洩露給英國和加拿大政府服務器的密碼。誰應該受到責備?
如果你想從兩個世界上最大的經濟超級大國的政府那裡竊取敏感信息,好萊塢會讓你相信你需要做很多事情。你需要價值數千美元的設備來運行由世界上最好的黑客開發的複雜軟件。你需要把很多100美元的鈔票整齊地堆放在一個皮箱裡,並帶著帶有耳機和太陽鏡的男人隨身攜帶。你還需要穿著黑色西裝的緊張的政府官員,最後但並非最不重要的是,一個穿著連帽衫的少年,他對計算機的了解比任何人想像的都多。
這是好萊塢的活動版本。現實世界不那麼迷人,而且相當可怕。事實證明,不久之前,獲取屬於英國和加拿大政府組織的敏感信息只不過是一個網絡瀏覽器和關於谷歌如何工作的基本知識。我們希望我們開玩笑,但我們不是。
Table of Contents
在Internet上查找敏感信息比您想像的要容易
Kushagra Pathak是安全研究人員,他發現了驚人的發現。他只使用谷歌的搜索引擎,首先發現了一些屬於英國政府的數據,其中包括用戶名和密碼組合,可以代表英國政府管理服務器和註冊域名。政府網站之一的部分源代碼也可見,電話會議,內部電子郵件通信以及安全漏洞和策略信息的訪問代碼也是可見的。
經過多次挖掘後,帕塔克偶然發現了另一組數據,這次是加拿大政府所有。他看到了FTP憑據,Eventbrite登錄詳細信息,Web應用程序管理信息以及最近網絡安全事件的通信。
總而言之,任何知道去哪兒的人都能看到一些非常嚴肅的數據。但它最終是如何曝光的呢?
錯誤配置的Trello板和卡
對於那些不了解的人來說,Trello是一個項目管理應用程序,它使團隊成員能夠快速,輕鬆地共享信息並在他們之間分配任務。每個任務都放在一張所謂的卡上,然後“固定”到代表整個項目的板子上。
與世界各地許多其他組織一樣,英國和加拿大政府正在使用Trello卡和板來管理不同的項目。然而,不知何故,他們最終公開面對互聯網,這自然意味著谷歌將它們編入索引。
所有Pathak必須做的就是使用“inurl:”搜索修飾符。在意識到他發現了什麼之後不久,帕塔克與兩國政府的網絡安全部門取得了聯繫,幾天之內,數據再也無法通過谷歌獲取。
Trello聲稱問題與設計無關
這不是第一次這樣的事件。 幾個月前 ,Kushagra Pathak發現私人組織也無意中通過公共Trello卡和電路板暴露登錄憑據和其他敏感信息。當時,這引起了項目管理平台聯合創始人Michael Pryor的反應,他說,默認情況下,Trello的卡片和電路板設置為私有,未經授權的人無法訪問. 正如Trello用戶可以證明的那樣,這是正確的,這意味著發生這兩次曝光是因為負責保持數據私密性的人變得非常重要。
人為錯誤還是只是懶惰?
5月份數據暴露的政府和私人組織都不好意思承認究竟發生了什麼,但很明顯有兩種選擇。
第一個是有人犯了一個誠實的錯誤。有時,公開董事會或信用卡可以幫助推動項目向前發展。但是,很明顯,如果你更改了錯誤的主板上的設置,你可能會遇到麻煩。
Pathak自己推測的第二個假設是整個事情發生了,因為有人急於回家。他說,管理董事會的人可能已經決定創建一個私人項目然後添加所有個人是勞動密集型的。這就是為什麼他們把這些項目公之於眾(認為沒有人會在谷歌上尋找他們)然後只是發送鏈接。
無論真正的原因是什麼,事實仍然是,在這兩種情況下,某些地方出現了可怕的錯誤。事實上,有些事情仍然是錯誤的,因為簡單的Google搜索會向您顯示公共Trello項目仍在暴露登錄憑據和大量其他敏感數據。
