安小圈
第615期
头部网安企业 · 数据泄漏
本次泄漏的数据是一份包含约7000+行的工作日志和代码的文档, 这些代码用于为该公司DevOps实践和下游客户构建基础设施,并包括连接到多个gov域名、学术机构和新闻网站的自动化脚本。
泄漏的文件是提交给一个多扫描器平台的文件, 该平台触发了一条规则,用于查找与Kubernetes相关的业务事件。在泄漏的该文件中,包含了大量的工作日志, 描述了该公司员工执行的工作内容以及任务所花费的时间,并还附带与任务相关的脚本、命令或数据。
除了工作日志,泄露的内容还包含许多用于通过多种常见DevOps和基础设施技术管理服务的命令和脚本,这些技术在全球范围内被广泛使用,包括Ansible、Docker、ElasticSearch、Gitlab、Kafka、Kibana、Kubernetes和Redis。还有许多文档显示了该公司服务使用的Web API的JSON数据。同时,文件中也包含了网络配置、带有硬编码凭证的SSH和端口映射命令,这些内容如果被他人获取,将带来巨大的安全风险,并且可能会为该公司的下游客户提供访问权限。如图:
泄露的文件非常庞大,包括一个以基础设施管理代码开头的文件,其中包括初始化几个Docker镜像的代码,用于启用与安全监控相关的功能。这些容器运行探测器,可能用于网络监控。由于无法完全访问这些容器,因此无法全面评估它们的能力。然而,这些容器使用了多个标志,如--privileged和--net host,这表明它们可能具有对监控数据的深度访问。这可能意味着这些探测器检查网络流量或在部署环境中执行特权任务。
文件中更深处包含了工作日志,其中记录了某些任务执行的日期,并有该公司员工对特定基础设施项目的备注。其中一个多次提到的项目叫做Sparta或Sparda,拼写不定。该公司员工的备注表明,Sparta负责处理敏感词处理,这是对审查关键词监控的暗示。
在技术层面上,Sparta是一个使用GraphQL API接收来自下游Web应用程序内容的框架。工作日志显示,该公司已从一个名为Apollo的系统迁移过来,这可能是指一个由旧金山公司提供的开源框架Apollo-GraphQL。工作日志还显示,Sparta能够处理中文字符。这表明该公司可能开发了Sparta作为一个内部解决方案,专门针对该公司客户的本地化需求,而非依赖于美国的解决方案。
此外,还注意到一条备注,表明被认为严重的检测警报可能会通过微信分发给内部团队,以便优先处理。微信是中国广泛使用的即时通讯和社交媒体平台,具有广泛的功能,包括消息传递、社交网络和支付服务。其在日常生活中的整合使其成为中国境内通信和商业运营的必备工具。
https://www.sentinelone.com/labs/censorship-as-a-service-leak-reveals-public-private-collaboration-to-monitor-chinese-cyberspace/
END
-
阿里云机房着火超30个小时,云服务宕机,AWS趁火打劫
原文始发于微信公众号(安小圈):国内某头部网安企业疑似大量敏感数据泄漏到外网
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论