9月25日,跨国咨询公司德勤被黑的消息,被该公司当做小事件轻描淡写地掠过。如今,证据显示,该公司被渗透不是没有原因的——他们的安全简直做的乱七八糟:关键系统的远程桌面协议(rdp)是开放的,vpn和代理的登录信息还被泄露。而就在前不久,gartner的报告还把德勤列为世界第一大安全咨询公司,28.6亿美元的安全年收入,堪称全球第二大安全业务收入的公司。(参考:全球网络安全年收入超10亿美元以上的15家公司)
9月26日,某公开github存储库中,被人发现藏有含德勤公司vpn口令、用户名和操作细节的一系列数据包。另外,德勤的一名雇员,似乎将公司代理登录凭证,上传到了他的公开google+页面。该信息在上面足足待了6个月之久,才被清除。
眼尖的用户发现了这些页面并告知了媒体,以下就是媒体抓下来的两张数据截屏:
这些潜在的公司登录信息泄露之上,德勤还有大量的内部和关键系统,非必要地直面了公共互联网——启用了远程桌面访问功能。按照业界最佳实践,所有这些,本应位于防火墙和双因子身份验证防护之后的。讽刺的是,德勤自己给客户的建议,也是这样。
phobos group创始人,安全研究员丹·腾特勒称:“仅最后一天,我就发现了7000到1.2万台德勤的开放主机,遍布全球。我们说的可是全球几十个业务单位,也就是不同能力水平的几十个 it部门。我只能想到一句:‘这是真·可利用啊’。”
比如说,南非的一台德勤的windows server 2012 r2服务器,似乎是作为活动目录(ad)服务器使用,但rdp大开,且安全更新都在挂起状态,十分令人担忧。其他案例中,暴露出it部门使用过时软件,各种安全措施失效等等。
而且,如其他信息安全专家指出的,还有很多其他东西也在网上挂着,用shodan搜索引擎就能搜到,根本是坐等不法之徒和其他好奇的人刺探。比如德勤美国公司就几乎什么都不设防,从netbios到rdp到exchange管理员口令(单因子验证)等等等等,全都面向互联网开放。他们真的需要审计员。
这些系统可以被用作黑客进入其内部网络的关键桥头堡。
暴露出来的那个google+页面,显示出一名德勤员工将vpn访问控制,写进了其所有人可见的个人页面中。就用谷歌引以为傲的搜索功能,黑客可以轻易地找出足够信息,发起成功率颇高的攻击。
所有这些,对自我标榜为业界顶级it安全咨询公司的德勤来说,可谓令人尴尬。该公司以可观的价格向其他公司出售其技术大师的服务,赚取千百万盈利,却无视了其自身it基础设施中的潜在漏洞。
目前涌现的信息,还让分析师公司gartner大失颜面——该公司已连续5年提名德勤为全球最佳it安全咨询公司。gartner尚未就其结论是如何做出的询问给出任何回应。
然而不回应无济于事,德勤的商业操作不太为同行所喜。该公司向来有虚报低价招揽客户的恶名——尤其是在渗透测试上,而对其自身安全如此之糟的幸灾乐祸,也愉悦了一些人。
德勤总想打破渗透测试底价,恨不得每人天少于1千美元。好了,现在你可以看到这种价格得到的是什么服务了。
前有equifax,后有德勤,从中不难看出,这些美国安全行业公司的各种豪言壮语,不过是假道学而已。
你会想,德勤说自己拥有这些大神级安全人才。如果情况果真如此,那他们还不在自己的基础设施上用?
德勤还没有对该评论做出回应。