【星闻周报】全球49,000多个门禁管理系统存在巨大安全漏洞

星闻周报

近日，荷兰某IT安全咨询公司发现，全球部署的约 49,000 个访问管理系统 (AMS) 存在令人震惊的安全漏洞。

这些系统旨在通过密码、生物识别和多因素身份验证等身份验证方法来控制建筑物访问，但被发现存在严重的配置错误，导致敏感数据暴露且设施容易受到未经授权的进入。这一发现意味着对医疗保健、教育、制造业、建筑业、石油工业和政府机构等多个领域的全球安全构成了重大威胁。

访问管理系统通过各种方法对用户进行身份验证，并根据预定的策略授权访问权限。如果配置不当，这些系统会产生双重威胁：未经授权的物理访问建筑物，以及未经授权的数字访问存储在这些系统中的敏感信息。

研究人员发现了大量案例，其中员工照片、全名、身份证号码、门禁卡详细信息、生物特征数据、车辆牌照、工作时间表甚至设施访问凭证都完全没有受到保护，潜在攻击者可以访问。暴露的生物特征数据存在特别令人担忧的漏洞，因为与密码不同，这些信息一旦被泄露就无法更改。

安全专家强调，此类暴露的数据为各种网络威胁创造了广阔的攻击面，包括网络钓鱼活动、身份盗窃、社会工程攻击以及旨在从组织和个人窃取更多敏感信息的专门欺诈计划。

脆弱系统的地理分布呈现出令人担忧的模式，其中欧洲、美国、中东和北非的集中度最高。研究发现，意大利是受影响最严重的国家，有 16,678 个易受攻击的系统，其次是墨西哥（5,940 个）和越南（5,035 个）。印度排名第十，约有 1,070 个系统受到攻击。值得注意的是，德国不在受影响最大的十大国家之列。

CISA 和 FBI 表示，部署 " 幽灵 " 勒索软件的攻击者已入侵了来自 70 多个国家多个行业领域的受害者，其中包括关键基础设施组织。受影响的其他行业包括医疗保健、政府、教育、科技、制造业以及众多中小型企业。

幽灵勒索软件的运营者经常更换其恶意软件可执行文件，更改加密文件的扩展名，修改勒索信的内容，并使用多个电子邮件地址进行勒索沟通，导致该组织的归属很难被及时确定。与该组织有关联的名称包括 Ghost、Cring、Crypt3r、 Phantom、 Strike、 Hello、 Wickrme、HsHarada 和 Rapture等。

这个以盈利为目的的勒索软件团伙利用公开可获取的代码来攻击存在安全漏洞的服务器。他们针对的是 Fortinet（CVE-2018-13379）、ColdFusion（CVE-2010-2861、CVE-2009-3960）和 Exchange（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）中未修补的漏洞。

最近，大量用户报告显示，谷歌的 Android System SafetyCore（一项旨在实现设备上内容扫描的系统服务）已自 2024 年 10 月起悄然安装在运行 Android 9 及更高版本的Android 设备上。 

该应用程序的软件包名称为 com.google.android.safetycore，引发了人们对隐私和透明度的广泛担忧，批评者将其部署比作“后门”安装。 尽管谷歌声称 SafetyCore 在本地运行以对敏感内容进行分类而无需向外部传输数据，但其秘密推出重新引发了有关人工智能驱动的移动生态系统时代的用户同意和企业责任的争论。

SafetyCore 首次出现于 Google 2024 年 11 月系统更新的一部分，与 Play 服务和 Android 系统密钥验证器应用捆绑在一起。与典型的应用程序安装不同，SafetyCore 没有图标、隐藏在系统进程中且占用约 2GB 的存储空间。

数据安全技术最初是网络安全技术的一个分支，随着数字经济的发展和信息技术的演进，逐渐形成一套独立的技术体系。数据安全技术是指重点围绕数据的安全防护与监测技术，保障以数据为中心的全生命周期的安全。

目前数据安全技术主要分为数据资产管理、数据资产防护、数据处理行为保护、数据开发利用等类型。

数据资产管理类是指对数据资产进行盘点、梳理、分类分级、可视化呈现，并记录流转情况的技术，是数据资产防护、数据处理行为保护、数据开发利用的基础，主要包括数据资源发现、数据资产识别及数据标记等技术。

数据资产防护类是数据收集、存储、使用、加工、传输、销毁等各个阶段的安全防护技术，具体包括数据防篡改、数据加密、数据脱敏、数据去标识化、数据销毁等。

数据处理行为保护类是对数据处理活动的监测、保护等技术的集合，主要包括数据流转分析、数据安全态势感知、数据库审计、API安全检测与防护等。

数据开发利用类是指在数据提供（有偿提供、无偿提供）、公开（完全公开、限定公开）等应用环节（场景）中的安全技术，主要包括安全多方计算、联邦学习、可信执行环境(TEE)等。