一个环境(env.)文件作为计算机程序的一组指令,对于任何系统都是至关重要的组成部分。将这些文件对所有人开放会暴露关键数据,并为威胁行为者提供各种攻击选项。与此同时,现已关闭的MIM(工业和矿产资源部)的env.文件暴露了攻击者可以在该部门系统内进行横向移动所需的信息,潜在升级到接管账户或发起勒索软件攻击等各种可能。
MIM是负责工业和矿产资源运营的政府机构,成立于2019年,旨在使沙特阿拉伯的经济多元化,减少对石油和天然气的依赖。
团队表示,env.文件首次被物联网搜索引擎索引是在2022年3月,这意味着数据至少暴露了15个月。该文件目前已关闭,不再对公众可见。
我们的研究人员表示:“网络犯罪分子可能利用泄露的凭证获取对政府系统的初始访问权限,并发起勒索软件攻击。他们可以尝试加密关键政府数据,要求赎金以释放数据,或威胁公开泄露敏感信息。”我们已联系工业和矿产资源部寻求评论,但在发布本文之前未收到回复。
哪些MIM数据被曝光?泄露的env.文件泄露了几种类型的数据库凭证、邮件凭证和数据加密密钥。例如,研究人员发现了泄露的SMTP(简单邮件传输协议)凭证。
研究人员表示:“通过获得政府SMTP凭证,攻击者可以冒充政府官员或员工进行社会工程攻击。他们可能试图欺骗受害者透露其他敏感信息,实施欺诈行为,或获取对其他系统或资源的访问权限。”
现已关闭的env.文件还包含了Laravel的APP_Key。APP_Key是用于加密的配置设置,例如用于保护会话数据和Cookie。泄露的APP_Key将使攻击者能够解密敏感信息,危及数据的机密性。团队还发现了用于MySQL和Redis数据库的凭证。组织使用MySQL数据库来存储、管理和检索数据。而Redis用于应用程序中的实时分析和消息传递。
据团队称,这两个数据库仅在局域网上可用,这意味着如果攻击者已经在MIM的系统中建立了立足点,他们可以利用泄露的凭证进行攻击。拥有政府拥有的数据库的凭证可能会暴露敏感的政府信息、机密文件、个人身份信息(PII)或其他保密记录。
泄露此类信息的后果广泛,因为攻击者可能进行账户接管攻击。泄露的凭证使恶意行为者能够未经授权访问政府电子邮件账户和数据库系统,这可能被利用来劫持通信、篡改数据、发送恶意邮件,或进一步访问其他系统或资源。
团队表示,泄露的数据库凭证对于数据泄露和外泄构成了真正的风险,因为泄露的凭证使攻击者能够访问基于政府的系统。
研究人员表示:“这可能包括公民的个人身份信息(PII)、机密信息、财务记录或其他敏感政府数据。窃取的数据可用于身份盗窃、勒索,或在黑市上出售。”
原文始发于微信公众号(黑猫安全):沙特阿拉伯部分部门曝露了敏感数据长达15个月之久
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论