知名飯店Kiosk系統漏洞讓後台資料庫憑證曝險，可致客戶資料被竊

安全研究人員發現歐美知名飯店Kiosk設備商Uniguest管理資料庫外洩管理員、設備、產品金鑰等重要資訊，使飯店客戶信用卡或其他資料可能落入駭客之手。

Uniguest是資訊設備供應商，其Kiosk產品在歐美地區飯店、機場及醫院之間頗為普及，旅客在Kiosk插入信用卡後，可收發電子郵件、租車、甚至買機票。該公司並為企業客戶統包系統軟、硬體的管理。安全廠商TrustWave安全研究人員Adrian Pruteanu，近日發現Uniguest舊款系統出現重大漏洞曝露後端資料庫憑證，可能讓駭客竊取客戶資料。

研究人員發現，Uniguest一個可被Google搜尋找到的網站上，存放該公司技師管理所有kiosk的工具及使用文件。其中名為SystemSleuth的軟體，是部署於舊式kiosk的應用程式，主要用於蒐集kiosk資訊，包括產品金鑰、資產標籤、密碼等等資訊。這些資訊會傳送到該公司的Salesforce API上。

SystemSleuth是以C#寫成，可以dnSpy等工具反組譯成原始碼。研究人員藉此發現API憑證資料寫死在這款app的程式碼中。研究人員還發現Salesforce API可以SOAP協定存取，因而以開源工具進行測試查詢而得到session key。最後研究人員得以存取所有Uniguest雲端資料庫，包括管理員、路由器和BIOS密碼、產品金鑰及其他敏感資訊。只要配合鍵盤側錄、遠端存取木馬（RAT）和其他惡意程式，即可蒐集所有付費使用這些kiosk進行收發郵件、訂車、訂票的飯店住客，甚至機場旅客的信用卡資訊。

Pruteanu指出，部署於公共場合的Windows機器安全防護不易，Active Directory群組政策物件（GPO）或Explorer shells往往很容易就被駭客輕鬆繞過，而得以存取整個系統。

經研究人員通報後，Uniguest已經將公開曝露的網站移到需驗證的portal，並修補所有產品漏洞，包括關閉API憑證。

研究人員並建議企業不要使用類似的app，如果一定要用，則應使用唯寫（write-only）API金鑰、個別獨立的客戶資料庫，並且避免重覆使用API金鑰或憑證於不同系統上。