泄露给英国和加拿大政府服务器的密码。谁应该受到责备?

Canadian And UK Government Passwords Exposed

如果你想从两个世界上最大的经济超级大国的政府那里窃取敏感信息,好莱坞会让你相信你需要做很多事情。你需要价值数千美元的设备来运行由世界上最好的黑客开发的复杂软件。你需要把很多100美元的钞票整齐地堆放在一个皮箱里,并带着带有耳机和太阳镜的男人随身携带。你还需要穿着黑色西装的紧张的政府官员,最后但并非最不重要的是,一个穿着连帽衫的少年,他对计算机的了解比任何人想象的都多。

这是好莱坞的活动版本。现实世界不那么迷人,而且相当可怕。事实证明,不久之前,获取属于英国和加拿大政府组织的敏感信息只不过是一个网络浏览器和关于谷歌如何工作的基本知识。我们希望我们开玩笑,但我们不是。

在Internet上查找敏感信息比您想象的要容易

Kushagra Pathak是安全研究人员,他发现了惊人的发现。他只使用谷歌的搜索引擎,首先发现了一些属于英国政府的数据,其中包括用户名和密码组合,可以代表英国政府管理服务器和注册域名。政府网站之一的部分源代码也可见,电话会议,内部电子邮件通信以及安全漏洞和策略信息的访问代码也是可见的。

经过多次挖掘后,帕塔克偶然发现了另一组数据,这次是加拿大政府所有。他看到了FTP凭据,Eventbrite登录详细信息,Web应用程序管理信息以及最近网络安全事件的通信。

总而言之,任何知道去哪儿的人都能看到一些非常严肃的数据。但它最终是如何曝光的呢?

错误配置的Trello板和卡

对于那些不了解的人来说,Trello是一个项目管理应用程序,它使团队成员能够快速,轻松地共享信息并在他们之间分配任务。每个任务都放在一张所谓的卡上,然后“固定”到代表整个项目的板子上。

与世界各地许多其他组织一样,英国和加拿大政府正在使用Trello卡和板来管理不同的项目。然而,不知何故,他们最终公开面对互联网,这自然意味着谷歌将它们编入索引。

所有Pathak必须做的就是使用“inurl:”搜索修饰符。在意识到他发现了什么之后不久,帕塔克与两国政府的网络安全部门取得了联系,几天之内,数据再也无法通过谷歌获取。

Trello声称问题与设计无关

这不是第一次这样的事件。 几个月前 ,Kushagra Pathak发现私人组织也无意中通过公共Trello卡和电路板暴露登录凭据和其他敏感信息。当时,这引起了项目管理平台联合创始人Michael Pryor的反应,他说,默认情况下,Trello的卡片和电路板设置为私有,未经授权的人无法访问. 正如Trello用户可以证明的那样,这是正确的,这意味着发生这两次曝光是因为负责保持数据私密性的人变得非常重要。

人为错误还是只是懒惰?

5月份数据暴露的政府和私人组织都不好意思承认究竟发生了什么,但很明显有两种选择。

第一个是有人犯了一个诚实的错误。有时,公开董事会或信用卡可以帮助推动项目向前发展。但是,很明显,如果你更改了错误的主板上的设置,你可能会遇到麻烦。

Pathak自己推测的第二个假设是整个事情发生了,因为有人急于回家。他说,管理董事会的人可能已经决定创建一个私人项目然后添加所有个人是劳动密集型的。这就是为什么他们把这些项目公之于众(认为没有人会在谷歌上寻找他们)然后只是发送链接。

无论真正的原因是什么,事实仍然是,在这两种情况下,某些地方出现了可怕的错误。事实上,有些事情仍然是错误的,因为简单的Google搜索会向您显示公共Trello项目仍在暴露登录凭据和大量其他敏感数据。

April 30, 2019
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。