跨国安全公司Securitas 3TB机场及工数据泄露

跨国安全公司Securitas 3TB机场及工数据泄露

介绍

SafetyDetectives网络安全团队发现了影响著名 跨国安全公司 Securitas 的严重数据泄露。

Securitas 总部位于瑞典,为各行各业的企业客户提供全套安全服务和产品。

该公司的一个 Amazon S3 存储桶处于开放状态,暴露了超过 100 万个文件。我们观察到的数据与来自哥伦比亚和秘鲁不同地点的机场员工有关,并且可能有来自其他国家的实体在桶上暴露了数据。

此外,由于日志的大小和内容的敏感性,我们无法审查 Securitas 存储桶中的每个文件。但是,我们认为整个拉丁美洲的其他机场可能已经暴露在不可见的文件中,并且很有可能每个使用 Securitas 的哥伦比亚机场最终都会受到影响。

考虑到 Securitas 在哥伦比亚和拉丁美洲其他地区的强大影响力,其他行业的公司可能已经被曝光。其他使用 Securitas 安全服务的地方也可能受到影响。

如果恶意行为者在尚未受到保护的情况下访问了存储桶的内容,则暴露数据的性质可能会对机场、航空公司、乘客和工作人员构成严重威胁。

谁是 Securitas?

Securitas 成立于 1934 年,是一家大型跨国公司,也是安全服务行业的超级大国。该公司总部位于瑞典斯德哥尔摩,并在世界各地设有分支机构。其中包括欧洲分部、北美分部和 AMEA 分部(非洲、中东、亚洲和澳大利亚)。Securitas 的数据暴露被认为会影响其伊比利亚美洲部门的客户,该部门是 Securitas 在拉丁美洲开展业务的一部分。

Securitas 在哥伦比亚拥有强大的影响力,在多个地点设有办事处。该公司为哥伦比亚和整个南美的一系列行业提供服务,不过,受影响的企业似乎只在航空业内运作

Securitas 目前在 48 个市场拥有超过 350,000 名员工,庞大的员工队伍帮助公司为全球约 150,000 名客户提供服务。2020 年,Securitas 的销售额为 107,954 瑞典克朗(超过 119 亿美元),税前收入为 3,329 瑞典克朗(超过 3.69 亿美元)。

Securitas 的服务涵盖四个关键领域:现场防护、电子防护、消防和安全以及企业风险管理。该公司提供一系列特定产品来满足这些需求,包括训练有素的安保人员、视频监控、报警巡逻、电子门禁控制、消防和安全风险管理以及供应链风险管理。

Securitas 与几乎所有行业的客户合作,从建筑到零售、海事甚至住宅。在航空业,Securitas 提供专门的解决方案,例如行李检查。

我们知道该存储桶属于 Securitas,因为位于存储桶中的移动应用程序中的应用程序 ID。

泄露了什么?

Securitas 将其 Amazon S3 存储桶保持开放且可访问,而没有任何身份验证程序。因此,错误配置的存储桶暴露了近 150 万个文件,相当于大约 3TB 的数据。

该桶的暴露信息包括 哥伦比亚和秘鲁至少四个机场的员工 PII 和敏感公司数据:埃尔多拉多国际机场(波哥大哥伦比亚特区,COL)阿方索博尼利亚阿拉贡国际机场(Valle del Cauca,COL)何塞玛丽亚科尔多瓦国际机场(Antioquia, COL) Aeropuerto Internacional Jorge Chávez (利马, PE)。如前所述,未观察到的文件可能已经暴露了整个哥伦比亚、拉丁美洲其他地区甚至世界其他地区的其他机场和地点。

我们观察到包含 Securitas 员工和机场员工信息的两个主要数据集身份证照片其他未标记的照片。

存储桶上的身份证照片。Securitas 配置错误的存储桶中估计有 100 万个此类文件。这些文件披露了上述四个使用 Securitas 服务的机场员工的个人信息。

身份证照片 揭示了几种形式的员工 PII,包括:

  • 全名, 包括。名字和姓氏
  • 员工照片
  • 职业
  • 身份证号码

桶的内容中还有其他未标记的照片。这种类型的文件大约有 300,000 个。这些照片泄露了机场、机场员工和关联公司的数据。

具体来说,这些文件暴露了员工的个人数据、敏感的客户数据 (机场)以及关联公司的敏感数据,例如航空公司。公开的数据包括:

  • 员工照片
  • 飞机照片
  • 加油线照片
  • 正在装卸行李的照片

除了上述信息外,在存储桶上分析的两个主要数据集(身份证照片 和其他未标记照片)包含可交换图像文件格式 (EXIF) 数据 ,这些数据暴露了与每张照片相关的特定信息。

公开的 EXIF 数据包括:

  • 设备型号(使用的相机)
  • 照片的 GPS 位置,包括 坐标和 GPS 地图
  • 照片的时间和日期

注意:Securitas 的存储桶包含另一种形式的数据:安全人员使用Android 移动应用程序 来帮助完成各种任务,例如事件报告。虽然这些应用程序的存在不会暴露任何特定形式的敏感数据,但它们可用于协助犯罪活动。

该存储桶在发现时处于活动状态并正在更新。Securitas 的 Amazon S3 存储桶的错误配置不是 Amazon 的责任,这种违规行为也不是 Amazon 的错。

我们提到存储桶的内容包括来自 Securitas 客户的至少四个机场的数据。我们检查的数据中有很大一部分与位于哥伦比亚波哥大的埃尔多拉多国际机场有关。注意:其他机场和机场人员的数据也被曝光。

身份证照片是我们在 Securitas 存储桶中观察到的最大数据集。我们看到的身份证属于埃尔多拉多机场工作人员以及来自各个机场和私营公司的人员。您可以在下面查看身份证照片的证据 。

跨国安全公司Securitas 3TB机场及工数据泄露
El Dorado 员工的身份证 (Securitas)
跨国安全公司Securitas 3TB机场及工数据泄露
属于哥伦比亚民航局雇员的身份证

其他未标记的照片 暴露了 Securitas 客户、机场员工和相关企业的数据。文件名中没有说明这些照片的用途,但可以假设收集这些照片是为了进行安全评估。

暴露的员工不仅是官方机场工作人员,还包括来自几家不同私营公司的员工,其中之一是 Securitas。存储桶上有人物、地点、飞机和其他各种机场功能的照片。

跨国安全公司Securitas 3TB机场及工数据泄露
在文件中发现了不同类型的身份证
跨国安全公司Securitas 3TB机场及工数据泄露
图为来自一家私营公司的机场员工
跨国安全公司Securitas 3TB机场及工数据泄露
飞机的起落架和油管
跨国安全公司Securitas 3TB机场及工数据泄露
员工装行李的照片

EXIF 数据 详细说明了每个图像特有的各种信息。EXIF 数据并未从照片中删除,因此与开放的存储桶上的图像一起被曝光。您可以在以下屏幕截图中看到 EXIF 数据的示例。

跨国安全公司Securitas 3TB机场及工数据泄露
相机型号可在 EXIF 数据中识别
跨国安全公司Securitas 3TB机场及工数据泄露
在 EXIF 数据中还发现了 GPS 信息和时间戳
跨国安全公司Securitas 3TB机场及工数据泄露
一张照片位置的 GPS 地图

尽管很难准确估计受影响的人数,但我们相信,潜在众多行业的大量公司和员工可能会受到影响。我们分析了四个受影响机场的相关数据,但我们认为受影响的各方可能更多。

此外,来自几个拉丁美洲国家以及世界其他地区的机场、公司和员工可能会受到威胁。我们观察到属于哥伦比亚和秘鲁实体的数据。

您可以在下表中查看 Securitas 数据泄露的明细。

泄露的文件数大约150万
受影响的用户数未知
违规规模大约 3TB
受影响的国家哥伦比亚、秘鲁和可能的其他国家
公司所在地瑞典斯德哥尔摩

SafetyDetectives 网络安全团队于 2021 年 10 月 28 日发现了 Securitas 的 Amazon S3 存储桶。存储桶中的内容可以追溯到 2018 年 11 月。但是,我们不知道该存储桶已开放多长时间。

我们于 2021 年 10 月 28 日向 Securitas 发送了一份负责任的数据暴露披露信息。Securitas 一天后回复,告诉我们将违规行为披露给不同的公司电子邮件地址(我们在同一天做了)。2021 年 11 月 1 日,我们向 Securitas 发送了后续消息,因为存储桶仍然不安全,我们还向瑞典 CERT 披露了违规行为。

Securitas 于 2021 年 11 月 2 日回复,开放的 AWS S3 存储桶得到保护。瑞典 CERT 在这一天也做出了回复,不过,他们的消息是在 Securitas 关闭存储桶之后发出的。

由于此次数据泄露,Securitas 及其客户可能面临多种影响。

数据泄露影响

我们不知道也不可能知道不良行为者是否访问了存储桶的内容。

如果恶意方访问了 Securitas 的存储桶,其中的内容可能会对四个(或更多)泄露的机场以及机场员工和公司构成安全威胁。Securitas 也可能因其违规行为而面临法律制裁和各种影响。

对客户和公司的影响

Securitas 的数据泄露给四个泄露的客户带来了风险:埃尔多拉多国际机场 (COL)、阿方索博尼利亚阿拉贡国际机场 (COL)、何塞玛丽亚科尔多瓦国际机场 (COL) 和 Aeropuerto Internacional Jorge Chávez (PE)。

这一违规行为的影响比这些组织更广泛,影响了一系列其他私营公司。

机场安检保护旅客和机场工作人员的生命安全。因此,如果存储桶的内容落入坏人之手,这种违规行为极其危险,可能会造成毁灭性后果。无论是在哥伦比亚境内还是在世界各地,都有游击队和恐怖组织,如果他们访问 Securitas 的存储桶,可能会造成巨大的损失。

因此,安全渗透是与 Securitas 客户和关联公司相关的第一大风险。身份证和员工的照片可以让犯罪分子冒充各种员工——这些员工可以进入机场的受限区域,例如行李装载区甚至飞机。犯罪分子甚至可以使用泄露的数据来制造伪造的身份证和徽章。犯罪分子可以通过下载泄露的移动应用程序进一步强化他们作为合法雇员的形象。

在最坏的情况下,机场员工可能会与暴力犯罪分子面对面。这意味着机场员工可能面临身体和心理伤害的风险。犯罪分子可能会滥用机场工作人员来查找信息,例如移动应用程序凭据或上锁门的访问代码。犯罪分子还可以将员工扣为人质(甚至杀死员工)以防止他们反击。

犯罪分子可以使用桶上其他未标记的照片 来收集有关机场的情报,以进行有计划的渗透。不良行为者可以利用这种访问权窃取大量财产或货物。不过,这里对机场和航空公司的安全影响可能要严重得多。

另一方面,出于经济动机的不良行为者可能会以欺诈和诈骗为目标。不良行为者可以使用泄露的 PII 冒充同事或客户。一旦不良行为者获得机场工作人员的信任,他们就可以尝试用流行的骗局来欺骗受害者。例如,不良行为者可以说服公司支付虚假的服务发票。

对 Securitas 的影响

Securitas 的存储桶上暴露了员工数据和敏感信息,因此也可能受到上述犯罪活动的威胁。

 在其他地方,如果监管机构认为Securitas违反了法律,它可能会因违反数据保护规定而面临制裁。

Securitas 的数据泄露暴露了秘鲁和哥伦比亚公民(如果不是更多的话)以及国内组织的信息。这意味着 Securitas 可能会受到秘鲁的 Autoridad Nacional de Protección de Datos Personales (ANPDP) 和哥伦比亚的工商业总监 (SIC) 的处罚。

如果 ANPDP 认为 Securitas 的违规行为是“非常严重”的违反数据保护法的行为,他们可能会处以最高 220,000 至 440,000 新加坡元(约 61,000 至 122,000 美元)的制裁。秘鲁当局可对任何持续违反数据保护法规的行为处以 44,000 新元(约 12,200 美元)的额外罚款。

哥伦比亚的 SIC 可以对违反数据保护法规的行为处以最高 2,000 最低法定月薪(相当于约 400,000 美元)的罚款,对任何持续违规行为处以连续罚款。

防止数据泄露

我们可以采取哪些措施来确保我们的个人数据受到保护?我们可以做些什么来尽量减少网络犯罪的影响?

以下是一些防止数据泄露的提示:

  • 仅将您的敏感和个人数据提供给您完全信任的公司/个人。
  • 确保您使用的网站是安全的。安全网站的域名前有一个“https”和/或一个封闭的锁符号。
  • 不要向实体提供您最敏感的信息——这些数据很容易被用来对您造成破坏性影响(即政府身份证号码、社会保险号码和偏好)。
  • 使用字母、数字和符号来创建安全密码。
  • 当您无法完全信任来源时,请勿单击电子邮件、消息或网站上的链接。
  • 确保您在社交媒体网站上的隐私设置仅向受信任的用户显示您的信息。
  • 连接到不安全或公共 Wi-Fi 网络时,避免使用信用卡或输入密码。
  • 对自己进行数据保护、网络威胁以及为避免数据暴露和网络犯罪受害所能做的一切方面的教育。

关于我们

SafetyDetectives.com 是全球最大的防病毒审查网站。

SafetyDetectives 研究实验室是一项无偿服务,旨在帮助在线社区抵御网络威胁,同时教育组织如何保护用户数据。我们网络制图项目的首要目的是帮助互联网成为所有用户更安全的地方。

我们之前的报告揭露了多个备受瞩目的漏洞和数据泄露,其中包括美国社交分析平台 IGBlade暴露的 260 万用户,以及巴西市场集成商平台 Hariexpress.com.br 的泄露超过 610 GB 的数据。

如需全面查看过去 3 年的 SafetyDetectives 网络安全报告,请关注  SafetyDetectives 网络安全团队

from

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。