安全公司Carbon Black被指控泄漏TB级的客户数据,涉及多个全球1000强企业

简介: 本文讲的是安全公司Carbon Black被指控泄漏TB级的客户数据,涉及多个全球1000强企业,近日,根据管理安全策略提供商DirectDefense的调查显示,不少财富1000强企业的敏感数据存在泄露风险,而这些公司都采用了EDR安全公司Carbon Black的解决方案。
本文讲的是 安全公司Carbon Black被指控泄漏TB级的客户数据,涉及多个全球1000强企业近日,根据管理安全策略提供商DirectDefense的调查显示,不少财富1000强企业的敏感数据存在泄露风险,而这些公司都采用了EDR安全公司Carbon Black的解决方案。据了解,泄露的数据达 TB 级别,且数据内容包括用户机密数据、财务记录、网络情报以及其它机密敏感数据。

安全公司Carbon Black被指控泄漏TB级的客户数据,涉及多个全球1000强企业

EDR产品的运作方式是有问题的
EDR解决方案是通过管理文件和应用白名单来实现的。当EDR产品找到不包含在其数据库的新文件时,就会把这个新文件上传到他们的云服务器中,然后使用多重引擎扫描来确认安全性(比如VirusTotal)。
EDR云根据多重扫描的结果确认这个文件是进入白名单还是列入黑名单。但问题在于,即便EDR和多重扫描都使用哈希值对文件重命名了,所有文件的副本还是保留在多重引擎扫描的云服务器上。
CB的这些服务多是采用pay-for-access支付方式,任何人都可以访问过去扫描过的文件,甚至可以下载副本进行深入分析。基于此,DirectDefense发现了CB的客户数据泄露。
数据泄漏发现在2016年中期
DirectDefense总裁吉姆·布鲁姆(Jim Broome)表示:“这可以说是全世界最大的付费数据渗透僵尸网络。2016年中期,我们一直都是使用基于云的多重引擎扫描来帮助安全研究和分析恶意软件。而多重引擎扫描中有个很有用的功能——我们可以在上下文中搜索类似的恶意软件,基于这个功能,我们偶然发现了几个特别的文件。这些文件看似是电信设备供应商的内部文件,其实并不是。顺着兔子洞继续向下挖掘,最终从同一个上传者那里追踪到了很多其他文件。

DirectDefense 表示在深入调查后,研究团队发现了这些上传文件使用的 API 密钥(32d05c66)。一旦团队拥有该主密钥,就可以找到 “数十万个、TB级别的数据文件”。

安全公司Carbon Black被指控泄漏TB级的客户数据,涉及多个全球1000强企业

事件涉及多家财富1000强企业数据
深入调查之后,DirectDefense在昨天发表的一份报告中称,他们发现了一大堆敏感数据,其中大部分来自“财富”1000强企业。以下是DirectDefense的一些发现: 
某大型流媒体企业:泄漏AWS和IAM身份凭证、Slack API 密码、Atlassian团队密码、管理员凭证、Google Play 密码、Apple Store ID
某社交网络企业:硬加密的 AWS和 Azure 密码、内部用户名和密码
某金融服务企业:涉及金融数据的 AWS 密码、涉及交易机密、金融模型、客户信息的数
其他EDR提供商可能受到影响
DirectDefense怀疑其它EDR产品提供商可能也存在泄露客户文件的风险,不仅限于Carbon Black。在被安全公司曝光几天之后,Carbon Black终于给出了回复。
Carbon Black 昨天给出回应称实际上DirectDefense提到的多重扫描服务特性在默认的情况下是不予启用的,用户一旦启用此功能时,就会收到与第三方共享数据的警告。



原文发布时间为:2017年8月14日
本文作者:Change
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
8月前
|
监控 搜索推荐 安全
企业出海数据合规:GDPR和CCPA差异知多少
GDPR和CCPA在地域管辖、跨境传输活动的管控、针对儿童个人信息处理活动的规制以及数据主体反对数据处理的权利等方面存在差异。GDPR管辖范围更广,更注重保护用户数据,而CCPA更侧重于促进数据的流动和经济价值。在跨境传输方面,GDPR有严格的限制,而CCPA没有明确规定。
295 0
按键精灵实现交易开拓者TB自动化优化参数
按键精灵实现交易开拓者TB自动化优化参数
250 0
|
存储 安全 算法
【数据安全】什么是数据标记化?市场规模、用例和公司
数据正在推动全球经济。从初创企业到企业,整个工业部门的组织都希望完善其数据管理模型,标记化是他们的一个重要关注领域。在接下来的研究讨论中,我们将阐述数据标记化的范围和意义,它在现代企业中的作用,以及最终在行业中处于领先地位的关键公司。
|
安全 iOS开发
PCI DSS 2.0标准出炉 未涉及移动支付技术
PCI安全标准委员会在10月28日下午发布了PCI DSS(支付卡行业数据安全标准)第二版。PCI安全标准委员会负责制定商家和服务提供商处理敏感的持卡人数据的网络和安全标准。 据PCI安全标准委员会总经理Bob Russo说,新标准对于目前的PCI DSS 1.2版标准没有重大的修改。
1096 0
|
存储 人工智能 运维
金融安全资讯精选 2018年第四期:百万亿智能金融市场的风口与风险,MySQL最新安全漏洞快讯,从存储角度对比云上和线下环境安全性,华数TV迁云背后的安全思考
百万亿智能金融市场的风口与风险,MySQL最新安全漏洞快讯,从存储角度对比云上和线下环境安全性,华数TV迁云背后的安全思考
2207 0