美国家安全委员会泄露了NASA、特斯拉、司法部、VERIZON 和其他 2000 家公司的凭据
2023-8-31 18:2:39 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

第521期 

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

美国家安全委员会 (NSC) 是美国的一个非营利组织,提供工作场所和驾驶安全培训。NSC 在其数字平台上为其分布在不同企业、机构和教育机构的近 55,000 名会员提供在线资源。

近日据外媒报道,美国国家安全委员会(NSC)的网站暴露了数千个凭据。在一长串被泄露的凭证中,有大约 2000 家公司和政府机构的员工信息,其中包括:

化石燃料巨头:壳牌、BP、埃克森、雪佛龙
电子制造商:西门子、英特尔、惠普、戴尔、英特尔、IBM、AMD
航空航天公司:波音公司、联邦航空管理局 (FAA)
制药公司:辉瑞、礼来
汽车制造商:福特、丰田、大众、通用汽车、劳斯莱斯、特斯拉
政府实体:司法部 (DoJ)、美国海军、FBI、五角大楼、NASA、职业安全与健康管理局 (OSHA)
互联网服务提供商:Verizon、Cingular、沃达丰、ATT、Sprint、康卡斯特
其他:亚马逊、家得宝、霍尼韦尔、可口可乐、UPS
这些公司可能在该平台上持有帐户,以获取培训材料或参加国家安全委员会组织的活动。
该漏洞不仅对 NSC 系统造成风险,也对使用 NSC 服务的公司造成风险。泄露的凭据可能被用于撞库攻击,这种攻击试图登录公司的互联网连接工具,例如 VPN 门户、人力资源管理平台或公司电子邮件。
此外,这些凭据还可以用于获得对公司网络的初始访问权限,以部署勒索软件、窃取或破坏内部文档,或者访问用户数据。Cybernews 联系了国家安全委员会,国家安全委员会很快就解决了这个问题。
暴露的网页文件夹 | 来源:网络新闻

对网络目录的公共访问

该漏洞于 3 月 7 日被发现。Cybernews 研究团队发现了 NSC 网站的一个子域,该子域可能用于开发目的。
它将其 Web 目录列表公开给公众,使攻击者能够访问对 Web 服务器操作至关重要的大部分文件。在可访问的文件中,研究人员还发现了存储用户电子邮件和散列密码的数据库的备份。
该数据公开访问时间为 5 个月,物联网搜索引擎于 2023 年 1 月 31 日首次将泄漏数据编入索引。
备份总共存储了大约 9500 个唯一帐户及其凭据,以及属于各个行业的公司的近 2000 个不同的公司电子邮件域。
拥有一个可供公众访问的开发环境表明了糟糕的开发实践。此类环境应与生产环境的域分开托管,并且必须避免托管实际的用户数据,当然,它不应该公开访问。
用户表架构| 来源:网络新闻

暴露的密码使用 SHA-512 算法进行哈希处理,该算法被认为对于密码哈希处理来说是安全的。还使用了额外的安全级别——盐。然而,盐与密码散列存储在一起,并且仅使用 Base64 进行编码。这使得潜在攻击者可以轻松检索盐的明文版本,从而简化了密码破解过程。

破解数据库中找到的单个密码可能需要长达 6 小时的时间,具体取决于密码强度以及先前泄露的密码列表或攻击者使用的单词组合。

这并不意味着所发现的数据库中的每个密码都可以被破解,但很可能其中很大一部分都可以被破解。研究表明,成功破解此类数据转储中大约 80% 的哈希值是相对常见的。

由于大量电子邮件被泄露,平台用户可能会遇到垃圾邮件和网络钓鱼电子邮件的激增。建议他们从外部验证电子邮件中包含的信息,并在单击链接或打开附件时小心谨慎。


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5ODA0NDE2MA==&mid=2649785436&idx=3&sn=4ddeba6dabd080e776f7d551f7dd276a&chksm=8893b433bfe43d254c002c66e9e436e00daa039f0a254dbed36eaaee49dc9bd079b7045084dc&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh