「束手待斃」的德勤！請問你的安全措施真的不是在開玩笑？

02-03

德勤被黑真相

9月25日（本周一），全球「四大」會計事務所之一的德勤遭遇黑客攻擊的新聞被該公司當做小事一樁地忽略而過。

現在，有證據顯示，該公司的系統能夠被黑客滲透是有原因的：他們的安全措施可謂不堪一擊：關鍵系統的遠程桌面協議（RDP）是開放的，VPN和代理的詳細登錄信息也已經泄露。

本周二（9月26日），有研究人員在一個公開的GitHub存儲庫中發現了藏有德勤公司VPN密碼、用戶名以及操作細節的一系列數據包，這些數據包目前已被移除。此外，德勤的一名員工似乎還將公司代理登錄憑證上傳到了公開的Google+頁面中。這些信息在Google+頁面上滯留了超過6個月時間，剛在過去幾分鐘內才被刪除。

有眼尖的訪客發現了這些頁面並告知了我們，下面是我們抓取的幾張數據截圖：

除了泄漏公司的登錄信息之外，德勤公司大量的內部和關鍵系統的遠程桌面協議（RDP）也是可以公開訪問的。按照行業最佳實踐，所有這些設備都應該置於防火牆和雙因素身份驗證防護之下的。而且，諷刺的是，德勤公司為其客戶推薦的最佳做法也是這樣的，然而，其自身卻並沒有落實。

Phobos Group的創始人兼安全研究人員Dan Tentler在接受訪問時表示：

「僅僅是最後的一天，我就發現了7000-1.2萬台德勤的開放主機遍布在全球各地。它們涉及全球數十個業務部門，也就是數十個擁有不同能力水平的IT部門。我只能說：這次真的是糟糕透了。」

舉個例子，研究人員在南非發現了一台德勤的Windows Server 2012 R2伺服器，似乎正作為活動目錄（AD）伺服器在使用，其遠程桌面協議（RDP）是開放的，而且更糟糕的是，其安全更新仍處於等待安裝的狀態。其他案例也顯示，IT部門正在使用過時的軟體，且各種安全措施失效等。

除此之外，安全研究人員還發現，目前還有很多其他東西正在網上暴露著，使用Shodan搜索引擎就能搜索到，等於是在等著犯罪分子和其他好奇的人進行刺探。Kevin Beaumont就在其Twitter中表示，

「德勤美國辦事處的幾乎所有東西都在網上掛著——從NetBIOS到RDP再到Exchange管理員密碼（單因素驗證）等等。他們真的需要一名安全審計員。」

研究人員指出，這些毫無設防的系統可以被黑客用作進入其（德勤）內部網路的關鍵立足點，等於為黑客入侵敞開了大門。

而暴露的Google+頁面似乎表明，這名德勤員工已經將VPN訪問控制寫進了其所有人可見的個人頁面中。只需要使用谷歌的搜索功能，黑客就可以輕鬆地找到足夠的信息來發起成功率很高的攻擊活動。

後續影響

而最令人尷尬的是，這一切就發生在2012年獲得「全球頂級IT安全諮詢公司」稱號的德勤公司身上。該公司致力於為全球頂尖企業和政府機構出售高科技服務，並賺取巨額盈利，但是，其似乎忽略了自身IT基礎設施中的潛在漏洞。

目前不斷湧現的信息對分析公司Gartner而言同樣十分尷尬，因為該公司在今年6月份已經連續5年提名德勤為「全球最佳IT安全諮詢公司」。Gartner目前尚未就「關於其結論是如何得出的」詢問做出任何回應。

據悉，德勤的商業做法一直不太被其他安全研究人員所喜歡。該公司一直喜歡與其他服務承包商打「價格戰」，破壞市場秩序——尤其是在滲透測試領域，此次德勤曝出如此安全醜聞，想必有些企業應該會感到幸災樂禍。一位網名為「Responder」的人士就在其Twitter上發文嘲笑稱，

「德勤一直喜歡打『價格戰』，收費少於1000／人／日。現在好了，你可以看到這種價格買到的到底是什麼服務質量了。」

Tentler也表示，

「從Equifax和德勤事件中不難看出，美國安全行業公司的各種豪言壯語不過是『紙糊的燈籠』，中聽不中用，實際上都是只說不做的假把式。可能你會想說，德勤不是宣稱自己有各種大神級安全人才嗎，但是如果事實真的是那樣，他們為什麼不在自己的基礎設施上利用這些大牛？」

截止文章發稿之時，德勤公司尚未對該評論做出任何回應。

本文翻譯自 https://www.theregister.co.uk/2017/09/26/deloitte_leak_github_and_google/ ，如若轉載，請註明原文地址： http://www.4hou.com/info/news/7830.html 更多內容請關注「嘶吼專業版」——Pro4hou