近日，有研究人員發(fā)現(xiàn)了一次大規(guī)模的數(shù)據(jù)泄漏事件，共涉及到大約 900 家公司和組織，其中包括戴爾、Verizon、AT&T、能源部、康卡斯特和大通銀行等。

今年 3 月 25 日，Cybernews 研究小組發(fā)現(xiàn)了一個(gè)可公開訪問的網(wǎng)絡(luò)目錄，該目錄屬于馬里蘭州的 Simpli 公司（前身為 Charm City Concierge）。

該公司的應(yīng)用程序允許租用辦公空間的公司的員工查看位于同一棟大樓內(nèi)的商店。它列出了可用的便利設(shè)施、工作場(chǎng)所福利和折扣，并使用戶能夠訂購各種服務(wù)和產(chǎn)品。

這個(gè)開放的網(wǎng)絡(luò)目錄存儲(chǔ)了 2024 年 1 月對(duì)公司網(wǎng)站和 Simpli 應(yīng)用程序數(shù)據(jù)庫的備份數(shù)據(jù)。據(jù)悉，此次泄露的應(yīng)用程序的備份暴露了 10000 名員工的電子郵件地址和來自大約 900 家公司的哈希密碼。

包含網(wǎng)站和數(shù)據(jù)庫備份的網(wǎng)絡(luò)目錄被曝光

受影響的公司包括：

• Capital One
• 海軍分析中心
• 美國律師協(xié)會(huì)
• 微策略
• 劍橋聯(lián)營(yíng)公司
• 戴爾
• 威瑞森
• 康卡斯特
• 西部交通
• WeWork
• 信托銀行
• 美國電話電報(bào)公司
• 國家殘疾人委員會(huì)
• 能源部
• 大通銀行

帶備注的訂單信息

由于大多數(shù)員工都使用公司電子郵件地址注冊(cè)了 Simpli 服務(wù)，因此這構(gòu)成了重大風(fēng)險(xiǎn)。威脅攻擊者有可能通過使用憑據(jù)填充攻擊，將目標(biāo)鎖定在員工可以訪問的更敏感的公司系統(tǒng)上。

Cybernews 的信息安全研究員 Aras Nazarovas 說：雖然員工憑證是以相對(duì)安全的格式存儲(chǔ)的，但密碼仍有可能被破解，尤其是弱密碼。

如果員工在多個(gè)賬戶中使用相同的密碼，被破解的密碼就可以用來登錄其他更敏感、與工作相關(guān)的終端。

建筑物及其租戶清單

此次泄露的數(shù)據(jù)庫還曝光了通過該應(yīng)用程序發(fā)出的指令，其中一些指令包含可能涉及敏感業(yè)務(wù)信息的備注。這些筆記包括來自不同公司的個(gè)人之間的會(huì)議細(xì)節(jié)和會(huì)議目的。

在開放目錄中發(fā)現(xiàn)的文件表明，這些信息可能是在該公司將其系統(tǒng)從 Drupal 7 遷移到 Drupal 9 時(shí)泄露的。目前 Simpli 公司暫未對(duì)此做出回應(yīng)。

用戶憑證

供應(yīng)鏈攻擊風(fēng)險(xiǎn)

此類泄密事件凸顯了使用第三方服務(wù)的固有風(fēng)險(xiǎn)，這些服務(wù)可能會(huì)帶來供應(yīng)鏈攻擊的風(fēng)險(xiǎn)。在這種網(wǎng)絡(luò)攻擊中，威脅者往往會(huì)尋找供應(yīng)網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，而不是直接針對(duì)一家公司。

攻擊者攻破一個(gè)供應(yīng)商，就有可能影響到使用該供應(yīng)商產(chǎn)品或服務(wù)的公司。從第三方供應(yīng)商處提取的憑據(jù)對(duì)于已經(jīng)瞄準(zhǔn)一家公司的惡意行為者來說可能非常有用。

零售商 Target 就曾遭受過此類攻擊。2013 年，惡意行為者入侵了 Target 的制冷、供暖和空調(diào)分包商 Fazio Mechanical，并將惡意軟件傳播到 Target 的大部分銷售點(diǎn)設(shè)備。據(jù)報(bào)道，惡意軟件當(dāng)時(shí)共收集到了大約 4000 萬張借記卡和信用卡的財(cái)務(wù)信息。

因此，提供第三方服務(wù)的公司和組織應(yīng)該對(duì)網(wǎng)絡(luò)安全問題格外保持警惕，因?yàn)檫@些公司極有可能會(huì)成為攻擊者的目標(biāo)。