聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
NSC 是位于美国的一家非营利组织机构,提供工作安全和驾驶安全培训服务。NSC 在其数字化平台上为近5.5万名遍布企业、机构和教育院校的会员提供在线资源。
然而,NSC 的网站在五个月来易遭网络攻击。Cybernews 研究团队发现了web 目录的公开访问权限,暴露了数千凭据。在所暴露的凭据中属于约2000家企业和政府组织的员工,包括:
-
化石燃料巨头:壳牌、BP、埃克森、雪佛龙
-
电子制造商:西门子、英特尔、惠普、戴尔、IBM、AMD
-
航空公司:波音、联邦航空管理局 (FAA)
-
医药企业:辉瑞、礼来
-
汽车厂商:福特、丰田、大众、通用、劳斯莱斯、特斯拉
-
政府实体:司法部、美国海军、联邦调查局 (FBI)、五角大楼、NASA、职业安全和健康管理局 (OSHA)
-
互联网服务提供商:Verizon、Cingular、Vodafone、ATT, Sprint、Comcast
-
其它企业:亚马逊、家得宝、霍尼韦尔、可口可乐、UPS
这些机构很可能在NSC平台上访问培训资料或者参与NSC组织的活动。
该漏洞不仅使NSC系统易受攻击,还导致使用NSC服务的企业易受攻击。被盗凭据可用于凭据填充攻击,攻击者试图登录企业的联网工具如 VPN 门户、HR管理平台或企业邮件。另外,这些凭据可用于获得对企业网络的初始访问权限以部署勒索软件、窃取或劫持内部文档或者访问用户数据。
Cybernews 将情况告知NSC后,后者迅速修复。
Cybernews 研发团队在3月7日发现该漏洞。该团队发现了可能用于开发目的的NSC网站的子域名,将web目录清单暴露,导致攻击者能够访问 对web 服务器运营具有重要作用的大多数文件。在这些可访问文件中,研究人员还发现了存储用户邮件和哈希密码的数据库。该数据可被公开访问的时间长达5个月,而该泄露事件率先由 IoT 搜索引擎在2023年1月21日索引。该备份共存储约9500个唯一账户及其凭据,其中近2000份企业邮箱域名属于不同行业的企业。
开发环境可被公开访问的事实显示出不良开发实践。此类环境应当与生产环境的域名分开托管且必须不能托管真实的用户数据,而且不应遭公开访问。
由于大量邮件被泄露,平台用户收到的垃圾邮件和钓鱼邮件数量可能会激增。建议这些用户验证邮件中包含的信息并谨慎点击所含链接或打开附件。
被暴露密码是通过SHA-512算法进行哈希的,该算法被认为是安全的密码哈希。另外也使用了salt。然而,这些salt 和密码哈希一起存储,仅通过 base64 进行编码,使得攻击者可能检索 salt 的明文版本,从而轻松获得密码破解流程。
破解数据库中单个密码可能需要花费6小时,具体取决于密码强度以及攻击者所使用的此前已被泄露的密码或词语组合。这并不意味着数据库中发现的每个密码都可被破解,不过相当一部分很可能可被破解。研究表明,破解此类数据转储中哈希的成功率一般在80%左右。
因此,建议NSC用户更改nsc.org网站密码和使用了相同密码的其它账户的密码。
Hey! 首先祝贺 SpaceX 发射成功,其次我黑了 NASA 某IT 承包商网络哟~
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):美国国家安全委员会不慎泄露2000多家机构凭据,包括NASA、特斯拉等
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论