黑客通過使用錯誤地在互聯(lián)網(wǎng)上暴露的電子郵件地址和密碼，獲得了安全公司和SSL證書頒發(fā)者Comodo擁有的內(nèi)部文件和文檔的訪問權(quán)限。憑證在Comodo軟件開發(fā)人員擁有的公共GitHub存儲庫中找到。通過手中的電子郵件地址和密碼，黑客能夠登錄公司的Microsoft托管云服務。該帳戶未受雙因素身份驗證保護。發(fā)現(xiàn)該證書的荷蘭安全研究員Jelle Ursem與WhatsApp聯(lián)系Comodo副總裁Rajaswi Das以確保賬戶安全。密碼在第二天被撤銷。

Ursem告訴TechCrunch，該帳戶允許他訪問內(nèi)部Comodo文件和文檔，包括公司OneDrive中的銷售文檔和電子表格 - 以及公司在SharePoint上的組織圖，使他能夠查看團隊的傳記，聯(lián)系信息，包括電話號碼和電子郵件地址，照片，客戶文檔，日歷等。

Comodo內(nèi)部網(wǎng)站上的員工日歷的屏幕截圖。(圖片：提供)

他還分享了幾個文件夾的截圖，其中包含與幾個客戶簽訂的協(xié)議和合同 - 每個文件名中包含客戶名稱，例如醫(yī)院和美國州政府。其他文件似乎是Comodo漏洞報告。然而，Ursem對數(shù)據(jù)的粗略審查沒有發(fā)現(xiàn)任何客戶證書私鑰。

“看到他們是一家安全公司并頒發(fā)SSL證書，你會認為他們自己環(huán)境的安全性將首先高于一切，”Ursem說。

但根據(jù)Ursem的說法，他不是第一個找到暴露的電子郵件地址和密碼的人。

他告訴TechCrunch說：“這個帳戶已經(jīng)被其他人發(fā)黑了，他們一直在發(fā)送垃圾郵件。”他分享了一封發(fā)送的垃圾郵件的截圖，聲稱可以向法國財政部提供退稅。

我們在出版之前聯(lián)系了Comodo以征求意見。一位發(fā)言人表示，該帳戶是“用于營銷和交易目的的自動帳戶”，并補充道：“所訪問的數(shù)據(jù)未受到任何方式的操縱，并且在被研究人員通知后數(shù)小時內(nèi)，帳戶被鎖定。”

這是公共GitHub存儲庫中公開的公開密碼的最新示例，開發(fā)人員在線存儲代碼。開發(fā)人員經(jīng)常上傳文件，無意中包含用于內(nèi)部測試的私有憑據(jù)。像Ursem這樣的研究人員定期掃描存儲庫以獲取密碼并將其報告給公司，通常是為了換取bug獎勵。

今年早些時候，Ursem在員工的GitHub公共賬戶上發(fā)現(xiàn)了一套類似暴露的內(nèi)部華碩密碼。在黑客在GitHub上發(fā)現(xiàn)內(nèi)部憑證后，優(yōu)步在2016年也遭到破壞。