安全公司Carbon Black客户数据泄漏：多家财富1000强企业TB级别隐私数据流出

8 月 9 日，安全公司 Carbon Black 被控泄露 TB 级别其客户企业的机密数据。泄露的数据来自多家财富 1000 企业，数据内容包括了用户机密数据、财务记录、网络情报和其它敏感数据。安全管理策略提供商 DirectDefense 的公开博客中写道，这些企业所采用的 Carbon Black EDR（终端检测及响应）安全解决方案中存在问题，正在泄漏数十万个敏感文件。

面对指控，安全公司 Carbon Black 则表示并非是他们将客户敏感数据泄漏出去，相反，正是这些使用EDR方案的企业自己，也许是偶然地，将自己的敏感数据泄露在云端服务器上。

Carbon Black 是一家领先的事件响应和威胁狩猎公司，被誉为新一代的安全领先企业，目前为美国近三十个最大的公营及私营公司提供安全产品，客户中还包括硅谷领先的互联网搜索、社交媒体、政府和金融相关企业。

问题在于 EDR 的产品运作流程

EDR解决方案的工作流程是管理列入白名单的文件和应用程序。当EDR产品找到不包含在其数据库中的新文件时，会把这个新文件上传到他们的云服务器中，然后使用多重引擎扫描确认安全性（如VirusTotal）。根据多重扫描的结果，它会确认这个文件是否可以进入白名单，还是列入黑名单。问题在于，即便EDR和多重扫描都使用哈希值对文件重命名了，所有文件的副本还是保留在多重引擎扫描的云服务器上。

多数多重扫描支持付费访问模式，而多数恶意软件分析师、政府部门、以及企业安全团队、安全公司都会为相关人员购买使用权限。这样这些人都可以看到过去扫描存储的文件，甚至下载这些文件进行深度分析！ —— DirectDefense

DirectDefense 的 Jim Broome 说，

这可以说是全世界最大的付费参与的数据渗透僵尸网络。 2016年中期，我们使用了基于云的多重引擎扫描来帮助安全研究，分析恶意软件。而多重引擎扫描中有个很有用的功能——我们可以在上下文中搜索类似的恶意软件，在这样做时，我们偶然发现了几个特别的文件。这些文件看似是这些似乎电信设备供应商的内部文件，与我们的原始客户完全不相关。我们顺着兔子洞继续向下挖掘，最终得到了很多其他文件。

DirectDefense 在深入调查后，研究团队发现这些上传文件使用的 API 密钥（32d05c66）。一旦团队拥有该主键，就可以找到 “数十万个、TB级别的数据文件”。

事件涉及多家财富 1000 强企业数据

DirectDefense 表示他们发现的敏感数据涉及的企业，大部分来自财富1000强企业，如大型流媒体、社交网络、金融机构等企业。

某大型流媒体企业：泄漏AWS和IAM身份凭证、Slack API 密码、Atlassian团队密码、管理员凭证、Google Play 密码、Apple Store ID 某社交网络企业：硬加密的 AWS和 Azure 密码、内部用户名和密码 某金融服务企业：涉及金融数据的 AWS 密码、涉及交易机密、金融模型、客户信息的数据

DirectDefense同时表示，他们将这些信息通告出来，并不是希望攻击某些客户或安全厂商

Carbon Black 回应

面对 DirectDefense 的指控，Carbon Black 联合创始人兼首席技术官 Michael Viscuso 发布回应称，他们的产品并不会将所有文件自动上传到 VirusTotal 上，与此相反，默认情况下是禁用这项上传功能的。

“Cb Response 具备这样的功能，让用户将未知可疑文件上传到云端多重扫描器上进行自动识别。我们也在用户选择这些服务的时候，一并告之这些用户共享文件的隐私风险。 如果用户启用了第二个选项（允许使用VirusTotal上传完整的二进制文件），Cb Response会确保用户明确了解上传文件的风险，并提供了警示信息。

DirectDefense也在最新的声明中提到，Carbon Black 的说法的确属实。但现实情况就是， EDR 产品出现的这个数据泄漏问题，可能并非 Carbon Black 独有，其他的 EDR 供应商也可能以同样的方式泄露客户的数据。