自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

一年多才解決!索尼、Lexar 的加密設(shè)備供應(yīng)商泄露敏感數(shù)據(jù)

作者:james_23
安全
隨著事件發(fā)酵,ENC Security 迅速做出回復(fù),聲稱泄露事件原因是第三方供應(yīng)商的錯(cuò)誤配置,在收到通知后已立刻修復(fù)漏洞。

當(dāng)用戶購(gòu)買 Sony、Lexar 或 Sandisk USB 密鑰或其它任何存儲(chǔ)設(shè)備時(shí),都會(huì)附帶一個(gè)加密解決方案,以確保數(shù)據(jù)安全。

據(jù)悉,該方案由第三方供應(yīng)商 ENC Security 開發(fā),然而 近日Cybernews 研究小組披露,該公司在一年多時(shí)間里一直在泄露其配置和證書文件。

1669864989_63881e1d0c2cdb589ea04.jpg!small?1669864989250

隨著事件發(fā)酵,ENC Security 迅速做出回復(fù),聲稱泄露事件原因是第三方供應(yīng)商的錯(cuò)誤配置,在收到通知后已立刻修復(fù)漏洞。

ENC Security 是一家位于荷蘭的公司,在全球擁有 1200 萬(wàn)用戶,通過(guò)其流行 DataVault 加密軟件提供“軍用級(jí)數(shù)據(jù)保護(hù)”解決方案。

Cybernews 發(fā)現(xiàn)安全問(wèn)題

從 Cybernews 披露的內(nèi)容來(lái)看, 泄漏服務(wù)器內(nèi)的數(shù)據(jù)主要包括銷售渠道的簡(jiǎn)單郵件傳輸協(xié)議(SMTP)憑證、單一支付平臺(tái)的 Adyen 密鑰、電子郵件營(yíng)銷公司的 Mailchimp API 密鑰、許可支付 API 密鑰、HMAC 消息驗(yàn)證碼以及以 .pem 格式存儲(chǔ)的公共和私人密鑰。

2021 年 5 月 27 日到 2022 年 11 月 9日 ,一年多的時(shí)間里,任何人都可以公開訪問(wèn)這些數(shù)據(jù),直到 Cybernews 向 ENC Security 披露該漏洞后,該服務(wù)器才被關(guān)閉。

安全研究人員 Vareikis 表示,數(shù)據(jù)暴露長(zhǎng)達(dá)一年多時(shí)間,潛在網(wǎng)絡(luò)攻擊者可利用上述數(shù)據(jù)進(jìn)行從網(wǎng)絡(luò)釣魚、勒索軟件等各種形勢(shì)的網(wǎng)絡(luò)攻擊。

1669865002_63881e2ac7fea317f8704.jpg!small?1669865003225

舉個(gè)簡(jiǎn)單的例子,攻擊者可能通過(guò)銷售溝通渠道向客戶發(fā)送假發(fā)票或通過(guò)可信的電子郵件地址傳播惡意軟件來(lái)欺騙客戶。

此外,由于 Mailchimp API 密鑰允許攻擊者發(fā)送大規(guī)模營(yíng)銷活動(dòng)并查看、收集線索,對(duì)攻擊者來(lái)說(shuō)無(wú)疑具有更大價(jià)值。不僅如此,勒索軟件運(yùn)營(yíng)商也能夠利用 .pem 文件里面的密鑰開展未經(jīng)授權(quán)的訪問(wèn),甚至是服務(wù)器被接管。Vareikis 一再?gòu)?qiáng)調(diào),泄漏一年多的數(shù)據(jù)對(duì)威脅者來(lái)說(shuō)不亞于一個(gè)“金礦”。

ENC Security 公司回應(yīng)

在收到并仔細(xì)分析 Cybernews 研究小組報(bào)告后,ENC Security 迅速采取措施,解決安全問(wèn)題。ENC Security 發(fā)言人表示,公司始終認(rèn)真對(duì)待數(shù)據(jù)的安全和保護(hù),每一個(gè)安全問(wèn)題都會(huì)被徹底研究并采取適當(dāng)?shù)拇胧┻M(jìn)行補(bǔ)救,必要時(shí)也會(huì)通知客戶進(jìn)一步加強(qiáng)安全。

ENC Security 也曾出現(xiàn)其它安全事件

Cybernews 研究小組的發(fā)現(xiàn)與 2021 年 12 月研究人員 Sylvain Pelissier 的發(fā)現(xiàn)一樣令人擔(dān)憂。

去年,Pelissier 演示了在 ENC Security  DataVault 加密軟件中發(fā)現(xiàn)的幾個(gè)漏洞,這些漏洞可能允許攻擊者在未經(jīng)檢測(cè)的情況下,獲取用戶密碼并修改 vault 中的文件。不止于此,DataVaul 軟件還使用了“計(jì)算工作量不足的密碼哈?!?,這可能會(huì)讓攻擊者暴力破解用戶密碼。

當(dāng)時(shí),ENC Security 承認(rèn) DataVault 軟件 6 和 7.1 及其衍生版本易受攻擊,不久后通過(guò)發(fā)布升級(jí)解決了漏洞。

Vareikis 告誡用戶,一些“超級(jí)”安全公司喜歡使用類似“軍用級(jí)”加密等詞匯,過(guò)度夸大產(chǎn)品能力,進(jìn)行虛假宣傳,對(duì)于這種宣傳,用戶應(yīng)當(dāng)始終持懷疑態(tài)度。

參考文章:https://cybernews.com/security/encsecurity-leaked-sensitive-data/

責(zé)任編輯:趙寧寧 來(lái)源: FreeBuf.COM
漏洞數(shù)據(jù)泄露
相關(guān)推薦

2020-10-25 09:04:46

數(shù)據(jù)加密數(shù)據(jù)泄露攻擊

2019-11-28 18:54:50

數(shù)據(jù)庫(kù)黑客軟件

2024-01-01 14:19:11

2021-02-20 11:00:08

數(shù)據(jù)中心托管服務(wù)供應(yīng)商

2023-09-26 11:24:00

2012-06-08 09:31:34

UC整合UC

2024-11-05 17:35:21

2010-05-14 13:50:57

2023-01-18 22:59:17

數(shù)據(jù)泄露網(wǎng)絡(luò)安全

2012-05-10 16:53:28

Interop私有云

2019-08-12 06:59:22

工業(yè)物聯(lián)網(wǎng)數(shù)字化轉(zhuǎn)型IIOT

2020-09-09 11:21:35

網(wǎng)絡(luò)安全數(shù)據(jù)泄露漏洞

2020-11-26 15:09:49

數(shù)據(jù)安全百度地圖機(jī)器學(xué)習(xí)

2019-10-24 08:41:06

供應(yīng)商安全信息安全數(shù)據(jù)泄露

2010-08-03 10:40:05

2012-03-05 10:42:24

SaaS云計(jì)算數(shù)據(jù)存儲(chǔ)

2022-08-05 10:52:43

SOC安全運(yùn)營(yíng)中心

2021-09-26 16:20:41

加密貨幣比特幣貨幣

2023-07-17 17:58:45

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)