数据泄漏 访客管理系统中公开的默认密码

研究人员发现了大量的漏洞，这些漏洞影响了自动化取代人类助手的访客管理系统。

自动化，人工智能(AI)，机器学习(ML)，物联网(IoT)和移动性已经开始渗透到我们日常生活的方方面面。在酒店业，这些技术提供了一个机会，以提高访客和客人的安全性，以及减少维持保护措施所需的人力。

所谓的访客管理系统取代了您的普通保安人员或接待处，正在成为一项重要业务，预计到2025年将成为价值超过13亿美元的市场。

但是，当您向设备添加Internet连接时，您正在邀请潜在的攻击 - 徽章和数字控制系统中的安全漏洞可能与其他任何漏洞一样容易受到攻击。

对于网络攻击者而言，篡改访问控制的能力可能会使他们未经授权访问建筑物和犯罪计划区域。虽然这看起来似乎是一个古怪的前景，但社会工程 - 例如一个穿着维修工作者穿过建筑物而没有挑战 - 已经是一个众所周知的策略。

“如果访问者管理系统工作正常，那么应该更容易识别哪些访问者是合法的，以及是否应该允许他们在整个校园内无人陪伴，”IBM说。“如果系统没有按预期工作，它们可能会给部署它们的公司带来虚假的安全感。”

该公司的网络安全团队IBM X-Force Red最近调查了Jolly Technologies，HID Global，Threshold Security，Envoy和The Receptionist提供的五种流行访客管理系统的安全状况。

该团队在供应商的产品中发现了总共19个零日漏洞;Jolly Technologies的Lobby Track Desktop，HID Global的EasyLobby Solo，Threshold Security的eVisitorPass，Envoy's Envoy Passport和The Receptionist系统。

IBM X-Force Red的调查结果包括信息泄露漏洞，默认管理员凭据的使用，可能允许信息亭环境信息突破的权限提升错误，以及包括访客记录，社会安全号码和驾驶执照号码在内的数据泄露。

研究人员表示，“即使访客管理系统没有连接到任何网络并且没有发行徽章，它仍然保存有关访问者的数据，这对竞争对手和内部交易者来说是一个福音。”“例如，了解相关公司的CEO在过去几周内每天都在访问，这可能是收集的宝贵情报。根据访客管理系统存储的数据，也可能存在身份盗窃的机会。 “。

受到研究人员调查结果影响的供应商在公开披露之前得到通知。其中一些漏洞已被修补，其他修复程序将在不久的将来发布，并且一些漏洞将通过隔离技术得到缓解。