Tim Keamanan Siber SafetyDetectives
Diterbitkan: Januari 31, 2022

Intro

Grafik Detektif Keamanan Tim keamanan siber menemukan kebocoran data penting yang memengaruhi perusahaan keamanan multinasional terkemuka, Securitas.

Securitas, yang berbasis di Swedia, menyediakan rangkaian lengkap layanan dan produk keamanan untuk klien korporat di berbagai industri.

Salah satu ember Amazon S3 perusahaan dibiarkan terbuka, memperlihatkan lebih dari 1 juta file. Data yang kami amati terkait dengan karyawan bandara dari lokasi yang berbeda di Kolombia dan Peru, dan mungkin ada entitas dari negara lain dengan data terbuka di bucket.

Selain itu, kami tidak dapat meninjau setiap file di bucket Securitas secara layak karena ukuran lognya dan sensitivitas kontennya. Namun, kami yakin bandara lain di seluruh Amerika Latin mungkin telah terpapar dalam file yang tidak terlihat, dan ada kemungkinan besar bahwa setiap bandara Kolombia yang menggunakan Securitas pada akhirnya akan terpengaruh.

Mempertimbangkan kehadiran Securitas yang kuat di seluruh Kolombia dan Amerika Latin lainnya, perusahaan-perusahaan di industri lain bisa saja terekspos. Kemungkinan juga berbagai tempat lain yang menggunakan layanan keamanan Securitas akan terpengaruh.

Sifat data yang terekspos dapat menimbulkan ancaman serius bagi bandara, maskapai penerbangan, penumpang, dan staf jika pelaku jahat telah mengakses konten ember saat masih tidak terlindungi.

Siapa Sekuritas?

Didirikan pada tahun 1934, Securitas adalah perusahaan multinasional besar dan negara adidaya dalam industri jasa keamanan. Perusahaan ini berkantor pusat di Stockholm, Swedia, dan memiliki cabang yang berlokasi di seluruh dunia. Ini termasuk segmen Eropa, segmen Amerika Utara, dan divisi AMEA (Afrika, Timur Tengah, Asia, dan Australia). Eksposur data Securitas diperkirakan berdampak pada klien di segmen Ibero-Amerika—bagian dari bisnis Securitas yang bekerja di Amerika Latin.

Securitas memiliki kehadiran yang kuat di Kolombia dengan kantor di beberapa lokasi. Perusahaan ini menyediakan layanan ke berbagai industri di Kolombia dan di seluruh Amerika Selatan, meskipun, bisnis yang terpengaruh tampaknya hanya bekerja di industri penerbangan.

Securitas saat ini mempekerjakan lebih dari 350,000 orang di 48 pasar, dan tenaga kerja yang sangat besar ini membantu perusahaan melayani sekitar 150,000 klien di seluruh dunia. Pada tahun 2020, Securitas menghasilkan penjualan sebesar MSEK 107,954 (lebih dari US$11.9 miliar) dengan laba sebelum pajak sebesar MSEK 3,329 (lebih dari US$369 juta).

Layanan Securitas mencakup empat bidang utama: Penjagaan di tempat, penjagaan elektronik, kebakaran dan keselamatan, dan manajemen risiko perusahaan. Perusahaan menyediakan berbagai produk khusus untuk memenuhi kebutuhan ini, termasuk staf keamanan terlatih, pengawasan video, patroli alarm, kontrol akses elektronik, manajemen risiko kebakaran dan keselamatan, dan manajemen risiko rantai pasokan.

Securitas bekerja dengan klien di hampir setiap industri, mulai dari konstruksi hingga ritel, maritim, dan bahkan perumahan. Di industri penerbangan, Securitas menyediakan solusi khusus, seperti pemeriksaan bagasi.

Kami tahu bahwa ember tersebut milik Securitas karena ID aplikasi dalam aplikasi seluler yang terletak di dalam ember.

Apa yang Dibocorkan?

Securitas membiarkan bucket Amazon S3-nya terbuka dan dapat diakses, tanpa prosedur autentikasi apa pun. Oleh karena itu, bucket yang salah dikonfigurasi telah mengekspos hampir 1.5 juta file, setara dengan sekitar 3 TB data.

Informasi ember yang terbuka termasuk PII karyawan dan data perusahaan yang sensitif dari setidaknya empat bandara di Kolombia dan Peru: Bandara Internasional El Dorado (Bogota DC, COL), Bandara Internasional Alfonso Bonilla Aragón (Valle del Cauca, COL), Bandara Internasional José María Córdova (Antioquia, COL), dan Aeropuerto Internacional Jorge Chavez (Lima, PE). Seperti disebutkan, file yang tidak teramati mungkin telah mengekspos bandara dan tempat lain di seluruh Kolombia, Amerika Latin lainnya, atau bahkan seluruh dunia.

Kami mengamati dua kumpulan data utama yang berisi informasi karyawan Securitas dan karyawan bandara: foto KTP dan foto lain yang tidak ditandai.

Foto KTP ditampilkan di ember. Diperkirakan ada 1 juta file jenis ini di bucket Securitas yang salah konfigurasi. Berkas-berkas tersebut mengungkapkan informasi pribadi karyawan di empat bandara tersebut di atas yang menggunakan layanan Securitas.

Foto KTP mengungkapkan beberapa bentuk PII karyawan, Termasuk:

• Nama lengkap, termasuk nama depan dan nama belakang
• Foto karyawan
• Pekerjaan
• Nomor ID Nasional

Foto tanpa tanda lainnya ditampilkan di antara konten ember juga. Ada sekitar 300,000 file jenis ini. Foto-foto ini membocorkan data bandara, pegawai bandara, dan perusahaan terkait.

Secara khusus, file-file ini terbuka data pribadi karyawan, data klien yang sensitif (bandara), dan data sensitif dari perusahaan terkait, seperti maskapai penerbangan. Data yang terpapar meliputi:

• Foto karyawan
• Foto pesawat
• Foto jalur pengisian bahan bakar
• Foto bagasi sedang dimuat/dibongkar

Selain informasi yang disebutkan di atas, dua dataset utama dianalisis pada bucket (foto KTP dan foto lain yang tidak ditandai) berisi Data Format File Gambar yang Dapat Ditukar (EXIF) yang memaparkan informasi spesifik terkait setiap foto.

Data EXIF ​​yang terpapar meliputi:

• Model perangkat (kamera yang digunakan)
• lokasi GPS foto, termasuk koordinat dan peta GPS
• Waktu & tanggal foto

Catatan: Bucket Securitas berisi bentuk data lain: aplikasi seluler Android yang digunakan oleh personel keamanan untuk membantu berbagai tugas, seperti pelaporan insiden. Meskipun kehadiran aplikasi ini tidak mengungkapkan bentuk spesifik data sensitif apa pun, mereka dapat digunakan untuk membantu kegiatan kriminal.

Bucket telah aktif dan diperbarui pada saat ditemukan. Kesalahan konfigurasi bucket Amazon S3 Securitas bukan tanggung jawab Amazon dan pelanggaran ini bukan kesalahan Amazon.

Kami menyebutkan bahwa isi bucket mencakup data dari setidaknya empat bandara yang menjadi klien Securitas. Sebagian besar data yang kami periksa terkait dengan Bandara Internasional El Dorado, yang terletak di Bogota DC, Kolombia. Catatan: ada data dari bandara lain dan personel bandara juga terpapar.

Foto KTP adalah kumpulan data terbesar yang kami amati di bucket Securitas. ID yang kami lihat adalah milik staf bandara El Dorado bersama dengan personel dari berbagai bandara dan perusahaan swasta. Anda dapat melihat bukti dari foto KTP di bawah.

Foto tanpa tanda lainnya data terbuka untuk klien Securitas, karyawan bandara, dan bisnis terkait. Tidak ada indikasi dalam nama file mengenai tujuan foto-foto ini, meskipun, orang dapat berasumsi bahwa mereka dikumpulkan untuk penilaian keamanan.

Karyawan yang terpapar tidak hanya staf resmi bandara tetapi termasuk staf dari beberapa perusahaan swasta yang berbeda, salah satunya adalah Securitas. Ada foto orang, tempat, pesawat, dan berbagai fungsi bandara lainnya di ember.

Data EXIF merinci berbagai informasi khusus untuk setiap gambar. Data EXIF ​​​​tidak dihapus dari foto dan, oleh karena itu, diekspos bersama dengan gambar di ember terbuka. Anda dapat melihat contoh data EXIF ​​​​di tangkapan layar berikut.

Meskipun perkiraan pasti jumlah orang yang terkena dampak sulit dicapai, kami yakin sejumlah besar perusahaan dan karyawan di berbagai industri yang berpotensi dapat terpapar. Kami telah menganalisis data yang berkaitan dengan empat bandara yang terkena dampak, namun kami pikir mungkin ada lebih banyak pihak yang terkena dampak.

Selain itu, bandara, perusahaan, dan karyawan dari beberapa negara Amerika Latin, serta belahan dunia lainnya, berpotensi terpapar. Kami telah mengamati data milik entitas dari Kolombia dan Peru.

Anda dapat melihat rincian pelanggaran data Securitas pada tabel berikut.

Tim keamanan siber SafetyDetectives menemukan ember Amazon S3 Securitas pada 28 Oktober 2021. Konten pada ember tersebut berasal dari November 2018. Namun, kami tidak tahu berapa lama ember dibiarkan terbuka.

Kami mengirimkan pengungkapan yang bertanggung jawab atas paparan data ke Securitas pada 28 Oktober 2021. Securitas menjawab sehari kemudian, memberi tahu kami untuk mengungkapkan pelanggaran tersebut ke alamat email perusahaan yang berbeda (yang kami lakukan pada hari yang sama). Pada 1 November 2021, kami mengirim pesan tindak lanjut ke Securitas karena bucket masih belum aman, dan kami juga mengungkapkan pelanggaran tersebut kepada CERT Swedia.

Securitas membalas pada 2 November 2021, dan bucket AWS S3 yang terbuka diamankan. CERT Swedia juga menjawab pada hari ini, meskipun, pesan mereka datang setelah Securitas menutup ember.

Securitas dan kliennya dapat menghadapi beberapa dampak akibat pelanggaran data ini.

Dampak Pelanggaran Data

Kami tidak dan tidak dapat mengetahui apakah pelaku jahat telah mengakses konten ember.

Jika pihak jahat telah mengakses ember Securitas, kontennya dapat menimbulkan ancaman keamanan bagi empat (atau lebih) bandara yang bocor, bersama dengan karyawan dan perusahaan bandara. Securitas dapat menghadapi sanksi hukum dan berbagai dampak karena pelanggarannya juga.

Dampak pada Klien dan Perusahaan

Pelanggaran data Securitas menimbulkan risiko bagi empat klien yang bocor: Bandara Internasional El Dorado (COL), Bandara Internasional Alfonso Bonilla Aragón (COL), Bandara Internasional José María Córdova (COL), dan Aeropuerto Internacional Jorge Chávez (PE).

Dampak dari pelanggaran ini menyebar lebih jauh dari organisasi-organisasi ini saja, mempengaruhi berbagai perusahaan swasta lainnya.

Keamanan bandara melindungi kehidupan pelancong dan staf bandara. Dengan demikian, pelanggaran ini sangat berbahaya dengan konsekuensi yang berpotensi menghancurkan jika konten ember berakhir di tangan yang salah. Baik di Kolombia maupun di seluruh dunia, ada gerilyawan dan organisasi teroris yang dapat menyebabkan kerusakan besar jika mereka mengakses ember Securitas.

Untuk alasan ini, infiltrasi keamanan adalah risiko nomor satu yang terkait dengan klien Securitas dan perusahaan terkait. Foto tanda pengenal dan karyawan dapat memungkinkan penjahat untuk menyamar sebagai berbagai anggota staf—karyawan yang dapat memperoleh akses ke area terlarang di bandara, seperti area pemuatan bagasi dan bahkan pesawat. Penjahat bahkan dapat menggunakan data yang bocor untuk membuat kartu identitas dan lencana palsu. Seorang penjahat dapat semakin memperkuat penampilan mereka sebagai karyawan yang sah dengan mengunduh aplikasi seluler yang bocor.

Dalam skenario terburuk, karyawan bandara bisa berhadapan langsung dengan penjahat yang kejam. Ini berarti karyawan bandara berpotensi mengalami risiko cedera fisik dan psikologis. Penjahat dapat menyalahgunakan staf bandara untuk mencari informasi, seperti kredensial aplikasi seluler atau kode akses untuk pintu yang terkunci. Penjahat juga dapat menyandera karyawan (atau bahkan membunuh karyawan) untuk mencegah mereka melawan.

Penjahat bisa menggunakan foto lain yang tidak ditandai di ember untuk mengumpulkan informasi tentang bandara untuk infiltrasi yang direncanakan. Pelaku jahat dapat menggunakan akses ini untuk mencuri harta atau barang dalam jumlah besar. Padahal, implikasi keamanan bagi bandara dan maskapai penerbangan di sini berpotensi jauh lebih serius.

Di samping catatan, aktor jahat dengan motif keuangan dapat menargetkan perusahaan dengan penipuan dan penipuan. Pelaku jahat dapat menggunakan PII yang bocor untuk berpura-pura sebagai kolega atau pelanggan. Setelah aktor jahat mendapatkan kepercayaan dari staf bandara, mereka dapat mencoba menipu korban dengan penipuan populer. Misalnya, aktor jahat dapat meyakinkan perusahaan untuk membayar faktur palsu untuk layanan.

Dampak pada Securitas

Securitas memiliki data karyawan dan informasi sensitif yang terpapar di ember dan, oleh karena itu, juga dapat berada di bawah ancaman kegiatan kriminal yang disebutkan di atas.

Di tempat lain, Securitas bisa menghadapi sanksi atas pelanggaran perlindungan data jika regulator memutuskan perusahaan telah melanggar hukum.

Pelanggaran data Securitas telah mengungkap informasi warga negara Peru dan Kolombia (jika tidak lebih) dan organisasi di dalam batas negara. Ini berarti Securitas dapat dikenakan hukuman dari Autoridad Nacional de Protección de Datos Personales (ANPDP) Peru dan Pengawas Industri dan Perdagangan (SIC) Kolombia.

ANPDP dapat menjatuhkan sanksi hingga S/ 220,000 hingga S/ 440,000 (sekitar US$61,000 hingga US$122,000) jika mereka menemukan pelanggaran Securitas adalah pelanggaran "sangat serius" terhadap undang-undang perlindungan data. Pihak berwenang Peru dapat mengenakan denda tambahan sebesar S/44,000 (sekitar US$12,200) untuk setiap pelanggaran peraturan perlindungan data yang berkelanjutan.

SIC Kolombia dapat mengenakan denda maksimum 2,000 gaji bulanan minimum yang sah (setara dengan sekitar US$400,000) untuk pelanggaran peraturan perlindungan data, dengan denda berturut-turut untuk pelanggaran yang berkelanjutan.

Mencegah Eksposur Data

Langkah apa yang dapat kami ambil untuk memastikan data pribadi kami terlindungi? Dan apa yang bisa kita lakukan untuk meminimalkan dampak kejahatan dunia maya?

Berikut adalah beberapa tips untuk mencegah paparan data:

• Hanya berikan data sensitif dan pribadi Anda kepada perusahaan/individu yang dapat Anda percayai sepenuhnya.
• Pastikan situs web yang Anda gunakan aman. Situs web aman memiliki “https” dan/atau simbol kunci tertutup sebelum nama domainnya.
• Jangan berikan entitas dengan informasi Anda yang paling sensitif—data yang dapat dengan mudah digunakan untuk melawan Anda dengan efek yang merusak (yaitu nomor ID pemerintah, nomor jaminan sosial, dan preferensi).
• Gunakan huruf, angka, dan simbol untuk membuat kata sandi yang aman.
• Jangan mengklik tautan dalam email, pesan, atau situs web jika Anda tidak dapat sepenuhnya memercayai sumbernya.
• Pastikan pengaturan privasi Anda di situs media sosial hanya menampilkan informasi Anda kepada pengguna tepercaya.
• Hindari menggunakan kartu kredit atau mengetik kata sandi saat terhubung ke jaringan Wi-Fi publik atau tidak aman.
• Edukasi diri Anda tentang perlindungan data, ancaman dunia maya, dan semua yang dapat Anda lakukan untuk menghindari paparan data dan korban kejahatan dunia maya.

Tentang Kami

SafetyDetectives.com adalah situs web ulasan antivirus terbesar di dunia.

Lab penelitian SafetyDetectives adalah layanan pro bono yang bertujuan untuk membantu komunitas online mempertahankan diri dari ancaman dunia maya sambil mendidik organisasi tentang cara melindungi data pengguna mereka. Tujuan utama dari proyek pemetaan web kami adalah membantu menjadikan internet tempat yang lebih aman bagi semua pengguna.

Laporan kami sebelumnya telah mengungkap beberapa kerentanan profil tinggi dan kebocoran data, termasuk 2.6 juta pengguna yang terpapar oleh Platform analitik sosial Amerika IGBlade, serta pelanggaran di a Platform Integrator Marketplace Brasil Hariexpress.com.br yang membocorkan lebih dari 610 GB data.

Untuk ulasan lengkap tentang pelaporan keamanan siber SafetyDetectives selama 3 tahun terakhir, ikuti  Tim Keamanan Siber SafetyDetectives.

• Coinsmart. Pertukaran Bitcoin dan Crypto Terbaik Eropa.
• Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. AKSES GRATIS.
• CryptoHawk. Radar Altcoin. Uji Coba Gratis.
• Sumber: https://www.safetydetectives.com/news/securitas-leak-report/