德勤网络安全智商测试游戏被黑

德勤公司的“黑客IQ”是一个用户网络安全知识有奖问答游戏，但颇具讽刺意味的是，这个游戏昨晚被黑客攻破后发现了一些非常low的安全问题。

昨天，安全研究员Tillie Kottmann（@antiproprietary）获得了对该网站的访问权限，导致改游戏下线。Kottmann随后在网上发布了屏幕截图，显示“黑客IQ”网站mySQL数据库以纯文本方式存储用户名和密码。

“我在扫描带暴露.git文件夹的站点时找到了该站点，这使我可以使用.gitignore文件中的专用工具（如git-dumper或goop）克隆它们。”Kottmann透露：“然后我找到了配置文件的路径，并刚刚测试了它是否也可以通过http访问。”

除了明文存储用户账户信息，“黑客IQ”还托管在已到期的Ubuntu Linux 14.04上，容易受到多个未修补漏洞的攻击。

这一事件在Twitter上引起了轰动，因为颇具讽刺意味，一个强调安全意识的公司和程序，后台工作完全是另外一种画风。

Allan MacGregor开玩笑说：“好消息是黑客IQ不是一个价值300亿美元的知名度很高的品牌，而是专门为这类问题提供咨询和咨询公司的专家。”

在撰写本文时，Kottmann的推文已经有1000多个转发和3,000个赞。

德勤发言人在电子邮件中指出，由于“黑客IQ”测试游戏是由第三方托管的，因此对其系统没有影响：

“该平台由第三方托管，与任何其他Deloitte系统不同，对任何其他德勤系统都没有影响。自2015年以来，该网站一直未得到积极使用，现在已被删除。我们在评估此事件和其他潜在的网络威胁时保持警惕。我们坚定地致力于维护与最佳实践保持一致的网络防御，大力投资保护机密信息，并不断审查和增强我们的网络安全。”