安全公司Carbon Black客戶數據泄漏：多家財富1000強企業TB級別隱私數據流出

8 月 9 日，安全公司 

Carbon Black 被控泄露 TB 級別其客戶企業的機密數據。泄露的數據來自多家財富 1000 企業，數據內容包括了用戶機密數據、財務記錄、網路情報和其它敏感

數據。安全

管理策略提供商 DirectDefense 的公開博客中寫道，這些企業所採用的 Carbon Black EDR（終端檢測及響應）安全解決方案中存在問題，正在泄漏數十萬個敏感文件。

面對指控，安全公司 Carbon Black 則表示並非是他們將客戶敏感數據泄漏出去，相反，正是這些使用EDR方案的企業自己，也許是偶然地，將自己的敏感數據泄露在雲端伺服器上。

Carbon Black 是一家領先的事件響應和威脅狩獵公司，被譽為新一代的安全領先企業，目前為美國近三十個最大的

公營及私營公司提供安全產品，客戶中還包括

問題在於 EDR 的產品運作流程

EDR解決方案的工作流程是管理列入白名單的文件和應用程序。當EDR產品找到不包含在其資料庫中的新文件時，會把這個新文件上傳到他們的雲伺服器中，然後使用多重引擎掃描確認安全性（如VirusTotal）。根據多重掃描的結果，它會確認這個文件是否可以進入白名單，還是列入黑名單。問題在於，即便EDR和多重掃描都使用哈希值對文件重命名了，所有文件的副本還是保留在多重引擎掃描的雲伺服器上。

多數多重掃描支持付費訪問模式，而多數惡意軟體分析師、政府部門、以及企業安全團隊、安全公司都會為相關人員購買使用許可權。這樣這些人都可以看到過去掃描存儲的文件，甚至下載這些文件進行深度分析！

—— 

DirectDefense

DirectDefense 的 Jim Broome 說，

這可以說是全世界最大的付費參與的數據滲透殭屍網路。

2016年中期，我們使用了基於雲的多重引擎掃描來幫助安全研究，分析惡意軟體。而多重引擎掃描中有個很有用的功能——我們可以在上下文中搜索類似的惡意軟體，在這樣做時，我們偶然發現了幾個特別的文件。這些文件看似是這些似乎電信設備供應商的內部文件，與我們的原始客戶完全不相關。我們順著兔子洞繼續向下挖掘，最終得到了很多其他文件。

DirectDefense 在深入調查後，研究團隊發現這些上傳文件使用的 API 密鑰（32d05c66）。一旦團隊擁有該主鍵，就可以找到 「數十萬個、TB級別的數據文件」。

事件涉及多家財富 1000 強企業數據

DirectDefense 表示他們發現的敏感數據涉及的企業，大部分來自財富1000強企業，如大型流媒體、社交網路、金融機構等企業。

某大型流媒體企業：泄漏AWS和IAM身份憑證、Slack API 密碼、

Atlassian團隊密碼、管理員憑證、Google Play 密碼、Apple Store ID

某社交網路企業：硬加密的 AWS和 Azure 密碼、內部用戶名和密碼

某金融服務企業：涉及金融數據的 AWS 密碼、涉及交易機密、金融模型、客戶信息的數據

DirectDefense同時表示，他們將這些信息通告出來，並不是希望

Carbon Black 回應

面對 

DirectDefense 的指控，Carbon Black 聯合創始人兼首席技術官 Michael Viscuso 發布回應稱，他們的產品並不會將所有文件自動上傳到 VirusTotal 上，與此相反，默認情況下是禁用這項上傳功能的。

「Cb Response 具備這樣的功能，讓用戶將未知可疑文件上傳到雲端多重掃描器上進行自動識別。我們也在用戶選擇這些服務的時候，一併告之這些用戶共享文件的隱私風險。

如果用戶啟用了第二個選項（允許使用VirusTotal上傳完整的二進位文件），Cb Response會確保用戶明確了解上傳文件的風險，並提供了警示信息。

DirectDefense也在最新的聲明中提到，Carbon Black 的說法的確屬實。但現實情況就是， EDR 產品出現的這個數據泄漏問題，可能並非 Carbon Black 獨有，其他的 EDR 供應商也可能以同樣的方式泄露客戶的數據。

*參考來源：bleepingcomputer / thehackernews ，Elaine編譯，轉載請註明FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！