提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》
免费试用
400-811-3777

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创
    申请试用
      热门阅读
      1

      美创科技打造县域医疗灾备新标杆|神木市医院 HIS 系统数据库分钟级切换演练实录

      2025-07-02

       2

      百万罚单警示!DCAS助力金融机构筑牢数据安全防线,实现监管合规

      2025-06-20

       3

      2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

      2025-02-07

       4

      美创用户专访 | 精细化管理:医疗行业数据分类分级的策略与实践

      2025-01-10

       5

      容灾演练双月报|美创助力某特大型通信基础设施央企顺利完成多个核心系统异地容灾演练

      2025-01-10
      相关文章

      网安科普|网络安全等级保护是什么?

      2025-07-18

      MCP推动agentic AI发展并引发新型安全风险

      2025-07-17

      大数据背景下数据安全治理思考

      2025-07-16

      守护新型数字工作空间 为何浏览器成为企业安全的核心

      2025-07-15

      医疗行业数据安全如何保障?八大安全能力来助力

      2025-07-14
      身份验证厂商OCR Labs数据泄露,危及大量银行客户
      发布时间:2023-04-07 阅读次数: 496 次

      Cybernews报道,全球知名数字身份验证工具提供商OCR Labs近日曝出敏感数据泄露事件,导致大量银行和政府客户面临严重风险。

      创办于2018年的OCR Labs是数字身份验证工具的领先提供商,主要提供数字身份验证、客户信息录入、身份欺诈甄别和合规服务;其IDkit工具被多家主流银行、电信公司和政府机构使用于人脸识别身份验证(关联身份证件)。

      OCR的商业解决方案提供5项专有技术,包括:身份文件光学字符识别(OCR)技术、文件欺诈风险评估、活体检测、视频欺诈风险评估和人脸匹配技术。


      以下为事件梗概:


      • 总部位于伦敦的OCR Labs是数字身份验证工具的主要提供商之一。其服务被宝马、沃达丰、澳大利亚政府、西太平洋银行、澳新银行、汇丰银行和维珍货币等知名企业使用。

      • 公司系统配置错误将敏感凭据暴露给公众。

      • 数据泄露影响了多个国家的多家金融机构。

      • 使用泄露的数据,黑客能够入侵OCR Labs的后端基础设施,从而渗透到其客户的基础设施。

      • 金融服务是网络犯罪分子的主要目标,因此该数据泄露事件对企业及其客户的威胁极为严重。


      Cybernews联系了OCR Labs,并帮助后者修复了漏洞。

      Cybernews指出,黑客利用泄露的数据能够入侵OCR Labs的后端基础设施,进而入侵其客户的基础设施。



      公开暴露的“证书宝库”

      2023年38日,Cybernews研究团队发现OCR实验室的网站idkit.com存在一个可公开访问的环境文件(.env)。该文件包含数据库凭据,包括主机、端口和用户名、包含简单队列服务(SQS)访问凭据的亚马逊网络服务(AWS)、应用程序令牌和各种API密钥。

      在泄露的数据中,研究人员发现了谷歌和Liveness服务的API密钥。Liveness服务用于在数字识别过程确定样本是否真人,从而防止欺骗或帐户持有人冒充。

      这些密钥的暴露非常危险,被攻击者获取后可用来查看API的所有数据,并修改和更新相关文件、管道和工作流。



      用户财务数据面临风险

      Cybernews检测到的另一条敏感信息是来自知名跨国数据分析和消费者信用报告公司益博睿(Experian)的API密钥。益博睿收集了大量个人财务数据,以帮助评估他们的信誉。未授权访问其API可能使攻击者能够获取私人用户数据(如信用评分),并编辑与API关联的所有数据。

      泄露的应用程序URLID和令牌可能已被攻击者用来劫持OCR Labs客户端应用程序。

      AWS和SQS访问凭证的暴露使OCR Labs客户端处于危险之中。泄露此类数据可能会破坏公司的系统运营,阻碍其查看内部服务器通信的能力,并可能使恶意行为者获得进一步的访问权限,从而对客户造成伤害。

      暴露的的OAuth端点URL和业务指标令牌等信息可帮助恶意参与者访问企业私密商业信息。



      攻击影响范围极广

      CyberNews指出,如果恶意行为者使用泄露的数据来接管应用程序实例,在目标系统中横向移动,可能会造成重大损害。

      暴露的环境文件中的信息可能会为威胁参与者提供多种攻击选项,例如部署勒索软件以及访问和窃取敏感客户数据(如个人身份信息(PII)、存款、取款和转账)等。

      此外,泄露的(个人财务)数据对网络钓鱼者和欺诈者非常有价值,他们可能会利用这个机会冒充经纪人或银行,对企业和个人实施电汇欺诈。

      此外,身份盗用和使用被盗客户凭据开设欺诈性银行账户的风险也不容忽视。

      在接到Cybernews的配置错误问题通知后,OCR Labs立即采取了所有必要的缓解措施。OCR Labs表示,它遵守了漏洞披露计划(VDP)框架,已安全地接受,分类和快速修复漏洞,并已通知所有受影响的客户。




      本文来自安全内参,如有侵权联系删除


      上一条:瞒报数据泄露成全球“潜规则?
      下一条:Google Play 新政策:增设“数据删除”功能
      返回
      关注或联系美创
      官方订阅号 官方订阅号
      官方服务号 官方服务号
      第59号 第59号
      服务热线:400-811-3777
      商务合作:marketing@mchz.com.cn
      友情链接 中央网信办 公安部 工信部 CNCERT 中国信通院 中国软件测评中心 国家工业信息安全发展研究中心 赛迪研究院
      Copyright © 2024 杭州美创科技股份有限公司 All rights reserved.
      浙公网安备 33010502006954号 浙ICP备12021012号-1 网站地图 网站声明及隐私保护政策
      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部