼保護,意味著任何人皆可訪問其內容。
這些文件中包含11個磁盤鏡像,其中囊括了高達數百GB的文件與文件夾,其內容則涵蓋機場工作人員電子郵箱帳戶、敏感人力資源文件、辦公室備忘錄、工資單數據以及一套疑似財務追蹤用途的大型數據庫。外加來自美國國土安全部(簡稱DHS)下轄機構運輸安全管理局(簡稱TSA)的大量函件。
在一篇博文中,克里斯·維克里表示有文章指出斯圖爾特國際機場的信息安全服務由一家名為“AVPorts”的私營企業負責。至少根據其官方網站的說法,這家公司具備“無與倫比的機場管理能力、經驗與專長”。
克里斯·維克里同時指出,泄露的數據還包含員工社會安全號碼(簡稱SSN)、工資記錄單甚至網絡密碼。事實上,泄露數據中包含大量“僅供官方使用”以及“未經授權公開可能導致民事處罰”標注的文件。
更令人擔憂的是,根據報道,這家由紐約與新澤西港務局持有的私營安全管理企業只擁有一名操作人員。克里斯·維克里指出,這名IT技術人員每月只會“兩到三次”親身前往現場。
他寫道:“營利性企業往往更重視收入而非堅持最佳實踐。AVPorts公司在此次事件中的表現再次證明了這一點。”
“在機場管理領域,每一位員工都需要至少接受一定程度的數據泄露預防性培訓。然而在與AVPorts公司的工作人員進行交流時,雖然其態度很好,但卻提問稱這件事‘能否等到明天再說’。”
紐約機場泄露的數據
紐約機場泄露的政府文件
黑客可以根據泄露的文件關閉機場通過審查,安全研究發現其中大部分文件屬于“機密”級別的機場內部文件,具體包括其它核心基礎設施的原理圖與各類細節信息。
其它來自國土安全部下轄各機構的文件則被標記為“敏感”但非機密級別內容,具體包括綜合性安全計劃、篩查協議以及私人飛機乘客的抵達規程。
Krypton Security公司創始人Khalil Sehnaoui與黑客兼安全研究人員Brad "Renderman" Haines對該密碼文件以及文件中的網絡原理圖進行了分析,旨在確定潛在攻擊者所能利用的入侵范圍。
不過根據兩名安全研究人員的證實,其中一個文件包含機場內各類設備與系統的用戶名及密碼列表,查看者可借此隨意訪問機場的內部網絡。
Sehnaoui指出,“這份密碼文件將允許我們全面訪問其內部網絡中的每一項組件。”
他同時補充稱,其中部分密碼還涉及由AirIT公司提供的機場乘客接待系統,其允許機場工作人員管理乘客的記錄、登機口及登機流程等事務。
上述信息的外泄可能意味著黑客能夠篡改登機牌及其它乘客信息。
他表示,“即使是在最為樂觀的假設場景下,即沒有任何人因此受到傷害,黑客也能夠借此將自己升級為頭等艙或者打印能夠前往任何目的地的登機牌。”
他同時指出,不過一旦落入錯誤的對象手中,這些信息將可用于向“禁飛”名單上的人員發放有效登機牌——這份政府觀察名單旨在防止潛在的恐怖分子正常登機。
Haines表示,“大家可以訪問乘客數據庫并了解誰將在何時前往哪里,而泄露的乘客數據則包含有乘客姓名以及護照號碼等。”
他進一步補充稱,這些信息可被用于追蹤乘客進出機場的行動。
研究人員們強調稱,在更糟糕的情況下,黑客完全可以關閉機場運營,導致乘客滯留在地面之上。
盡管并未公布具體情況,但研究人員們確實對該機場的密碼策略提出批評。Haines表示,目前完全可以利用斯圖爾特機場泄露的信息推測其它采用同一AirIT系統之機場的密碼內容。
數據泄露的原因此次數據泄露事故被歸咎于兩大核心原因。其一,機場方面實驗性地使用了一款名為“Shadow Protect”的備份軟件。其二,使用一款已經被事實證明存在嚴重安全隱患的,名為Buffalo Terastation的輔助備份設備。
根據外媒報道,此次泄露的文件中包含機場系統內使用的密碼列表,一旦被濫用則可能導致惡意人士“不受限制地訪問”機場網絡。而根據報道,這一結論已經得到兩名獨立研究人員的證實。
紐約與新澤西港務局在接受采訪時表示:“目前還沒有跡象表明我們的網絡上被安裝了直接性違規或者惡意軟件。”
“我們將收集備份文件、系統日志、網絡示意圖以及防火墻配置信息,用以確定代理數據中是否存在持續性風險或者安全漏洞。在檢查備份文件之前,我們無法確定其中的具體內容,但我們認為其中應該不會包含乘客個人數據。”
京公網安備 11010502049343號