导语:近日,根据管理安全策略提供商DirectDefense的调查显示,不少财富1000强企业的敏感数据存在泄露风险,而这些公司都采用了EDR安全公司Carbon Black的解决方案。

近日,根据管理安全策略提供商DirectDefense的调查显示,不少财富1000强企业的敏感数据存在泄露风险,而这些公司都采用了EDR安全公司Carbon Black的解决方案。据了解,泄露的数据达 TB 级别,且数据内容包括用户机密数据、财务记录、网络情报以及其它机密敏感数据。

1.png

EDR产品的运作方式是有问题的
EDR解决方案是通过管理文件和应用白名单来实现的。当EDR产品找到不包含在其数据库的新文件时,就会把这个新文件上传到他们的云服务器中,然后使用多重引擎扫描来确认安全性(比如VirusTotal)。
EDR云根据多重扫描的结果确认这个文件是进入白名单还是列入黑名单。但问题在于,即便EDR和多重扫描都使用哈希值对文件重命名了,所有文件的副本还是保留在多重引擎扫描的云服务器上。
CB的这些服务多是采用pay-for-access支付方式,任何人都可以访问过去扫描过的文件,甚至可以下载副本进行深入分析。基于此,DirectDefense发现了CB的客户数据泄露。
数据泄漏发现在2016年中期
DirectDefense总裁吉姆·布鲁姆(Jim Broome)表示:“这可以说是全世界最大的付费数据渗透僵尸网络。2016年中期,我们一直都是使用基于云的多重引擎扫描来帮助安全研究和分析恶意软件。而多重引擎扫描中有个很有用的功能——我们可以在上下文中搜索类似的恶意软件,基于这个功能,我们偶然发现了几个特别的文件。这些文件看似是电信设备供应商的内部文件,其实并不是。顺着兔子洞继续向下挖掘,最终从同一个上传者那里追踪到了很多其他文件。

DirectDefense 表示在深入调查后,研究团队发现了这些上传文件使用的 API 密钥(32d05c66)。一旦团队拥有该主密钥,就可以找到 “数十万个、TB级别的数据文件”。

2.png

事件涉及多家财富1000强企业数据
深入调查之后,DirectDefense在昨天发表的一份报告中称,他们发现了一大堆敏感数据,其中大部分来自“财富”1000强企业。以下是DirectDefense的一些发现: 
某大型流媒体企业:泄漏AWS和IAM身份凭证、Slack API 密码、Atlassian团队密码、管理员凭证、Google Play 密码、Apple Store ID
某社交网络企业:硬加密的 AWS和 Azure 密码、内部用户名和密码
某金融服务企业:涉及金融数据的 AWS 密码、涉及交易机密、金融模型、客户信息的数
其他EDR提供商可能受到影响
DirectDefense怀疑其它EDR产品提供商可能也存在泄露客户文件的风险,不仅限于Carbon Black。在被安全公司曝光几天之后,Carbon Black终于给出了回复。
Carbon Black 昨天给出回应称实际上DirectDefense提到的多重扫描服务特性在默认的情况下是不予启用的,用户一旦启用此功能时,就会收到与第三方共享数据的警告。
源链接

Hacking more

...