近日，有研究人員發現了一次大規模的數據泄漏事件，共涉及到大約 900 家公司和組織，其中包括戴爾、Verizon、AT&T、能源部、康卡斯特和大通銀行等。

今年 3 月 25 日，Cybernews 研究小組發現了一個可公開訪問的網絡目錄，該目錄屬于馬里蘭州的 Simpli 公司（前身為 Charm City Concierge）。

該公司的應用程序允許租用辦公空間的公司的員工查看位于同一棟大樓內的商店。它列出了可用的便利設施、工作場所福利和折扣，并使用戶能夠訂購各種服務和產品。

這個開放的網絡目錄存儲了 2024 年 1 月對公司網站和 Simpli 應用程序數據庫的備份數據。據悉，此次泄露的應用程序的備份暴露了 10000 名員工的電子郵件地址和來自大約 900 家公司的哈希密碼。

包含網站和數據庫備份的網絡目錄被曝光

受影響的公司包括：

• Capital One
• 海軍分析中心
• 美國律師協會
• 微策略
• 劍橋聯營公司
• 戴爾
• 威瑞森
• 康卡斯特
• 西部交通
• WeWork
• 信托銀行
• 美國電話電報公司
• 國家殘疾人委員會
• 能源部
• 大通銀行

帶備注的訂單信息

由于大多數員工都使用公司電子郵件地址注冊了 Simpli 服務，因此這構成了重大風險。威脅攻擊者有可能通過使用憑據填充攻擊，將目標鎖定在員工可以訪問的更敏感的公司系統上。

Cybernews 的信息安全研究員 Aras Nazarovas 說：雖然員工憑證是以相對安全的格式存儲的，但密碼仍有可能被破解，尤其是弱密碼。

如果員工在多個賬戶中使用相同的密碼，被破解的密碼就可以用來登錄其他更敏感、與工作相關的終端。

建筑物及其租戶清單

此次泄露的數據庫還曝光了通過該應用程序發出的指令，其中一些指令包含可能涉及敏感業務信息的備注。這些筆記包括來自不同公司的個人之間的會議細節和會議目的。

在開放目錄中發現的文件表明，這些信息可能是在該公司將其系統從 Drupal 7 遷移到 Drupal 9 時泄露的。目前 Simpli 公司暫未對此做出回應。

用戶憑證

供應鏈攻擊風險

此類泄密事件凸顯了使用第三方服務的固有風險，這些服務可能會帶來供應鏈攻擊的風險。在這種網絡攻擊中，威脅者往往會尋找供應網絡中的薄弱環節，而不是直接針對一家公司。

攻擊者攻破一個供應商，就有可能影響到使用該供應商產品或服務的公司。從第三方供應商處提取的憑據對于已經瞄準一家公司的惡意行為者來說可能非常有用。

零售商 Target 就曾遭受過此類攻擊。2013 年，惡意行為者入侵了 Target 的制冷、供暖和空調分包商 Fazio Mechanical，并將惡意軟件傳播到 Target 的大部分銷售點設備。據報道，惡意軟件當時共收集到了大約 4000 萬張借記卡和信用卡的財務信息。

因此，提供第三方服務的公司和組織應該對網絡安全問題格外保持警惕，因為這些公司極有可能會成為攻擊者的目標。