翻译:360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
前言
信息安全公司DirectDefense发布博文声称在美国公司Carbon Black提供的端点检测和响应 (EDR) 解决方案中发现一个重大问题,后者泄露了客户数万份敏感文件。但Carbon Black公司认为这并非自己的错。
Carbon Black公司是一家向美国100家最大的公有和私有企业中的30家提供安全产品的领先事件响应和威胁应对公司,行业涉及硅谷互联网搜索、社交媒体、政府和金融。
DirectDefense声称Carbon Black泄露数据
DirectDefense公司指出,Carbon Black公司泄露的客户数据包括云密钥、应用商店密钥、凭证以及其它敏感商业机密,造成这种结果的原因是Carbon Black公司对第三方多频扫描器服务的依赖。
Carbon Black公司专注于下一代杀毒和端点检测和响应解决方案,在云平台上阻止恶意软件和其它网络攻击。这款产品首先会识别出“好的”和“坏的”文件,然后创建白名单阻止客户在系统上运行有害文件。因此该工具持续评估大量且还在不断增长的文件中是否存在潜在感染。
DirectDefense公司声称,当这款工具在客户计算机上发现了之前从未见到过的新文件,就会首先将文件上传至Carbon Black服务器,然后将文件副本转发到谷歌的VirusTotal多频扫描服务来检测文件是否是恶意的。
DirectDefense公司认为,VirusTotal是一家盈利性企业。恶意软件分析师、政府、企业安全团队、安全公司等等只要愿意付钱就能访问提交至该公司的文件。DirectDefense公司的总裁Jim Broome认为这个计划是“世界上最大的付费播放数据提取僵尸网络”。
Broome还指出,他在2016年中就发现了这个问题,当时他正在调查客户计算机上的一起潜在数据泄露事件。当他的员工使用VirusTotal云多频扫描器查找可能感染其客户的恶意软件时,发现了属于“一家非常大型的电信设备厂商”的大量内部应用程序。
深入分析后,Broome团队根据其唯一的API密钥 (32d05c66) 判断,这些文件是由Carbon Black公司上传的。一旦他们获得主键标,就能定位“大小为几个G的数万份文件”。
DirectDefense发现数家顶级公司敏感数据被泄露
Broome表示,团队成员下载的文件属于三家公司但并未透露它们的具体名称。相关信息如下:
一家大型流媒体公司
被泄露的敏感信息包括:
AWS(亚马逊网络服务)身份信息和IAM(访问管理)凭证
Slack API密钥
公司的Crowd(Atlassian单点登入)
管理员凭证
Google Play密钥
Apple Store ID
社交媒体公司
被泄露的敏感信息包括:
硬编码的AWS和Aure密钥
其它内部专有信息如用户名和密码
金融服务公司
被泄露的敏感信息包括:
给予客户金融数据访问权限的共享AWS密钥
包含金融模型可能还有明文客户数据的商业机密
Carbon Black解释数据泄露原委
然而,Carbon Black公司回应表示,其CB响应工具并没有自动将所有文件上传至VirusTotal,该功能默认是禁用的,由用户选择是否使用多频扫描器服务。
该公司首席信息执行官表示,“CB响应工具具有一种功能,能让客户将未知或可疑的二进制自动上传到基于云的多频扫描器(尤其是VirusTotal)中。客户可选择使用这些服务,而我们已经警告客户关于共享方面的隐私风险。如果客户启用了第二种选择(通过VirusTotal完成二进制),那么CB响应工具就会发出明确的警告信息确保客户已理解其中的风险。”
也就是说,这些财富1000强公司是偶然(但明白地)将敏感数据泄露出去的。