Cybernews 研究团队发现,美国国家安全委员会 (NSC) 网站上存在的一个漏洞,暴露了大约 2000 家公司和政府机构员工的凭证。
创新互联-专业网站定制、快速模板网站建设、高性价比井陉网站开发、企业建站全套包干低至880元,成熟完善的模板库,直接使用。一站式井陉网站制作公司更省心,省钱,快速模板网站建设找我们,业务覆盖井陉地区。费用合理售后完善,十余年实体公司更值得信赖。
NSC 是美国的一个非营利组织,提供工作和驾驶安全方面的培训。在其数字平台上,NSC 为不同企业、机构近 5.5 万名会员提供在线资源,这些企业、机构可能在该平台上持有帐户,以获取培训材料或参加国家安全委员会组织的活动。
这一长串暴露的凭证涉及多家知名企业或机构,包括:
该漏洞不仅对 NSC 系统造成风险,也对使用 NSC 服务的公司造成风险。暴露的凭据可能被用于撞库攻击,这种攻击试图登录公司的VPN 门户、人力资源管理平台或公司电子邮件。
此外,这些凭证还可以用于获得对公司网络的初始访问权限,以部署勒索软件、窃取或破坏内部文档,或者访问用户数据。
暴露的文件夹列表
Cybernews 研究团队于2023年3月4日首次发现该漏洞。他们发现了 NSC 网站的一个子域,该子域可能用于开发目的,并将 Web 目录列表进行了公开,使攻击者能够访问对 Web 服务器操作至关重要的大部分文件。
在可访问的文件中,研究人员还发现了存储用户电子邮件和散列密码的数据库备份。该数据公开访问时间为 5 个月,总共存储了大约 9500 个帐户及其凭证,以及属于各行业近2000 家公司的电子邮件地址。物联网搜索引擎于 2023 年 1 月 31 日首次将泄漏数据编入索引。
包含用户凭证的暴露表
出现可供公众访问的开发环境表明了糟糕的开发实践,此类环境应与生产环境的域分开托管,并且必须避免托管实际的用户数据。由于大量电子邮件被暴露,平台用户可能会面临垃圾邮件和网络钓鱼电子邮件的激增。建议用户从外部验证电子邮件中包含的信息,并在单击链接或打开附件时小心谨慎。
暴露的密码使用 SHA-512 算法散列,该算法被认为是安全的密码散列算法。此外,还使用了额外的安全级别--盐。不过,盐值与密码哈希值存储在一起,而且只使用 base64 编码。这使得潜在攻击者很容易检索到盐的明文版本,从而简化了密码破解过程。
破解数据库中的一个密码可能需要长达 6 小时的时间,这取决于密码强度以及攻击者使用的先前泄露的密码或单词组合列表。
这并不意味着找到的数据库中的每个密码都能被破解,但能够破解的可能涉及大多数。研究表明,成功破解此类数据转储中约 80% 的哈希值是比较常见的。
Cybernews 建议在 NSC 上拥有账户的用户更改他们在其网站上的密码,并更改可能使用同一套密码的其他账户密码。
分享文章:美国国家安全委员会意外暴露近2000家企业组织凭证
新闻来源:http://www.shufengxianlan.com/qtweb/news27/56877.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联