由于葡萄牙银行服务提供商系统配置错误,该银行极其敏感的数据遭到泄露,这可能导致未经授权的资金转移。
5 月 2 日,Cybernews 研究团队发现数字银行和电子政务解决方案提供商 Nearsoft 的系统存在错误配置。
这一错误配置泄露了 Nearsoft 客户之一葡萄牙银行 (Banco Portugues de Gestao) 的极其敏感的用户财务数据。
令人担忧的是,此次泄密还暴露了该银行的服务提供商未遵守金融机构必不可少的国际信息安全标准(如 ISO27001 和 PCI-DSS)。存储的敏感信息几乎没有经过加密或散列处理。
泄露的用户数据包括:
- 银行账户号码
- IBAN 号码
- 账户余额
- KYC 文件
- 身份证号码,包括公民身份证号码
- 电子邮件地址
- 电话号码
- 纳税人号码
- 名字
- 工作地点
- 职业
- 婚姻状况
- 出生日期
- 家庭住址
- 安全问题的答案
- 身份验证机密
- 网上银行会话令牌
此次数据泄露是由于该公司的 Kibana 仪表板缺少身份验证造成的,Kibana 仪表板是一种用于搜索、可视化和分析存储数据的流行在线工具。
据研究人员估计,自 4 月份以来,互联网上的任何人都可以访问该银行的客户数据,包括威胁行为者。
通过电子邮件发送的 KYC 文件 – base64 编码的 PDF
从 base64 解码的 KYC 文档
令人担忧的一大原因是,这些数据是实时更新的,这导致银行用户容易受到各种攻击。恶意行为者可能会利用大量用户数据进行身份盗窃、电信欺诈、人肉搜索、财务分析、垃圾邮件和网络钓鱼活动。
最令人担忧的是,泄露的信息可能被用来劫持客户账户并进行未经授权的资金转移。
Cybernews 联系了 Nearsoft,目前用户数据访问已得到保护。但尚未收到官方评论。
从 base64 解码的 KYC 文档
账户入职信息,包括电子邮件、电话号码、公民身份证、姓名
身份验证令牌、
帐户余额
网上银行会话令牌、私人客户信息、客户经理信息以及安全问题的答案。
使用第三方提供商的风险
发现的数据泄露是使用第三方提供商服务所涉及的安全风险的一个鲜明例子。
研究人员发现的开放实例仅影响了葡萄牙银行。然而,Nearsoft 的客户群包括众多可能遭遇类似安全风险的金融机构。
Nearsoft 客户:
- 葡萄牙银行
- 第一资本银行
- 卡伊萨
- 翁吉拉基金会
- 大西洋银行
- dnoticias.pt
- 联合电信
- 安哥拉储蓄银行
- 移动数据管理
- 马德拉自治区
- 丰沙尔时间
- 塞瓦
- 凯夫银行
- 拜卡波佛得角
2023 年,Cybernews 的研究揭露了OCR Labs的另一起令人担忧的泄密事件,OCR Labs 是金融机构数字身份验证工具的主要提供商。
该公司系统配置错误,导致敏感凭证暴露给公众,影响了六家金融机构:QBANK、Defence Bank、Bloom Money、Admiral Money、MA Money 和 Reed。
发表评论