1克拉钻石多少钱世界第一大安全咨询公司德勤被黑,这年头吹牛也有风险了-中国法律文书网
2017年04月08日世界第一大安全咨询公司德勤被黑,这年头吹牛也有风险了-中国法律文书网
9月25日,跨国咨询公司德勤被黑的消息,被该公司当做小事件轻描淡写地掠过。如今,证据显示凡人寻仙路,该公司被渗透不是没有原因的——他们的安全简直做的乱七八糟:关键系统的远程桌面协议(RDP)是开放的,崔心心 VPN和代理的登录信息还被泄露。而就在前不久,Gartner的报告还把德勤列为世界第一大安全咨询公司1克拉钻石多少钱,28.6亿美元的安全年收入,堪称全球第二大安全业务收入的公司。(参考:全球网络安全年收入超10亿美元以上的15家公司)
9月26日阔耳狐,某公开GitHub存储库中,被人发现藏有含德勤公司VPN口令、用户名和操作细节的一系列数据包江北女匪。另外,德勤的一名雇员,似乎将公司代理登录凭证猩球征服,上传到了他的公开Google+页面。该信息在上面足足待了6个月之久,才被清除。
眼尖的用户发现了这些页面并告知了媒体,以下就是媒体抓下来的两张数据截屏:
这些潜在的公司登录信息泄露之上,德勤还有大量的内部和关键系统,非必要地直面了公共互联网——启用了远程桌面访问功能。按照业界最佳实践,所有这些,本应位于防火墙和双因子身份验证防护之后的。讽刺的是克勤郡王府,德勤自己给客户的建议,也是这样。
Phobos Group创始人,安全研究员丹·腾特勒称:“仅最后一天,我就发现了7000到1.2万台德勤的开放主机,遍布全球。我们说的可是全球几十个业务单位,也就是不同能力水平的几十个 IT部门。我只能想到一句:‘这是真·可利用啊’梁梓豪。”
比如说,南非的一台德勤的Windows Server 2012 R2服务器,似乎是作为活动目录(AD)服务器使用,但RDP大开,且安全更新都在挂起状态,十分令人担忧。其他案例中,暴露出IT部门使用过时软件,各种安全措施失效等等。
而且,如其他信息安全专家指出的,还有很多其他东西也在网上挂着,用Shodan搜索引擎就能搜到,根本是坐等不法之徒和其他好奇的人刺探。比如德勤美国公司就几乎什么都不设防侯小媛,从NetBIOS到RDP到Exchange管理员口令(单因子验证)等等等等,全都面向互联网开放天长人才网。他们真的需要审计员。
这些系统可以被用作黑客进入其内部网络的关键桥头堡。
暴露出来的那个Google+页面,显示出一名德勤员工将VPN访问控制,写进了其所有人可见的个人页面中。就用谷歌引以为傲的搜索功能,黑客可以轻易地找出足够信息,发起成功率颇高的攻击。
所有这些,对自我标榜为业界顶级IT安全咨询公司的德勤来说,可谓令人尴尬姬动。该公司以可观的价格向其他公司出售其技术大师的服务,赚取千百万盈利,却无视了其自身IT基础设施中的潜在漏洞。
目前涌现的信息,还让分析师公司Gartner大失颜面——该公司已连续5年提名德勤为全球最佳IT安全咨询公司。Gartner尚未就其结论是如何做出的询问给出任何回应。
然而不回应无济于事,德勤的商业操作不太为同行所喜。该公司向来有虚报低价招揽客户的恶名——尤其是在渗透测试上,而对其自身安全如此之糟的幸灾乐祸,也愉悦了一些人。
德勤总想打破渗透测试底价,恨不得每人天少于1千美元胡茵梦。好了,现在你可以看到这种价格得到的是什么服务了。
前有Equifax,后有德勤,从中不难看出岑凯伦,这些美国安全行业公司的各种豪言壮语,不过是假道学而已。
“
你会想,德勤说自己拥有这些大神级安全人才。如果情况果真如此,那他们还不在自己的基础设施上用?
德勤还没有对该评论做出回应。