Atrient供应商袭击了披露其重大漏洞的安全研究员

释放双眼,带上耳机,听听看~!

借大哥一句话: 爆黑道被追杀,爆白道进局子

被爆供应商是Atrient,该产品是PowerKiosk,该漏洞允许个人数据未加密传输 – 据说严重到足以使其“极易受到滥用行为。

PowerKiosk客户包括一些最大的赌场

在全球范围内影响赌场的严重漏洞披露之后,赌场技术供应商Atrient的一名高管据称袭击了在伦敦举行的ICE会议上披露漏洞的安全研究员。这是一个漏洞披露变得糟糕的故事,其中一个涉及FBI,一个拥有全球赌场客户群的供应商和一个严重的安全漏洞,在没有得到妥善解决的情况下四个月没有得到解决。


我们的故事始于两位白帽安全研究人员

Dylan(https://twitter.com/degenerateDaE)和

Me9187(https://twitter.com/Me9187)

他们在9月份参加了Shodan狩猎旅行

(https://techcrunch.com/2019/01/21/shodan-safari/),

当时他们注意到看起来像是一个暴露在公共互联网上的赌场玩家奖励服务器(没有身份验证)。经过研究人员的进一步调查后,很明显服务器正在拉斯维加斯的不同赌场支持玩家reward kiosks (抽奖机? 没玩过。。)。

这些售货亭由一家名为Atrient的供应商制造,他们将其作为“ PowerKiosk营销平台”进行营销,并将其出售给全球的赌场,然后使用这些售货亭与其赌场客户进行忠诚度奖励计划。

信息亭为赌场用户提供用户界面,他们可以使用这些用户界面来注册他们的购买和在娱乐场消费,作为回报获得忠诚奖金

奖金可以包括剧院和演出门票,合格的酒店房间,现金抽奖的入场券以及赌场想要用作奖励计划的一部分,包括在一些赌场位置购买现金。

使用这些售货亭的赌场包括Hard Rock和Caesars,研究人员告诉我,这些售货亭部署在全国各地的赌场。

这些信息亭和后端服务器传达其用户的个人详细信息,并发送数据,如驾驶执照扫描(用于登记),用户家庭地址和联系方式,以及有关用户活动的详细信息,未通过公共互联网访问加密。

当研究人员发现未经验证的奖励服务器直接连接到赌场的售货亭时,他们意识到售货亭所使用的API是敞开的,极易受到刑事滥用。

研究人员告诉我,每个信息亭都以纯文本形式呼叫服务器,从网络服务器发送到服务器的所有数据都清晰可见。没有SSL保护,API是开放式的,容易被滥用,可以通过其MAC地址识别信息亭,并使用不安全的API来更改详细信息,跟踪用户并向用户帐户添加信用,甚至可以启动信息亭虚拟机,以便在家中拥有自己的个人信息亭。

Atrient没有将这些信息亭分隔成vlan,他们的FTP访问是开放和未加密的,所有这些都是使用Shodan搜索引擎发现的,所有这些都是互联网上知道去哪里的人公开可见的。

Atrient是向赌场出售这些忠诚信息亭的市场领导者,因为这些信息亭已经被卖到了拉斯维加斯,美国和(通过他们与Konami的合作伙伴)到世界各地的赌场的赌场。考虑到Atrient首席运营官Jessie Gill最近在媒体上表示他们“ 对于不同的运营商没有不同的版本;我们将所有功能整合到一个产品中 ”,这个漏洞极有可能影响他们的所有客户,包括他们的白标合作伙伴Konami将Atrient的技术重新命名为他们自己的客户。

最初发现这个漏洞的安全研究人员Dylan和Me9187告诉我,在Atrient的安全实践中,这个漏洞只是冰山一角。他们看到以明文形式存储的娱乐场WiFi网络密码,以明文形式存储的用户个人数据,并且没有尝试保护任何内容。

他们甚至发现Atrient的第三方承包商(位于印度)在Github上发布了Atrient的源代码,并询问有关它的堆栈溢出问题,这一指标使研究人员明白安全性并没有得到认真对待。

安全研究人员很清楚,Atrient已将其开发外包给印度,在那里托管了大量服务,包括他们的FTP,自助服务终端管理服务和开发服务器。安全研究人员很明显,分包商甚至没有采取基本的安全措施来确保在开放的互联网上发现任何这种基础设施。

报告漏洞


安全研究人员善意行事,遵循负责任的披露最佳做法,并试图直接联系Atrient报告漏洞并让他们了解这个问题有多严重。对于像Atrient这样拥有全球客户群的公司以及谈论他们的系统安全性的记录,您会期望他们立即做出回应。不幸的是,Atrient完全忽略了向多位高管和Atrient团队成员发送的重复电子邮件。


研究人员甚至在FTP服务器上留下了他们的联系方式的信息,供管理员查看,并警告他们有关漏洞的信息。尽一切努力与供应商取得联系并负责任地披露,但他们被忽略了。

Atrient完全无视研究人员,但尽管他们在Linkedin和Twitter上关注他们,但他们显然没有兴趣与研究人员沟通。

研究人员然后联系我,请求我帮助联系Atrient,并让我在推特上发布有关漏洞的推文,所以我帮助了他们。

报告FBI


当我发送推文报道我正在编写一个关于漏洞的故事时,这个漏洞影响了整个拉斯维加斯的赌场,这条推文被FBI的网络融合部门注意到,然后他联系我进行对话。

这个特殊的FBI部门致力于在发现漏洞时将安全研究人员与供应商联系起来,特别是在漏洞严重且供应商忽视研究人员的情况下。

联邦调查局要求我与希望真诚行事的研究人员召集电话,同意加入电话会议。他们很害怕,毕竟是联邦调查局,一般来说安全研究人员往往对联邦调查局保持警惕,但他们同意与他们交谈。

在那次电话会议上,研究人员向FBI详细介绍了他们发现了什么以及他们与Atrient联系的尝试。联邦调查局开始采取行动,并在第二天为Atrient和安全研究人员打电话,这样我们就可以一起接听电话并确保Atrient正确理解漏洞的严重程度,所涉及的每个人都专注于补救。

现在联邦调查局参与了Atrient必须认真对待漏洞披露,它给了我们希望漏洞能够迅速得到纠正。

我很高兴地报告说,联邦调查局做了正确的事,他们唯一的兴趣是解决他们认为是一个严重的漏洞,FBI从来没有责怪研究人员的脚或指责他们什么。对于联邦调查局来说,在信息安全领域存在很多不信任,但这个特定的部门有正确的态度,知道他们的信息安全,并希望帮助研究人员。

供应商电话会议


第二天,我加入了与FBI和安全研究人员的供应商电话会议,Atrient由他们的首席运营官Jessie Gill和另一名员工代表。

当电话会议开始并且每个人都被介绍时,电话交付给了安全研究人员。研究人员用简单的语言解释说,信息亭和支持基础设施是敞开的,玩家信用可以被操纵,用户个人数据(包括驾驶执照扫描)暴露在公共互联网上,你可以进入赌场现金奖抽奖为了赢得他们,你想要的许多条目,都没有Atrient或他们的开发人员和分包商注意到。

他们清楚地向Atrient解释了滥用风险是如何极高的,因为没有办法将合法的呼叫与Atrient后端系统中的恶意api呼叫区分开来,让犯罪分子恶意利用它。

Atrient的首席运营官Jessie Gill询问他们可以采取哪些措施来保护这些服务,研究人员告诉他们他们需要采取紧急措施来保护他们的基础设施。为了回应这个问题,Jessie说:“您与我们分享的信息非常棒,我们对您在这里所做的事情印象深刻,我们希望真正拥有这些信息。我们如何实现这一目标?” 并邀请研究人员进行私人谈话,与他们讨论。

在电话会议结束时,FBI向Atrient询问他们是否已正确通知他们的客户他们的系统存在这种漏洞和漏洞,他们的首席运营官Jessie很快回复说“让我们谈谈离线”,立即关闭了问题。

Bug Bounty Call

我不知道这个电话,但研究人员告诉我,Jessie Gill向他们承诺了6万美元的奖金,并要求他们保持这个事件平静,直到他们的律师能够起草NDA和他们签署的法律协议。

就研究人员而言,Atrient正在以正确的方式处理这一问题,努力确保他们的服务,奖励那些以丰厚的方式报告漏洞的研究人员,并指示他们的法律团队起草文书工作以涵盖参与。

研究人员当然对此感到非常兴奋,他们都很年轻,而且需要很多钱。

杰西吉尔向研究人员承诺,律师会与他们保持联系并向他们发送这些协议,这是他多年来一次又一次地做出的承诺。

四处奔波

从那时起,Atrient一直带着金钱的承诺进行了研究,并让他们四处奔波。研究人员还告诉我,Atrient并没有真正努力保护他们的服务,但确实从Shodan的观点隐藏了一些服务器,并将印度的开发服务器脱机了很短的时间。

很明显,四个月内没有法律文件或错误奖励,Atrient在任何时候都没有要求研究人员签署保密协议。研究人员也清楚地知道,Atrient在这段时间内没有对他们的安全政策或其服务的安全性做出重大改变。安全研究人员被给予了四个月的运行,在此期间,他们被承诺获得一个漏洞赏金,并且漏洞将得到解决。

ICE会议突击


在向Atrient首次披露后近四个月,安全研究人员了解到Atrient首席执行官Sam Attisha 对安全研究人员所在伦敦的ICE大会有很大的计划。Sam Attisha计划在会议上发言,讨论他们的信息亭中的新面部识别功能,扫描用户的脸部,将生物识别数据上传到他们的服务器,允许赌场客户使用他们的信息亭而无需刷他们的会员卡。

这使得那些非常正确地将面部扫描视为用户严重隐私风险的研究人员感到震惊,特别是如果后端基础设施没有得到妥善保护,这进一步加剧了Atrient现有的安全问题。

他们作为注册参加者前往ICE尝试与Atrient首席运营官Jessie Gill见面,他们前四个月一直在与他们交谈,而Atrient首席执行官Sam Attisha也是为了提出这些担忧并在眼中看待他们。

当其中一位安全研究人员Dylan Wheeler找到首席运营官Jessie Gill并介绍自己是Jessie一直在处理的研究员时,Jessie突然冲向研究员并猛烈地抓住他胸前的衣服,然后撕掉他的参加者徽章从他那里,告诉研究人员他不再需要它,并且他会坚持下去。

整个事件都是由多人共同见证的,其中包括Atrient首席执行官Sam Attisha,他在整个事件中都没有说什么。杰西释放他后,研究人员开始在手机上录像。你可以在下面的视频中看到Jessie威胁到苏格兰场的研究员然后否认他认识他,当他确切知道安全研究员是谁。

我们有下面事件的部分视频,我已经要求ICE会议组织者在展厅的CCTV录像。此后,安全研究人员向伦敦大都会警察局报告了这次事件与会议组织者的关系。ICE会议营销负责人Dan Stone 告诉我“我们非常重视ICE所有访客的安全。我们已向现场安保团队报告此事,他们正在调查此事件,并将与警察按要求“。

善后

攻击方发送了一封邮件


并随着媒体的渲染后,该公司删除了回应并开始巴拉巴拉了起来。

还是看原文然后google翻译吧,太长了,而且已经过去好多天了,看见朋友圈有人发截图所以把源地址给大家看一下。

相关链接:

https://www.secjuice.com/security-researcher-assaulted-ice-atrient/

本文源自微信公众号:黑鸟

人已赞赏
安全工具

APT39:专注窃取个人信息的伊朗APT组织披露,以及其所使用的RDP隧道通信技术简介

2019-10-16 10:09:50

安全工具

美军向伊朗网络间谍组织发动报复性的网络攻击

2019-10-16 10:09:58

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索