當(dāng)用戶購買 Sony、Lexar 或 Sandisk USB 密鑰或其它任何存儲設(shè)備時(shí)，都會附帶一個(gè)加密解決方案，以確保數(shù)據(jù)安全。

據(jù)悉，該方案由第三方供應(yīng)商 ENC Security 開發(fā)，然而 近日Cybernews 研究小組披露，該公司在一年多時(shí)間里一直在泄露其配置和證書文件。

隨著事件發(fā)酵，ENC Security 迅速做出回復(fù)，聲稱泄露事件原因是第三方供應(yīng)商的錯(cuò)誤配置，在收到通知后已立刻修復(fù)漏洞。

ENC Security 是一家位于荷蘭的公司，在全球擁有 1200 萬用戶，通過其流行 DataVault 加密軟件提供“軍用級數(shù)據(jù)保護(hù)”解決方案。

Cybernews 發(fā)現(xiàn)安全問題

從 Cybernews 披露的內(nèi)容來看， 泄漏服務(wù)器內(nèi)的數(shù)據(jù)主要包括銷售渠道的簡單郵件傳輸協(xié)議（SMTP）憑證、單一支付平臺的 Adyen 密鑰、電子郵件營銷公司的 Mailchimp API 密鑰、許可支付 API 密鑰、HMAC 消息驗(yàn)證碼以及以 .pem 格式存儲的公共和私人密鑰。

2021 年 5 月 27 日到 2022 年 11 月 9日 ，一年多的時(shí)間里，任何人都可以公開訪問這些數(shù)據(jù)，直到 Cybernews 向 ENC Security 披露該漏洞后，該服務(wù)器才被關(guān)閉。

安全研究人員 Vareikis 表示，數(shù)據(jù)暴露長達(dá)一年多時(shí)間，潛在網(wǎng)絡(luò)攻擊者可利用上述數(shù)據(jù)進(jìn)行從網(wǎng)絡(luò)釣魚、勒索軟件等各種形勢的網(wǎng)絡(luò)攻擊。

舉個(gè)簡單的例子，攻擊者可能通過銷售溝通渠道向客戶發(fā)送假發(fā)票或通過可信的電子郵件地址傳播惡意軟件來欺騙客戶。

此外，由于 Mailchimp API 密鑰允許攻擊者發(fā)送大規(guī)模營銷活動并查看、收集線索，對攻擊者來說無疑具有更大價(jià)值。不僅如此，勒索軟件運(yùn)營商也能夠利用 .pem 文件里面的密鑰開展未經(jīng)授權(quán)的訪問，甚至是服務(wù)器被接管。Vareikis 一再強(qiáng)調(diào)，泄漏一年多的數(shù)據(jù)對威脅者來說不亞于一個(gè)“金礦”。

ENC Security 公司回應(yīng)

在收到并仔細(xì)分析 Cybernews 研究小組報(bào)告后，ENC Security 迅速采取措施，解決安全問題。ENC Security 發(fā)言人表示，公司始終認(rèn)真對待數(shù)據(jù)的安全和保護(hù)，每一個(gè)安全問題都會被徹底研究并采取適當(dāng)?shù)拇胧┻M(jìn)行補(bǔ)救，必要時(shí)也會通知客戶進(jìn)一步加強(qiáng)安全。

ENC Security 也曾出現(xiàn)其它安全事件

Cybernews 研究小組的發(fā)現(xiàn)與 2021 年 12 月研究人員 Sylvain Pelissier 的發(fā)現(xiàn)一樣令人擔(dān)憂。

去年，Pelissier 演示了在 ENC Security  DataVault 加密軟件中發(fā)現(xiàn)的幾個(gè)漏洞，這些漏洞可能允許攻擊者在未經(jīng)檢測的情況下，獲取用戶密碼并修改 vault 中的文件。不止于此，DataVaul 軟件還使用了“計(jì)算工作量不足的密碼哈希”，這可能會讓攻擊者暴力破解用戶密碼。

當(dāng)時(shí)，ENC Security 承認(rèn) DataVault 軟件 6 和 7.1 及其衍生版本易受攻擊，不久后通過發(fā)布升級解決了漏洞。

Vareikis 告誡用戶，一些“超級”安全公司喜歡使用類似“軍用級”加密等詞匯，過度夸大產(chǎn)品能力，進(jìn)行虛假宣傳，對于這種宣傳，用戶應(yīng)當(dāng)始終持懷疑態(tài)度。

參考文章：https://cybernews.com/security/encsecurity-leaked-sensitive-data/