Сотрудники DirectDefense обнаружили на VirusTotal конфиденциальную информацию клиентов компании Carbon Black.
Специалисты компании DirectDefense обнаружили на сервисе VirusTotal конфиденциальные корпоративные данные клиентов производителя EDR -решений (Endpoint Protection Platforms, платформы для защиты конечных точек) Carbon Black.
Платформы EDR работают, полагаясь на белые списки файлов и приложений. При обнаружении файла, которого нет в белом списке, решение загружает его в облако, откуда файл попадает на сервис, осуществляющий анализ подозрительных файлов. В зависимости от результата мультисканера, файл классифицируется EDR-продуктом как вредоносный или безвредный. Проблема заключается в том, что даже если мультисканер или EDR-решение переименуют файл, используя хеши, копии файлов все равно сохранятся на сервисе. Большинство таких сервисов работают по модели платного доступа, то есть любой человек может получить доступ к данным анализа проверенных файлов и скачать их для своих целей. Именно так сотрудники DirectDefense обнаружили утечку информации клиентов Carbon Black.
По словам главы DirectDefense Джима Брума (Jim Broome), в середине 2016 года специалисты компании проводили проверку возможной утечки данных одного из своих клиентов и в процессе анализа образца вредоносного ПО с помощью online-сканера VirusTotal и случайно обнаружили на сервисе ряд необычных файлов, которые оказались внутренними приложениями крупного производителя телекоммуникационного оборудования. Копнув глубже, исследователи выявили «сотни тысяч файлов, содержащих терабайты данных», которые были загружены одним и тем же аплоадером.
«Этот сервис скрывает загрузчика под ключом API, в данном случае - 32d05c66. Мы провели небольшое исследование и выяснили, что это первичный ключ, используемый Carbon Black для загрузки файлов решения Cb Response», - отметил Брум.
Как утверждает глава DirectDefense, сотрудники компании выявили огромное количество конфиденциальной информации, значительная часть из которой принадлежала компаниям из списка Fortune 1000, в том числе Amazon, Google и Apple.
В комментарии, касательно заявления DirectDefense, представители компании Carbon Black отметили , что функция, позволяющая клиентам делиться информацией с третьими сторонами для дополнительной возможности обнаружения угроз, которую описала DirectDefense, является опциональной и отключена в решении Cb Response по умолчанию. В случае, если пользователь активирует функционал, он будет проинформирован о предоставлении данных третьим сторонам. Представители фирмы обвинили DirectDefense в «крайне безответственном обнародовании информации, как по отношению к Carbon Black, так и по отношению к компаниям, приведенным в качестве примера».
В ответ Джим Брум заявил , что уверен в своем исследовании. По его словам, компании было известно, что функционал в настройках решения Cb Response отключен по умолчанию, но DirectDefense забыла упомянуть об этой важной детали в своем оригинальном исследовании, чем ввела в заблуждение пользователей и прессу.
VirusTotal - бесплатный online-сканер, осуществляющий анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.
От классики до авангарда — наука во всех жанрах