欧美亚洲国产成人精品三级,久久久久久精品国产三级精品,六月丁香久久婷婷爱

當前位置： 首頁 >綜合 > 正文

美國國家安全委員會意外暴露近2000家企業(yè)組織憑證

2023-08-31 22:35:09 來源：FreeBuf.COM

Cybernews 研究團隊發(fā)現(xiàn)，美國國家安全委員會 (NSC) 網站上存在的一個漏洞，暴露了大約 2000 家公司和政府機構員工的憑證。

【資料圖】

NSC 是美國的一個非營利組織，提供工作和駕駛安全方面的培訓。在其數(shù)字平臺上，NSC 為不同企業(yè)、機構近 5.5 萬名會員提供在線資源，這些企業(yè)、機構可能在該平臺上持有帳戶，以獲取培訓材料或參加國家安全委員會組織的活動。

這一長串暴露的憑證涉及多家知名企業(yè)或機構，包括：

化石燃料巨頭：殼牌、BP、?？松⒀┓瘕堧娮又圃焐蹋何鏖T子、英特爾、惠普、戴爾、英特爾、IBM、AMD航空航天公司：波音公司、聯(lián)邦航空管理局 (FAA)制藥公司：輝瑞、禮來汽車制造商：福特、豐田、大眾、通用汽車、勞斯萊斯、特斯拉政府實體：司法部 (DoJ)、美國海軍、FBI、五角大樓、NASA、職業(yè)安全與健康管理局 (OSHA)互聯(lián)網服務提供商：Verizon、Cingular、沃達豐、ATT、Sprint、康卡斯特其他：亞馬遜、家得寶、霍尼韋爾、可口可樂、UPS

該漏洞不僅對 NSC 系統(tǒng)造成風險，也對使用 NSC 服務的公司造成風險。暴露的憑據(jù)可能被用于撞庫攻擊，這種攻擊試圖登錄公司的VPN 門戶、人力資源管理平臺或公司電子郵件。

此外，這些憑證還可以用于獲得對公司網絡的初始訪問權限，以部署勒索軟件、竊取或破壞內部文檔，或者訪問用戶數(shù)據(jù)。

暴露的文件夾列表

暴露目錄文件

Cybernews 研究團隊于2023年3月4日首次發(fā)現(xiàn)該漏洞。他們發(fā)現(xiàn)了 NSC 網站的一個子域，該子域可能用于開發(fā)目的，并將 Web 目錄列表進行了公開，使攻擊者能夠訪問對 Web 服務器操作至關重要的大部分文件。

在可訪問的文件中，研究人員還發(fā)現(xiàn)了存儲用戶電子郵件和散列密碼的數(shù)據(jù)庫備份。該數(shù)據(jù)公開訪問時間為 5 個月，總共存儲了大約 9500 個帳戶及其憑證，以及屬于各行業(yè)近2000 家公司的電子郵件地址。物聯(lián)網搜索引擎于 2023 年 1 月 31 日首次將泄漏數(shù)據(jù)編入索引。

包含用戶憑證的暴露表

出現(xiàn)可供公眾訪問的開發(fā)環(huán)境表明了糟糕的開發(fā)實踐，此類環(huán)境應與生產環(huán)境的域分開托管，并且必須避免托管實際的用戶數(shù)據(jù)。由于大量電子郵件被暴露，平臺用戶可能會面臨垃圾郵件和網絡釣魚電子郵件的激增。建議用戶從外部驗證電子郵件中包含的信息，并在單擊鏈接或打開附件時小心謹慎。

可破解的密碼

暴露的密碼使用 SHA-512 算法散列，該算法被認為是安全的密碼散列算法。此外，還使用了額外的安全級別--鹽。不過，鹽值與密碼哈希值存儲在一起，而且只使用 base64 編碼。這使得潛在攻擊者很容易檢索到鹽的明文版本，從而簡化了密碼破解過程。

破解數(shù)據(jù)庫中的一個密碼可能需要長達 6 小時的時間，這取決于密碼強度以及攻擊者使用的先前泄露的密碼或單詞組合列表。

這并不意味著找到的數(shù)據(jù)庫中的每個密碼都能被破解，但能夠破解的可能涉及大多數(shù)。研究表明，成功破解此類數(shù)據(jù)轉儲中約 80% 的哈希值是比較常見的。

Cybernews 建議在 NSC 上擁有賬戶的用戶更改他們在其網站上的密碼，并更改可能使用同一套密碼的其他賬戶密碼。

標簽：

上一篇：四川一00后小伙欲將女同學灌醉后發(fā)生關系，被賓館老板制止

上一篇：最后一頁