埃森哲的几台服务器泄密,大量高度敏感的数据岌岌可危
四台泄密的服务器居然没有密码,却又含有“通向数据王国的钥匙”。
科技和云巨头埃森哲近日证实,它不小心任由大量的秘密数据存放在四台未加保护的云服务器上,泄露了高度敏感的密码和解密密钥,从而有可能给这家公司及其客户造成严重破坏。
这些服务器托管在亚马逊的S3存储服务上,含有这家公司的企业云平台的数百GB数据。该公司声称,该企业云平台为《财富》100强中的大多数企业提供支持服务。
谁要是知道这些服务器的Web地址,不用密码就可以下载这些数据。
安全公司UpGuard的网络安全研究主任克里斯•维克里(ChrisVickery)在9月中旬发现了这些数据,并私下告知了埃森哲这次泄密。次日,四台服务器悄然采取了相应的安全措施。
据维克里声称,这台四服务器含有的资料相当于“通向数据王国的钥匙”,他上周在电话中告诉IT外媒ZDNet。
每台服务器含有诸多不同类型的登录信息(credential),包括私密的签名密钥(可用来冒充这家公司)和密码(其中一些密码居然是以明文格式存储的)。
维克里表示,他还发现了埃森哲用于其亚马逊网络服务的密钥管理系统(KMS)的主密钥(masterkey);主密钥一旦失窃,攻击者就有可能全面掌控这家公司存储在亚马逊服务器上的已加密数据。
安全专家肯尼思•怀特(Kenneth White)表示,“对云服务提供商而言,没有比主密钥泄露更糟糕的事情了。”
怀特说:“该KMS主密钥保护的任何资产和基础设施势必会完全受到危及。”
其他服务器中有一台含有的文件夹存储了用来解密在埃森哲与客户之间在互联网上传输的内容的密钥和证书。维克里表示,除了让攻击者得以进入埃森哲内部企业网络的虚拟专用网密钥外,他还发现了似乎与埃森哲访问谷歌云平台和微软Azure有关的登录信息,这些登录信息让攻击者得以进一步访问该公司的云资产。
据维克里声称,最庞大的一台服务器含有逾137GB的数据,包括收录了用户登录信息的庞大数据库,其中一些登录信息似乎直接与埃森哲客户有关。维克里还发现了一个备用数据库中的将近40000个密码,绝大多数密码是以明文格式存储的。
ZDNet首次联系埃森哲时,这家公司对这次泄密轻描淡写,表示泄密数据不到其云服务的0.5%,“我们客户的信息根本没有受到影响,我们的任何客户并未面临任何风险”,还提到这家公司采用了“多层次安全模型”。
我们根据维克里所见到的信息对这一说法提出质疑时,埃森哲发言人随后改口称,公司正在调查之中。
发言人说:“有人首次报告亚马逊网络服务S3问题后,我们就堵住了外泄。随着我们深入开展取证分析审查工作,可能会了解更多情况,但是数据库里面的电子邮件和密码信息是两年半以前的,牵涉的是使用一个已停用的系统的埃森哲用户。”
埃森哲不是第一家遭遇这种数据泄密事件的公司。近几个月,一连串知名公司(包括几家电话公司和选民记录分析公司)之所以泄露了敏感数据,就是由于它们任由各自的亚马逊云服务器敞开大门、未加保护。
维克里表示,埃森哲可能使用亚马逊服务器将数据从开发环境迁移到生产环境。虽然他发现的部分数据包含测试帐户,但他表示,“要是我愿意钻其空子,许多登录信息将让我得以进一步访问大量的客户数据。”
维克里告诉ZDNet:“但要是我掌握其生产环境的登录信息,可以这么说,任何使用埃森哲的云平台的人都面临很大的风险。”
UpGuard的丹•奥沙利文(Dan O’Sullivan)在博客上谈到了发现的这些数据,他表示黑客很有可能已对埃森哲及使用其云的客户造成了“数额不明的经济损失。”
我们询问是否别人访问了这些服务器,公司发言人表示,系统日志显示“只有一个未经授权的IP地址有访问过,我们后来查到该IP地址属于一名数据安全顾问,他在大概两周前联系过我们,说起过此事。”
我们联系了登录信息出现在数据中的几家公司。
在本文刊发之前,没有一家公司正式表态。不过有一家公司声称,他们联系埃森哲后,该公司告诉他们:它“没意识到”有任何泄密事件。
被问及时,发言人不愿表示是否已向埃森哲的任何客户告知了数据泄密事件。
◆来源:搜狐
◆本文版权归原作者所有,如有侵权请联系我们及时删除
最新评论