日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
美國(guó)國(guó)家安全委員會(huì)意外暴露近2000家企業(yè)組織憑證

Cybernews 研究團(tuán)隊(duì)發(fā)現(xiàn),美國(guó)國(guó)家安全委員會(huì) (NSC) 網(wǎng)站上存在的一個(gè)漏洞,暴露了大約 2000 家公司和政府機(jī)構(gòu)員工的憑證。

創(chuàng)新互聯(lián)-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比井陘網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式井陘網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們,業(yè)務(wù)覆蓋井陘地區(qū)。費(fèi)用合理售后完善,十余年實(shí)體公司更值得信賴。

NSC 是美國(guó)的一個(gè)非營(yíng)利組織,提供工作和駕駛安全方面的培訓(xùn)。在其數(shù)字平臺(tái)上,NSC 為不同企業(yè)、機(jī)構(gòu)近 5.5 萬(wàn)名會(huì)員提供在線資源,這些企業(yè)、機(jī)構(gòu)可能在該平臺(tái)上持有帳戶,以獲取培訓(xùn)材料或參加國(guó)家安全委員會(huì)組織的活動(dòng)。

這一長(zhǎng)串暴露的憑證涉及多家知名企業(yè)或機(jī)構(gòu),包括:

  • 化石燃料巨頭:殼牌、BP、??松?、雪佛龍
  • 電子制造商:西門子、英特爾、惠普、戴爾、英特爾、IBM、AMD
  • 航空航天公司:波音公司、聯(lián)邦航空管理局 (FAA)
  • 制藥公司:輝瑞、禮來(lái)
  • 汽車制造商:福特、豐田、大眾、通用汽車、勞斯萊斯、特斯拉
  • 政府實(shí)體:司法部 (DoJ)、美國(guó)海軍、FBI、五角大樓、NASA、職業(yè)安全與健康管理局 (OSHA)
  • 互聯(lián)網(wǎng)服務(wù)提供商:Verizon、Cingular、沃達(dá)豐、ATT、Sprint、康卡斯特
  • 其他:亞馬遜、家得寶、霍尼韋爾、可口可樂、UPS

該漏洞不僅對(duì) NSC 系統(tǒng)造成風(fēng)險(xiǎn),也對(duì)使用 NSC 服務(wù)的公司造成風(fēng)險(xiǎn)。暴露的憑據(jù)可能被用于撞庫(kù)攻擊,這種攻擊試圖登錄公司的VPN 門戶、人力資源管理平臺(tái)或公司電子郵件。

此外,這些憑證還可以用于獲得對(duì)公司網(wǎng)絡(luò)的初始訪問權(quán)限,以部署勒索軟件、竊取或破壞內(nèi)部文檔,或者訪問用戶數(shù)據(jù)。

暴露的文件夾列表

暴露目錄文件

Cybernews 研究團(tuán)隊(duì)于2023年3月4日首次發(fā)現(xiàn)該漏洞。他們發(fā)現(xiàn)了 NSC 網(wǎng)站的一個(gè)子域,該子域可能用于開發(fā)目的,并將 Web 目錄列表進(jìn)行了公開,使攻擊者能夠訪問對(duì) Web 服務(wù)器操作至關(guān)重要的大部分文件。

在可訪問的文件中,研究人員還發(fā)現(xiàn)了存儲(chǔ)用戶電子郵件和散列密碼的數(shù)據(jù)庫(kù)備份。該數(shù)據(jù)公開訪問時(shí)間為 5 個(gè)月,總共存儲(chǔ)了大約 9500 個(gè)帳戶及其憑證,以及屬于各行業(yè)近2000 家公司的電子郵件地址。物聯(lián)網(wǎng)搜索引擎于 2023 年 1 月 31 日首次將泄漏數(shù)據(jù)編入索引。

包含用戶憑證的暴露表

出現(xiàn)可供公眾訪問的開發(fā)環(huán)境表明了糟糕的開發(fā)實(shí)踐,此類環(huán)境應(yīng)與生產(chǎn)環(huán)境的域分開托管,并且必須避免托管實(shí)際的用戶數(shù)據(jù)。由于大量電子郵件被暴露,平臺(tái)用戶可能會(huì)面臨垃圾郵件和網(wǎng)絡(luò)釣魚電子郵件的激增。建議用戶從外部驗(yàn)證電子郵件中包含的信息,并在單擊鏈接或打開附件時(shí)小心謹(jǐn)慎。

可破解的密碼

暴露的密碼使用 SHA-512 算法散列,該算法被認(rèn)為是安全的密碼散列算法。此外,還使用了額外的安全級(jí)別--鹽。不過,鹽值與密碼哈希值存儲(chǔ)在一起,而且只使用 base64 編碼。這使得潛在攻擊者很容易檢索到鹽的明文版本,從而簡(jiǎn)化了密碼破解過程。

破解數(shù)據(jù)庫(kù)中的一個(gè)密碼可能需要長(zhǎng)達(dá) 6 小時(shí)的時(shí)間,這取決于密碼強(qiáng)度以及攻擊者使用的先前泄露的密碼或單詞組合列表。

這并不意味著找到的數(shù)據(jù)庫(kù)中的每個(gè)密碼都能被破解,但能夠破解的可能涉及大多數(shù)。研究表明,成功破解此類數(shù)據(jù)轉(zhuǎn)儲(chǔ)中約 80% 的哈希值是比較常見的。

Cybernews 建議在 NSC 上擁有賬戶的用戶更改他們?cè)谄渚W(wǎng)站上的密碼,并更改可能使用同一套密碼的其他賬戶密碼。


本文題目:美國(guó)國(guó)家安全委員會(huì)意外暴露近2000家企業(yè)組織憑證
網(wǎng)址分享:http://www.dlmjj.cn/article/coojdcs.html