安全公司Carbon Black被指控泄漏TB級的客戶數據，涉及多個全球1000強企業

近日，根據管理安全策略提供商DirectDefense的調查顯示，不少財富1000強企業的敏感數據存在泄露風險，而這些公司都採用了EDR安全公司Carbon Black的解決方案。據了解，泄露的數據達 TB 級別，且數據內容包括用戶機密數據、財務記錄、網路情報以及其它機密敏感數據。

EDR產品的運作方式是有問題的

EDR解決方案是通過管理文件和應用白名單來實現的。當EDR產品找到不包含在其資料庫的新文件時，就會把這個新文件上傳到他們的雲伺服器中，然後使用多重引擎掃描來確認安全性（比如VirusTotal）。

EDR雲根據多重掃描的結果確認這個文件是進入白名單還是列入黑名單。但問題在於，即便EDR和多重掃描都使用哈希值對文件重命名了，所有文件的副本還是保留在多重引擎掃描的雲伺服器上。

CB的這些服務多是採用pay-for-access支付方式，任何人都可以訪問過去掃描過的文件，甚至可以下載副本進行深入分析。基於此，DirectDefense發現了CB的客戶數據泄露。

數據泄漏發現在2016年中期

DirectDefense總裁吉姆·布魯姆（Jim Broome）表示：「這可以說是全世界最大的付費數據滲透殭屍網路。2016年中期，我們一直都是使用基於雲的多重引擎掃描來幫助安全研究和分析惡意軟體。而多重引擎掃描中有個很有用的功能——我們可以在上下文中搜索類似的惡意軟體，基於這個功能，我們偶然發現了幾個特別的文件。這些文件看似是電信設備供應商的內部文件，其實並不是。順著兔子洞繼續向下挖掘，最終從同一個上傳者那裡追蹤到了很多其他文件。

DirectDefense 表示在深入調查後，研究團隊發現了這些上傳文件使用的 API 密鑰（32d05c66）。一旦團隊擁有該主密鑰，就可以找到 「數十萬個、TB級別的數據文件」。

事件涉及多家財富1000強企業數據

深入調查之後，DirectDefense在昨天發表的一份報告中稱，他們發現了一大堆敏感數據，其中大部分來自「財富」1000強企業。以下是DirectDefense的一些發現：

某大型流媒體企業：泄漏AWS和IAM身份憑證、Slack API 密碼、Atlassian團隊密碼、管理員憑證、Google Play 密碼、Apple Store ID

某社交網路企業：硬加密的 AWS和 Azure 密碼、內部用戶名和密碼

某金融服務企業：涉及金融數據的 AWS 密碼、涉及交易機密、金融模型、客戶信息的數

其他EDR提供商可能受到影響

DirectDefense懷疑其它EDR產品提供商可能也存在泄露客戶文件的風險，不僅限於Carbon Black。在被安全公司曝光幾天之後，Carbon Black終於給出了回復。

Carbon Black 昨天給出回應稱實際上DirectDefense提到的多重掃描服務特性在默認的情況下是不予啟用的，用戶一旦啟用此功能時，就會收到與第三方共享數據的警告。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！