DirectDefense:世界1000强企业百万兆字节数据泄漏

DirectDefense 公司(提供安全管理和战略咨询服务)调查发现,使用了Carbon Black 端点检测和响应(EDR)解决方案产品的客户的敏感数据可以利用multiscanner服务搜索到。

令人震惊的数据泄漏与一个APIkey有关,DirectDefense声称它属于Carbon Black Cb Response,即Carbon Black公司推出的下一代的反恶意软件EDR产品。

首先需要理解EDR产品的操作原理

Carbon Black 公司的前身是Bit9,公司专注于端点安全业务。Bit9曾经以完美抵抗“Flame超级火焰病毒”而闻名,使用白名单技术防护端点安全,这与传统的端点防护很不一样。之后,由于本身的缺陷(一旦被绕过,就无能为力),Bit9 公司收购了以“检测和响应”为核心技术的Carbon Black公司,加上本身的白名单“预防”功能,形成了比较完成的防护链。之后正式更名为Carbon Black,公司业务发展迅速,很多财富100强企业和政府机构都是Carbon Black的客户。

EDR的解决方案主要就是通过白名单的机制对文件和应用程序进行管理。当EDR产品检测到一个新的、不包含在数据库中的文件时,会将其上传到自己的云服务,然后将它上传到multiscanner服务(类似VirusTotal)。

EDRcloud会聚合所有multiscanner服务扫描的结果,并决定一个文件应该划归在白名单还是黑名单。这里就存在一个问题,即使EDR和multiscanner使用哈希表重命名文件,但这些文件的副本仍保存在multiscanner服务中。

大多数的Multiscanners服务采用了 “pay-for-access”(付费访问)模式,允许任何人访问过去扫描过的文件中的威胁情报数据,甚至可以下载副本以作进一步的分析。这就是DirectDefense 发现的Carbon Black数据泄漏的根源。

2016年中发现了数据泄漏

DirectDefense的总裁Jim Broome称:“2016年中,我们的一些工作人员正在客户现场帮忙调查潜在的数据泄漏情况,作为调查的一部分,工作人员使用基于云的multiscanner 的一个分析接口分析一个潜在的恶意软件。这个multiscanner服务的个特点是允许用户搜索类似的恶意软件以获取相关的背景,在这样做的过程中,我们发现了几个非常不同的文件,似乎是从一个非常大的电信设备供应商的内部应用程序文件。”

DirectDefense 继续深入调查,最终从同一个上传者处找到了一大批文件。

“ multiscanner服务使用一个API key代表上传者的身份,在我们发现的案例中,值为:32d05c66。通过研究,我们确定这是通过Carbon Black for Cb Response上传文件的主键,而Carbon Black for Cb Response是Carbon Black公司的旗舰EDR产品。

DirectDefense:世界1000强企业百万兆字节数据泄漏

DirectDefense说,他们寻找这个API key 上传的类似文件 ,发现了成千上万个文件,大约百万兆字节的数据。”

DirectDefense下载了100个文件作进一步分析并发表的一份研究报告,报告中称,他们发现了一个敏感数据的宝库,其中大部分来自世界1000强企业,如:

大型流媒体公司

  • Amazon Web Services (AWS)身份和访问管理(IAM)证书(公司用户)
  • Slack API keys(公司用户)
  • 公司的Crowd(Atlassian单点登录)管理员凭据
  • Google Play keys
  • Apple Store ID

社交媒体公司

  • 硬编码的AWS和Azure密钥
  • 其他内部的敏感信息,如用户名和密码

金融服务公司

  • 允许访问客户财务数据的共享的AWS密钥
  • 包括财务模型和可能直接消费者数据的商业秘密

Broome说,当他们发现客户的内部文件正在上传到multiscanner时,他们决定公开这次泄漏事件。同时还说道,DirectDefense并没有故意创建一个工具来搜索这些敏感文件,也不是为了表现自己,公开这个问题是为了使公司和EDR供应商可以采取预防措施来防止这种泄漏。

其他的EDR供应商也可能受到影响

DirectDefense 总裁称,怀疑其他的EDR供应商也可能以同样的方式泄露客户的文件,这不是Carbon Black一家公司的问题

2017年8月9日上午11:15,Carbon Black通过博客对DirectDefense的调查做了回应。Carbon Black的首席技术官Michael Viscuso说multiscanner的功能并不是默认开启的,当用户启用该功能时,他们会收到警告,这里有一个第三方的数据共享。

另外,在Reddit上,一名Carbon Black 成员称,许多客户都要求集成扫描信息,而且他还指责DirectDefense的做法是“严重不负责任的披露,以我们公司和其他三家企业为例,我们和客户同时听到了这一消息”。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/104742.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code