安全公司Carbon Black客户数据泄漏:多家财富1000强企业TB级别隐私数据流出

小龙 2017-8-11 最新资讯 0 0

8 月 9 日,安全公司 Carbon Black 被控泄露 TB 级别其客户企业的机密数据。泄露的数据来自多家财富 1000 企业,数据内容包括了用户机密数据、财务记录、网络情报和其它敏感数据。安全管理策略提供商 DirectDefense 的公开博客中写道,这些企业所采用的 Carbon Black EDR(终端检测及响应)安全解决方案中存在问题,正在泄漏数十万个敏感文件。面对指控,安全公司 Carbon Black 则表示并非是他们将客户敏感数据泄漏出去,相反,正是这些使用EDR方案的企业自己,也许是偶然地,将自己的敏感数据泄露在云端服务器上。

安全公司 Carbon Black 数据泄漏:多家 Fortune 1000 企业隐私数据流出

Carbon Black 是一家领先的事件响应和威胁狩猎公司,被誉为新一代的安全领先企业,目前为美国近三十个最大的公营及私营公司提供安全产品,客户中还包括硅谷领先的互联网搜索、社交媒体、政府和金融相关企业。

问题在于 EDR 的产品运作流程

EDR解决方案的工作流程是管理列入白名单的文件和应用程序。当EDR产品找到不包含在其数据库中的新文件时,会把这个新文件上传到他们的云服务器中,然后使用多重引擎扫描确认安全性(如VirusTotal)。根据多重扫描的结果,它会确认这个文件是否可以进入白名单,还是列入黑名单。问题在于,即便EDR和多重扫描都使用哈希值对文件重命名了,所有文件的副本还是保留在多重引擎扫描的云服务器上。

多数多重扫描支持付费访问模式,而多数恶意软件分析师、政府部门、以及企业安全团队、安全公司都会为相关人员购买使用权限。这样这些人都可以看到过去扫描存储的文件,甚至下载这些文件进行深度分析!

—— DirectDefense

DirectDefense 的 Jim Broome 说,

这可以说是全世界最大的付费参与的数据渗透僵尸网络。

2016年中期,我们使用了基于云的多重引擎扫描来帮助安全研究,分析恶意软件。而多重引擎扫描中有个很有用的功能——我们可以在上下文中搜索类似的恶意软件,在这样做时,我们偶然发现了几个特别的文件。这些文件看似是这些似乎电信设备供应商的内部文件,与我们的原始客户完全不相关。我们顺着兔子洞继续向下挖掘,最终得到了很多其他文件。

安全公司 Carbon Black 数据泄漏:多家 Fortune 1000 企业隐私数据流出

DirectDefense 在深入调查后,研究团队发现这些上传文件使用的 API 密钥(32d05c66)。一旦团队拥有该主键,就可以找到 “数十万个、TB级别的数据文件”。

事件涉及多家财富 1000 强企业数据

DirectDefense 表示他们发现的敏感数据涉及的企业,大部分来自财富1000强企业,如大型流媒体、社交网络、金融机构等企业。

某大型流媒体企业:泄漏AWS和IAM身份凭证、Slack API 密码、Atlassian团队密码、管理员凭证、Google Play 密码、Apple Store ID

某社交网络企业:硬加密的 AWS和 Azure 密码、内部用户名和密码

某金融服务企业:涉及金融数据的 AWS 密码、涉及交易机密、金融模型、客户信息的数据

DirectDefense同时表示,他们将这些信息通告出来,并不是希望攻击某些客户或安全厂商

Carbon Black 回应

面对 DirectDefense 的指控,Carbon Black 联合创始人兼首席技术官 Michael Viscuso 发布回应称,他们的产品并不会将所有文件自动上传到 VirusTotal 上,与此相反,默认情况下是禁用这项上传功能的。

屏幕快照 2017-08-10 上午11.44.20.png

“Cb Response 具备这样的功能,让用户将未知可疑文件上传到云端多重扫描器上进行自动识别。我们也在用户选择这些服务的时候,一并告之这些用户共享文件的隐私风险。

如果用户启用了第二个选项(允许使用VirusTotal上传完整的二进制文件),Cb Response会确保用户明确了解上传文件的风险,并提供了警示信息。

DirectDefense也在最新的声明中提到,Carbon Black 的说法的确属实。但现实情况就是, EDR 产品出现的这个数据泄漏问题,可能并非 Carbon Black 独有,其他的 EDR 供应商也可能以同样的方式泄露客户的数据。

*参考来源:bleepingcomputer / thehackernews ,Elaine编译,转载请注明FreeBuf.COM

转载请注明来自华盟网,本文标题:《安全公司Carbon Black客户数据泄漏:多家财富1000强企业TB级别隐私数据流出》

喜欢 (0) 发布评论