只需要几秒钟，黑客就能打开 300 万个酒店钥匙卡锁中的任何一个

黑客的Unsaflok技术最大的警告是，它仍然要求他们拥有一张钥匙卡 - 甚至是过期的钥匙卡 - 用于与目标房间位于同一酒店某处的房间。这是因为每张卡都有一个特定于住宿的代码，他们需要读取这些代码，然后复制到他们的欺骗卡上，以及一个特定于房间的代码。

一旦他们拥有了该属性代码，该技术还需要使用RFID读写设备来写入两张卡 - 一张卡用于重新编程目标锁，另一张卡用于解锁它。（研究人员说，Android手机或Flipper Zero也可以用来发射一个接一个的信号，而不是两张卡。研究人员暗示，第一张卡允许他们打开一个目标房间，而无需猜测其在酒店系统中的唯一标识符，但拒绝透露第一张卡的确切作用。他们对技术的这一要素充满信心，以避免向潜在的入侵者或小偷发出过于明确的指令。

相比之下，一位安全研究人员在2012年的黑帽大会上提出了一个类似的酒店钥匙卡黑客攻击，该黑客在没有这种混淆的情况下打开了Onity公司销售的锁，并允许任何黑客构建一个设备来打开Onity全球1000万把锁中的任何一个。当 Onity 拒绝支付解决问题所需的硬件升级费用，而是将责任推给客户时，这个问题在许多酒店仍未得到解决，并最终在至少一名黑客的跨国入室盗窃狂潮中被利用。

卡罗尔和沃特斯表示，他们正试图通过采取更谨慎的方法来避免这种情况，同时仍然警告公众他们的技术，因为即使现在Dormakaba已经提供了解决方案，数百处房产也可能仍然容易受到它的影响。卡罗尔说：“我们正试图找到中间立场，帮助 Dormakaba 快速修复它，同时也告诉客人它。“如果今天有人对此进行逆向工程，并在人们意识到之前就开始利用它，那可能是一个更大的问题。

为此，卡罗尔和沃特斯指出，酒店客人最常（但并非总是）通过其独特的设计来识别易受攻击的锁：一个圆形的RFID阅读器，上面有一条波浪线穿过它。他们建议，如果酒店客人的门上确实有Saflok，他们可以通过使用恩智浦的NFC Taginfo应用程序（适用于iOS或Android）检查他们的钥匙卡来确定它是否已更新。如果锁是由 Dormakaba 制造的，并且该应用程序显示钥匙卡仍然是 MIFARE Classic 卡，那么它可能仍然容易受到攻击。

两位研究人员说，如果是这样的话，除了避免将贵重物品留在房间里，当你在里面时，把链子锁在门上，别无他法。他们警告说，房间的门栓也由钥匙卡锁控制，因此它不会提供额外的保护。“如果有人锁上了门栓，他们仍然没有受到保护，”卡罗尔说。

沃特斯和卡罗尔认为，即使没有完美或完全实施的解决方案，酒店客人最好知道风险，而不是有虚假的安全感。毕竟，他们指出，Saflok品牌已经销售了三十多年，并且可能在大部分或所有年份都处于脆弱状态。尽管Dormakaba表示，它不知道Wouters和Carroll的技术过去曾使用过任何用途，但研究人员指出，这并不意味着它从未秘密发生过。

“我们认为这个漏洞已经存在了很长时间，”Wouters说。“我们不太可能是第一个发现这一点的人。

根据三位安全研究人员最近发表的一篇文章，超过 900 个配置错误的 Google Firebase 网站可能泄露了近 1.25 亿条用户记录，他们在网上使用“mrbuh”、“xyzeva”和“logykk”。

1月10日，安全研究员mrbruh首次报告说，在入侵基于人工智能的招聘系统 Chattr.ai 时，他们成功访问了Applebee's、Chick-fil-A、肯德基、赛百味和塔可钟等流行的零售食品网站。

零售和酒店业ISAC于1月11日报道了这一事件，即mrbruh发布第一篇文章的第二天，称攻击者可以使用Chattr.ai的注册功能，通过滥用其Google Firebase后端数据库中的漏洞或错误配置，创建具有完全读/写权限的新用户配置文件。然后建议零售和酒店业的公司联系 Chattr.ai。

在最初围绕 pwning Chattr.ai 的新闻报道之后，这三位研究人员开始通过错误配置的 Firebase 实例扫描互联网以查找暴露的 PII——就在那时，他们发现了泄露的记录，包括重要的银行详细信息、账单信息和发票。泄露的数据还包括姓名、电话号码、电子邮件地址和密码。

截至发稿时，试图联系 Chattr.ai 和谷歌发表评论的努力没有成功。

如今，大多数对云基础设施的成功攻击都源于配置错误，Keeper Security 安全和架构副总裁 Patrick Tiquet 说。Tiquet 说，Google Firebase 不断升级和发展其安全建议，但是，这些组件并不总是正确实施或受到监控，就像 Chattr 实施 Firebase 的情况一样。

“管理员应始终确保他们使用安全的保管库和机密管理解决方案，并立即执行必要的补丁和更新，”Tiquet 说。“他们还应该检查云控制台的安全控制，以确保他们遵循最新的建议。

Sectigo 产品高级副总裁 Jason Soroko 表示，这个案例对云系统用户以及云架构师本身来说都是一个很好的教训。

“最近的Google Firebase问题在某些方面可能会更糟，因为它允许恶意行为者的管理功能，导致潜在的更深层次的妥协，”Soroko说。“让我们看看我们是否得到了一套工具来帮助我们更好地评估配置。