美國安全公司Carbon Black客戶敏感文件泄露

前言

信息安全公司DirectDefense發布博文聲稱在美國公司Carbon Black提供的端點檢測和響應 (EDR) 解決方案中發現一個重大問題，後者泄露了客戶數萬份敏感文件。但Carbon Black公司認為這並非自己的錯。 Carbon Black公司是一家向美國100家最大的公有和私有企業中的30家提供安全產品的領先事件響應和威脅應對公司，行業涉及矽谷互聯網搜索、社交媒體、政府和金融。

DirectDefense聲稱Carbon Black泄露數據

DirectDefense公司指出，Carbon Black公司泄露的客戶數據包括雲密鑰、應用商店密鑰、憑證以及其它敏感商業機密，造成這種結果的原因是Carbon Black公司對第三方多頻掃描器服務的依賴。 Carbon Black公司專註於下一代殺毒和端點檢測和響應解決方案，在雲平台上阻止惡意軟體和其它網路攻擊。這款產品首先會識別出「好的」和「壞的」文件，然後創建白名單阻止客戶在系統上運行有害文件。因此該工具持續評估大量且還在不斷增長的文件中是否存在潛在感染。 DirectDefense公司聲稱，當這款工具在客戶計算機上發現了之前從未見到過的新文件，就會首先將文件上傳至Carbon Black伺服器，然後將文件副本轉發到谷歌的VirusTotal多頻掃描服務來檢測文件是否是惡意的。 DirectDefense公司認為，VirusTotal是一家盈利性企業。惡意軟體分析師、政府、企業安全團隊、安全公司等等只要願意付錢就能訪問提交至該公司的文件。DirectDefense公司的總裁Jim Broome認為這個計劃是「世界上最大的付費播放數據提取殭屍網路」。 Broome還指出，他在2016年中就發現了這個問題，當時他正在調查客戶計算機上的一起潛在數據泄露事件。當他的員工使用VirusTotal雲多頻掃描器查找可能感染其客戶的惡意軟體時，發現了屬於「一家非常大型的電信設備廠商」的大量內部應用程序。 深入分析后，Broome團隊根據其唯一的API密鑰 (32d05c66) 判斷，這些文件是由Carbon Black公司上傳的。一旦他們獲得主鍵標，就能定位「大小為幾個G的數萬份文件」。

DirectDefense發現數家頂級公司敏感數據被泄露

Broome表示，團隊成員下載的文件屬於三家公司但並未透露它們的具體名稱。相關信息如下：

一家大型流媒體公司，被泄露的敏感信息包括：AWS（亞馬遜網路服務）身份信息和IAM（訪問管理）憑證、Slack API密鑰、公司的Crowd（Atlassian單點登入）、管理員憑證、Google Play密鑰、Apple Store ID

社交媒體公司，被泄露的敏感信息包括：硬編碼的AWS和Aure密鑰、其它內部專有信息如用戶名和密碼

金融服務公司，被泄露的敏感信息包括：給予客戶金融數據訪問許可權的共享AWS密鑰、包含金融模型可能有明文客戶數據的商業機密

Carbon Black解釋數據泄露原委

然而，Carbon Black公司回應表示，其CB響應工具並沒有自動將所有文件上傳至VirusTotal，該功能默認是禁用的，由用戶選擇是否使用多頻掃描器服務。

該公司首席信息執行官表示，「CB響應工具具有一種功能，能讓客戶將未知或可疑的二進位自動上傳到基於雲的多頻掃描器（尤其是VirusTotal）中。客戶可選擇使用這些服務，而我們已經警告客戶關於共享方面的隱私風險。如果客戶啟用了第二種選擇（通過VirusTotal完成二進位），那麼CB響應工具就會發出明確的警告信息確保客戶已理解其中的風險。」也就是說，這些財富1000強公司是偶然（但明白地）將敏感數據泄露出去的。

正因國外信息安全公司有諸多不可把控的因所，所以才大力推進去IOE化進程。在國際網路信息戰和去「IOE」的大背景下，我們應該更深刻地認識到：維護網路空間主權的重要性；堅持網路安全與信息化發展並重的指導思路；堅持社會各界共同參與網路安全治理工作；重點保護關鍵信息基礎設施；嚴厲打擊網路非法行為，決不姑息；監測預警與應急處置措施制度化、法制化。優炫軟體將繼續緊跟國家戰略，加快國際化發展步伐，實現科技報國的企業夙願，助力實現「夢」和中華民族偉大復興。

內容來源：安全客