https://static.jiayezz.com/92/462d9f1cd96321911e13359a0faec8

译者:WisFree

预估稿费:130RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


9月28日更新

德勤已成待宰鱼肉:关键系统RDP、VPN及代理登录细节泄露

周一:跨国咨询公司德勤遭遇黑客攻击,公司称只是一次小事故

周二:德勤公司大量VPN泄露,其中包括用户名、密码以及操作细节,这些都被发布在一个Github仓库中(内容在不久之后被删除)。

泄露原因调查

后经查证,一位德勤员工在大约六个月前将公司代理登录凭证上传至他的Google+上,这些信息直到刚刚才被删除。

现在依然能找到相关信息的截图。(关键信息已经涂抹)

这个则是当时Google+的截图。(关键信息已经涂抹)

https://static.jiayezz.com/70/53c4e5b78e91c83b1e1d11fab923cb

安全分析

通过对泄露的登录信息分析可知,德勤将一些关键的系统公开在外,并且开启了远程桌面访问。然而安全起见这些都是应该设置在防火墙后并开启双因子认证的,事实上,德勤往往对他的客户推荐这种做法,虽然他自己并没有做到。

Phobos Group创始人,安全研究员Dan Tentler告诉The Register记者“就在昨天,我在全球范围内探测到了德勤开放的7000到12000台主机。而且各个地方IT部门水平参差不齐,服务器存在很多可以利用的点”

举例来说,他发现德勤在南非的一台运行Winodws Server 2012 R2的服务器开启了RDP,且有一个Active Directory服务器,可是安全更新处于停滞状态,并且可以看出IT部门一直在用老旧的软件,其中存在非常多的安全隐患。

这是一个开启了NetBIOS的样例。

https://static.jiayezz.com/bf/f06276f5a53957208cda13aab63466

这是一个开启RDP的Active Directory服务器的样例。

https://static.jiayezz.com/a7/7979f5969f47353eea9c1e14c6fe1f

这些服务器上只有管理员账号,并且Windows更新一直处于停滞状态。

https://static.jiayezz.com/49/aa2ba6f328609ed2700f055ad151ff

正如其他信息安全专家发现的那样,除此之外还有很多信息在传播,这些信息可以通过Shodan搜索到。

https://static.jiayezz.com/bf/cfc39463b92155c5b06feec86ba4dd

利用那些信息,黑客们可以黑入德勤的内部网络。

事件总结

Google+页面上的信息是所有人都能看到的,所以黑客可以通过Google搜索到非常多的信息,这些信息足以让他对德勤发起一次攻击。

这些发生在德勤——一个自诩为业内顶级IT安全资讯公司的身上让人有些尴尬,他们将他们的服务以高价卖给数百万客户,但他们自己却忽视了这些问题。

高德纳公司也因此事件受到牵连,事实上,在六月份他们将德勤公司标注为当前世界上最好的IT安全咨询公司。高德纳如今被质疑当初的结论是怎么得出来的。

德勤平时并不喜欢别的安全研究员对他们的业务评头论足,公司平时一直以极低的价格接手安全业务,尤其是渗透测试业务。这次事件发生后,不少人便对德勤如此糟糕的安全状况出言讥讽。

https://static.jiayezz.com/bd/e8e92129947b69d324a0fd06d21d66

Tentler说:“德勤也好,Equifax也罢,撇开美国安全产业公司们的纠葛,无非是一群伪君子而已。”

“德勤总是说自己拥有全世界最顶级的安全人才,不过我看他们还是把这些人才用在自己身上为妙。”

德勤尚未对此做出回应。

前言

又是新的一天,又是一起新的数据泄露事件。这一次倒霉的是作为全球四大会计公司之一的Delloitte(德勤),跟以前一样,该公司遭到了一次复杂的网络攻击,并泄露了大量的客户邮件


全球四大会计公司之一的Deloitte被黑,大量客户邮件遭泄露

全球税务与审计公司Delloitte(德勤)已经发表了官方公告称,公司遭受了一次网络攻击,在此次攻击中,攻击者成功窃取了大量数据,其中包括公司某些客户的私人邮件以及机密文档。

德勤通常指的是“德勤全球”(Deloitte Touche Tohmatsu)的下属实体,该公司总部设立在英国。德勤全球在其国际化的战略指引下,在近150个国家和地区内拥有下属企业,汇集了12万名相关领域的专家,并致力于为客户提供卓越的专家服务和咨询。该公司拥有遍布全球的分支机构和会员,其主要业务集中在四个领域:审计、税务规划、咨询和财务顾问。该公司可以给大型银行、政府机构和大型财富五百强跨国公司提供税务、审计、运营咨询、网络安全咨询以及并购援助等服务,全球有一半以上的大型企业、国有企业、公共机构、本地重要客户以及成功的成长期企业都在享受着德勤的服务。这家企业采纳了合伙制的形式,本身不直接提供服务,而是通过其全球的会员企业来聚敛财务。

根据英国《卫报》的报道,这家全球会计事务公司在本周一正式对外发出公告,称其系统在去年十月份到今年三月份期间,曾被不明身份的攻击者通过一个电子邮件平台访问过,并查看了公司部分客户的“少量”私人邮件以及敏感文档。

该公司表示,他们在今年三月份发现了此次网络攻击,但是他们认为这个身份不明的攻击者也许早在2016年十月或十一月份就已经入侵了他们的电子邮件系统。这名攻击者通过使用一个管理员账号成功获取到了Deloitte(德勤)公司电子邮件服务器的访问权,且该系统并没有部署任何的双因素身份认证机制(2FA),从而导致攻击者能够不受任何限制地访问Deloitte(德勤)的微软邮箱。

除了电子邮件之外,攻击者很有可能还获取到了公司系统的用户名、密码、IP地址、公司业务情况以及员工健康状况等信息。

http://p1.qhimg.com/t01415fd048c1170d04.png

Deloitte(德勤)的一位官方发言人在接收媒体采访时表示:“为了快速响应此次网络安全事件,Deloitte(德勤)将实施一份较为全面的安全协议。除此之外,公司不仅将动员Deloitte(德勤)的内部网络安全团队对此次事件进行彻底的分析和调查,Deloitte(德勤)还将聘请第三方网络安全专家对此次事件的成因进行深入审查。作为安全审计过程中的一部分,Deloitte(德勤)将与少数首次事件影响的客户进行沟通接触,并且公司会在拿到分析报告之后的第一时间通知相关客户以及政府监管部门。”

目前,Deloitte(德勤)正在针对此次网络攻击事件对公司进行内部调查,而且该公司现在只通知了六名可能会受此事件影响的客户。


后记

Deloitte(德勤)已经成为了最新一次网络攻击的受害者,而就在上个月,Equifax公司也曾遭到过一次网络攻击,并泄露了1亿4300万名美国客户的个人数据。除此之外,就在上个星期,美国证券交易委员会(SEC)也对外表示,他们的系统遭到了不明身份的黑客攻击,并泄露了大量金融文件,攻击者很有可能会利用这些泄露数据来谋取非法利益。

当然了,此次的Deloitte(德勤)数据泄露事件并不是第一次,而且肯定也不是最后一次,希望其他公司要提高警惕,千万不要“事不关己高高挂起”!

文章原文链接:https://www.anquanke.com/post/id/86944