您的位置:首页>科技 >内容

暴露的密码允许黑客访问内部Comodo文件

2019-07-28 12:10:42来源:
导读黑客通过使用错误地在互联网上暴露的电子邮件地址和密码,获得了安全公司和SSL证书颁发者Comodo拥有的内部文件和文档的访问权限。凭证在Com

科摩

黑客通过使用错误地在互联网上暴露的电子邮件地址和密码,获得了安全公司和SSL证书颁发者Comodo拥有的内部文件和文档的访问权限。凭证在Comodo软件开发人员拥有的公共GitHub存储库中找到。通过手中的电子邮件地址和密码,黑客能够登录公司的Microsoft托管云服务。该帐户未受双因素身份验证保护。发现该证书的荷兰安全研究员Jelle Ursem与WhatsApp联系Comodo副总裁Rajaswi Das以确保账户安全。密码在第二天被撤销。

Ursem告诉TechCrunch,该帐户允许他访问内部Comodo文件和文档,包括公司OneDrive中的销售文档和电子表格 - 以及公司在SharePoint上的组织图,使他能够查看团队的传记,联系信息,包括电话号码和电子邮件地址,照片,客户文档,日历等。

Comodo内部网站上的员工日历的屏幕截图。(图片:提供)

他还分享了几个文件夹的截图,其中包含与几个客户签订的协议和合同 - 每个文件名中包含客户名称,例如医院和美国州政府。其他文件似乎是Comodo漏洞报告。然而,Ursem对数据的粗略审查没有发现任何客户证书私钥。

“看到他们是一家安全公司并颁发SSL证书,你会认为他们自己环境的安全性将首先高于一切,”Ursem说。

但根据Ursem的说法,他不是第一个找到暴露的电子邮件地址和密码的人。

他告诉TechCrunch说:“这个帐户已经被其他人发黑了,他们一直在发送垃圾邮件。”他分享了一封发送的垃圾邮件的截图,声称可以向法国财政部提供退税。

我们在出版之前联系了Comodo以征求意见。一位发言人表示,该帐户是“用于营销和交易目的的自动帐户”,并补充道:“所访问的数据未受到任何方式的操纵,并且在被研究人员通知后数小时内,帐户被锁定。”

这是公共GitHub存储库中公开的公开密码的最新示例,开发人员在线存储代码。开发人员经常上传文件,无意中包含用于内部测试的私有凭据。像Ursem这样的研究人员定期扫描存储库以获取密码并将其报告给公司,通常是为了换取bug奖励。

今年早些时候,Ursem在员工的GitHub公共账户上发现了一套类似暴露的内部华硕密码。在黑客在GitHub上发现内部凭证后,优步在2016年也遭到破坏。

免责声明:本文由用户上传,如有侵权请联系删除!

猜你喜欢

最新文章