Hackernews 编译,转载请注明出处:
国家安全保障会议(NSC)泄露了近1万名会员的电子邮件和密码,包括政府机关和大企业在内的2000多家企业被曝光。
美国国家安全委员会(NSC)是一家提供工作场所和驾驶安全培训的非营利组织。NSC的数字平台为不同企业、机构和教育机构的近55,000名成员提供在线资源。
然而,该组织网站在长达5个月的时间里都暴露在网络攻击的危险中。Cybernews研究小组发现,公开访问网络目录暴露了数千个凭据。
在泄露的一长串证书清单中,大约有2000家公司和政府机构的员工信息,包括:
- 化石燃料巨头:壳牌、英国石油、埃克森(Exxon,)、雪佛龙(Chevron)
- 电子制造商:西门子、英特尔、惠普、戴尔、英特尔、IBM、AMD
- 航空公司:波音公司、美国联邦航空管理局(FAA)
- 制药公司:辉瑞、礼来
- 汽车制造商:福特、丰田、大众、通用、劳斯莱斯、特斯拉
- 政府机构:司法部(DoJ)、美国海军、联邦调查局、五角大楼、NASA、职业安全与健康管理局(OSHA)
- 互联网服务提供商:Verizon、Cingular、Vodafone、 ATT、Sprint、 Comcast
- 其他:亚马逊、Home Depot、Honeywell、可口可乐、UPS
这些公司可能在该平台上拥有账户,以获取培训材料或参加国家安全委员会组织的活动。
该漏洞不仅对NSC系统构成了风险,而且对使用NSC服务的公司也构成了风险。泄露的凭证可能被用于凭证填充攻击,这种攻击试图登录公司的互联网连接工具,如VPN门户、人力资源管理平台或公司电子邮件。
此外,凭据可能被用来获得进入公司网络的初始访问权限,以部署勒索软件、窃取或破坏内部文件或访问用户数据。Cybernews联系了NSC,并迅速解决了这个问题。
曝光的网页文件夹|来源:Cybernews
对网络目录的公共访问
该漏洞于3月7日被发现。Cybernews研究小组发现了NSC网站的子域名,该域名可能用于开发目的。它向公众公开了其网络目录列表,使攻击者能够访问对网络服务器运行至关重要的大多数文件。在可访问的文件中,研究人员还发现了存储用户电子邮件和散列密码的数据库备份。这些数据被公开访问了5个月,因为IoT搜索引擎在2023年1月31日首次对泄漏进行了索引。
总的来说,备份存储了大约9500个唯一帐户及其凭证,涉及到各个行业的近2000个不同的公司电子邮件域。
泄露的包含用户凭证的表|来源:Cybernews
一个对公众开放的开发环境显示出其开发实践有多糟糕。这样的环境应该与生产环境的域分开托管,并且必须避免托管实际的用户数据,更不应该是公开访问的。
用户表架构|来源:Cybernews
由于大量电子邮件被泄露,平台用户遇到垃圾邮件和网络钓鱼邮件的情况可能会激增。建议用户从外部验证电子邮件中包含的信息,并谨慎点击链接或打开附件。
可破译的密码
被暴露的密码使用SHA-512算法进行杂凑—该算法被认为对密码散列是安全的,另外还使用了一种额外的安全措施—salts。但是,salts与密码散列存储在一起,并且仅使用base64进行编码。这使得潜在的攻击者很容易检索到salts的明文版本,从而简化了密码破解过程。
破解数据库中发现的单个密码可能需要长达6小时的时间,这取决于密码的强度以及攻击者使用的先前泄露的密码或单词组合列表状况。
这并不意味着泄露的数据库中的每个密码都可以被破解,然而其中很大一部分可以被黑客获取。研究表明,80%的成功破解此类密码的概率是相对常见的。
出于这个原因,我们建议拥有NSC帐户的用户在nsc.org网站和使用相同密码的任何其他帐户上更改其密码。
消息来源:cybernews,译者:Linn;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文