德勤被黑真相

9月25日（本周一），全球“四大”会计事务所之一的德勤遭遇黑客攻击的新闻被该公司当做小事一桩地忽略而过。

现在，有证据显示，该公司的系统能够被黑客渗透是有原因的：他们的安全措施可谓不堪一击：关键系统的远程桌面协议（RDP）是开放的，VPN和代理的详细登录信息也已经泄露。

本周二（9月26日），有研究人员在一个公开的GitHub存储库中发现了藏有德勤公司VPN密码、用户名以及操作细节的一系列数据包，这些数据包目前已被移除。此外，德勤的一名员工似乎还将公司代理登录凭证上传到了公开的Google+页面中。这些信息在Google+页面上滞留了超过6个月时间，刚在过去几分钟内才被删除。

有眼尖的访客发现了这些页面并告知了我们，下面是我们抓取的几张数据截图：

除了泄漏公司的登录信息之外，德勤公司大量的内部和关键系统的远程桌面协议（RDP）也是可以公开访问的。按照行业最佳实践，所有这些设备都应该置于防火墙和双因素身份验证防护之下的。而且，讽刺的是，德勤公司为其客户推荐的最佳做法也是这样的，然而，其自身却并没有落实。

Phobos Group的创始人兼安全研究人员Dan Tentler在接受访问时表示：

“仅仅是最后的一天，我就发现了7000-1.2万台德勤的开放主机遍布在全球各地。它们涉及全球数十个业务部门，也就是数十个拥有不同能力水平的IT部门。我只能说：这次真的是糟糕透了。”

举个例子，研究人员在南非发现了一台德勤的Windows Server 2012 R2服务器，似乎正作为活动目录（AD）服务器在使用，其远程桌面协议（RDP）是开放的，而且更糟糕的是，其安全更新仍处于等待安装的状态。其他案例也显示，IT部门正在使用过时的软件，且各种安全措施失效等。

除此之外，安全研究人员还发现，目前还有很多其他东西正在网上暴露着，使用Shodan搜索引擎就能搜索到，等于是在等着犯罪分子和其他好奇的人进行刺探。Kevin Beaumont就在其Twitter中表示，

“德勤美国办事处的几乎所有东西都在网上挂着——从NetBIOS到RDP再到Exchange管理员密码（单因素验证）等等。他们真的需要一名安全审计员。”

研究人员指出，这些毫无设防的系统可以被黑客用作进入其（德勤）内部网络的关键立足点，等于为黑客入侵敞开了大门。

而暴露的Google+页面似乎表明，这名德勤员工已经将VPN访问控制写进了其所有人可见的个人页面中。只需要使用谷歌的搜索功能，黑客就可以轻松地找到足够的信息来发起成功率很高的攻击活动。

后续影响

而最令人尴尬的是，这一切就发生在2012年获得“全球顶级IT安全咨询公司”称号的德勤公司身上。该公司致力于为全球顶尖企业和政府机构出售高科技服务，并赚取巨额盈利，但是，其似乎忽略了自身IT基础设施中的潜在漏洞。

目前不断涌现的信息对分析公司Gartner而言同样十分尴尬，因为该公司在今年6月份已经连续5年提名德勤为“全球最佳IT安全咨询公司”。Gartner目前尚未就“关于其结论是如何得出的”询问做出任何回应。

据悉，德勤的商业做法一直不太被其他安全研究人员所喜欢。该公司一直喜欢与其他服务承包商打“价格战”，破坏市场秩序——尤其是在渗透测试领域，此次德勤曝出如此安全丑闻，想必有些企业应该会感到幸灾乐祸。一位网名为“Responder”的人士就在其Twitter上发文嘲笑称，

“德勤一直喜欢打‘价格战’，收费少于1000／人／日。现在好了，你可以看到这种价格买到的到底是什么服务质量了。”

Tentler也表示，

“从Equifax和德勤事件中不难看出，美国安全行业公司的各种豪言壮语不过是‘纸糊的灯笼’，中听不中用，实际上都是只说不做的假把式。可能你会想说，德勤不是宣称自己有各种大神级安全人才吗，但是如果事实真的是那样，他们为什么不在自己的基础设施上利用这些大牛？”

截止文章发稿之时，德勤公司尚未对该评论做出任何回应。