近日，總部位于瑞士的房地產(chǎn)代理公司Neho泄露了其內(nèi)部憑據(jù)，這或?qū)⑼{到該公司及其客戶的敏感數(shù)據(jù)。

• 瑞士房地產(chǎn)代理公司Neho系統(tǒng)配置錯(cuò)誤，將敏感憑據(jù)暴露在公眾面前
• 使用泄露的數(shù)據(jù)，威脅行為者可能會(huì)破壞公司的內(nèi)部系統(tǒng)并劫持官方通信渠道
• 房地產(chǎn)代理商處理敏感數(shù)據(jù)，包括客戶的個(gè)人身份信息、銀行賬戶詳細(xì)信息以及網(wǎng)絡(luò)犯罪分子高度重視的其他數(shù)據(jù)。確保網(wǎng)絡(luò)安全至關(guān)重要
• Cybernews聯(lián)系了Neho，公司解決了這個(gè)問題

Cybernews研究團(tuán)隊(duì)在 Neho.ch網(wǎng)站中發(fā)現(xiàn)了一個(gè)配置錯(cuò)誤，暴露了其敏感憑據(jù)，威脅行為者或可利用這一點(diǎn)接管公司的系統(tǒng)。

該公司的網(wǎng)站以房地產(chǎn)分類廣告為特色，每月訪問量約為12萬。Neho的年收入近1200萬美元，聲稱是該國第一家免傭金房地產(chǎn)代理商。

公眾訪問公司系統(tǒng)

3月18日，Cybernews研究團(tuán)隊(duì)在Neho的官方網(wǎng)站上發(fā)現(xiàn)了一個(gè)可公開訪問的環(huán)境文件（.env）。

該文件包含 PostgreSQL 和 Redis 數(shù)據(jù)庫憑據(jù)，包括主機(jī)、端口、用戶名和密碼。

泄露的環(huán)境文件 | 圖片來自網(wǎng)絡(luò)新聞

這些憑據(jù)一旦泄露非常危險(xiǎn)，因?yàn)檫@會(huì)直接授予威脅行為者訪問數(shù)據(jù)庫內(nèi)容的權(quán)限。而這些數(shù)據(jù)庫已連接到互聯(lián)網(wǎng)，這使得攻擊者更容易訪問它們。

在泄露的數(shù)據(jù)中，研究人員發(fā)現(xiàn)了亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）存儲(chǔ)憑證 - 密鑰ID和機(jī)密。從名稱來看 - “neho-media”，存儲(chǔ)桶內(nèi)最有可能存儲(chǔ)的是圖像。

雖然出于法律原因，研究人員無法定義存儲(chǔ)桶的確切內(nèi)容，但它也可能包含與該機(jī)構(gòu)的客戶或?qū)傩韵嚓P(guān)的敏感文件。

研究人員還偶然發(fā)現(xiàn)了Elasticsearch AWS憑證。通常，這些實(shí)例是潛在的寶庫，包含關(guān)鍵信息，例如客戶記錄，付款數(shù)據(jù)和無數(shù)其他寶貴的細(xì)節(jié)。

泄露的憑據(jù)包括：

• PostgreSQL 數(shù)據(jù)庫主機(jī)、端口、名稱和密碼
• Redis 數(shù)據(jù)庫主機(jī)、端口和密碼
• Mailgun 主機(jī)、用戶名和密碼
• 郵戳 API 和 SMTP 憑據(jù)
• AWS Bucket訪問密鑰 ID 和密鑰
• Twilio 賬戶憑證
• Aircall API 和令牌
• 彈性搜索 AWS 憑證
• Google 客戶端 ID 和密鑰
• Facebook 客戶端 ID 和秘密
• Trustpilot API 密鑰和密鑰
• Pricehubble 證書
• Movu.ch代幣
• Canny ID、密鑰和令牌
• 旅行時(shí)間API

企業(yè)溝通渠道面臨風(fēng)險(xiǎn)

此外，還有另一條敏感信息是郵戳電子郵件發(fā)送服務(wù)的應(yīng)用程序編程接口 （API） 和簡單郵件傳輸協(xié)議 （SMTP） 憑據(jù)。通過利用這些憑據(jù)，惡意行為者可以使用公司的官方電子郵件部署網(wǎng)絡(luò)釣魚活動(dòng)并發(fā)送垃圾郵件。

在泄露的憑據(jù)中，研究人員還發(fā)現(xiàn)了該公司使用的Mailgun電子郵件服務(wù)的主機(jī)，用戶名和密碼。

如果這些憑據(jù)落入那些惡意行為者手中，他們就能夠查閱這些信息并利用這些信息發(fā)送電子郵件，這構(gòu)成了重大威脅。

泄露的數(shù)據(jù)還顯示，該公司一直在使用基于云的呼叫中心軟件Aircall和用于撥打和接聽電話和短信的通信工具Twilio。

泄露的環(huán)境文件 | 圖片來自網(wǎng)絡(luò)新聞

出現(xiàn)的這些問題讓公司與客戶之間的這些溝通渠道面臨巨大風(fēng)險(xiǎn)，而可公開訪問的環(huán)境文件暴露了Aircall API和令牌以及Twilio憑據(jù)，威脅行為者能夠劫持訪問這些信息。

該文件還包含帶有密鑰的Facebook App ID，以及Google的Client ID和密鑰。泄露這些憑據(jù)令人擔(dān)憂，因?yàn)橥{行為者可能會(huì)使用它們來劫持公司的Facebook和Google應(yīng)用程序或請(qǐng)求用戶數(shù)據(jù)。

此外，用于訪問審查平臺(tái)Trustpilot的API密鑰和秘密也遭遇泄露，這些憑據(jù)可能會(huì)授予對(duì)Neho在平臺(tái)上的帳戶的訪問權(quán)限，使惡意行為者能夠編輯或刪除與Neho相關(guān)的數(shù)據(jù)，并損害其聲譽(yù)。

還有一些不太重要的憑據(jù)也被泄露了，包括：Pricehubble憑據(jù)，Movu.ch 令牌，Canny ID，密鑰和令牌以及TravelTime API。

泄露的環(huán)境文件 |圖片來自網(wǎng)絡(luò)新聞

房產(chǎn)代理公司內(nèi)收錄大量敏感數(shù)據(jù)

此次該公司暴露的數(shù)據(jù)種類繁多，數(shù)量也較大，威脅行為者能夠相對(duì)輕松地對(duì)網(wǎng)站本身及其用戶發(fā)起大量攻擊。

像這樣的房地產(chǎn)代理商遭遇網(wǎng)絡(luò)攻擊是很危險(xiǎn)的，因?yàn)檫@些公司通常被委托處理大量敏感數(shù)據(jù)，包括客戶的關(guān)鍵個(gè)人身份信息（PII）以及他們的銀行賬戶詳細(xì)信息。這些數(shù)據(jù)對(duì)網(wǎng)絡(luò)犯罪分子具有巨大的吸引力。

使用Neho泄露的數(shù)據(jù)，惡意行為者可能已經(jīng)完全接管了公司的內(nèi)部系統(tǒng)，并使用權(quán)限提升和橫向移動(dòng)來進(jìn)一步利用。

威脅參與者可以利用數(shù)據(jù)庫中存在的數(shù)據(jù)來發(fā)起一系列惡意活動(dòng)，包括網(wǎng)絡(luò)釣魚攻擊、欺詐性營銷活動(dòng)和身份欺詐。

除了贖金和數(shù)據(jù)被盜的風(fēng)險(xiǎn)外，攻擊者還可能選擇復(fù)制私有數(shù)據(jù)集以促進(jìn)進(jìn)一步入侵。

公司的回應(yīng)

該公司在官方聲明中表示，他們“立即”刪除了暴露的環(huán)境文件。

他們還表示經(jīng)常輪換密鑰，泄露的文件里基本都是一些過時(shí)的數(shù)據(jù)，或者是一些不再使用的非活動(dòng)服務(wù)。

如何規(guī)避風(fēng)險(xiǎn)？

為了降低其數(shù)據(jù)被暴露和破壞的任何進(jìn)一步風(fēng)險(xiǎn)，Neho應(yīng)始終啟用安全功能并實(shí)施安全措施：

• 避免使用“root”用戶：以“root”用戶身份操作可能會(huì)帶來安全風(fēng)險(xiǎn)，因此 Neho 應(yīng)盡可能避免使用此用戶帳戶。
• 保持?jǐn)?shù)據(jù)庫被屏蔽：Neho的數(shù)據(jù)庫應(yīng)該受到保護(hù)，不受公共互聯(lián)網(wǎng)的影響。這可以通過將它們置于防火墻或虛擬專用網(wǎng)絡(luò) （VPN） 后面來增強(qiáng)其安全性來實(shí)現(xiàn)。
• 實(shí)施基于角色的訪問控制：根據(jù)用戶角色建立訪問控制非常重要。每個(gè)用戶都應(yīng)具有適當(dāng)?shù)臋?quán)限，僅允許他們?cè)L問必要的信息。
• 安全的遠(yuǎn)程數(shù)據(jù)庫訪問：如果需要通過互聯(lián)網(wǎng)訪問數(shù)據(jù)庫，則應(yīng)實(shí)施嚴(yán)格的身份驗(yàn)證措施，以確保只有經(jīng)過授權(quán)的個(gè)人才能訪問它。
• 利用多重身份驗(yàn)證 （MFA）： Neho 應(yīng)使用 MFA，除了登錄憑據(jù)外，還需要其他身份驗(yàn)證方法。這樣，即使攻擊者設(shè)法獲得有效的登錄憑據(jù)，他們?nèi)匀恍枰诙€(gè)身份驗(yàn)證因素才能獲得訪問權(quán)限。

參考來源：https://cybernews.com/security/neho-real-estate-agency-data-leak/