当您购买索尼、Lexar或SandiskUSB密钥或任何其他存储设备时,它会附带一个加密解决方案,以确保您的数据安全。据悉,该程序由第三方厂商ENCSecurity开发,但近日Cyber??news研究团队披露,该公司一年多来一直在泄露其配置和证书文件。随着事件的发酵,ENCSecurity迅速做出回应,称泄漏原因是第三方供应商配置错误,接到通知后第一时间修复了漏洞。ENCSecurity是一家总部位于荷兰的公司,在全球拥有1200万用户,通过其流行的DataVault加密软件提供“军用级数据保护”解决方案。Cyber??news发现安全问题从Cyber??news披露的内容来看,泄露服务器中的数据主要包括销售渠道的简单邮件传输协议(SMTP)证书、单一支付平台的Adyen密钥、邮件的MailchimpAPI密钥营销公司、许可证支付API密钥、HMAC消息身份验证代码以及以.pem格式存储的公钥和私钥。从2021年5月27日到2022年11月9日,一年多来任何人都可以公开访问这些数据,直到Cyber??news向ENCSecurity披露漏洞后服务器关闭。安全研究员Vareikis表示,这些数据暴露了一年多,潜在的网络攻击者可以利用这些数据进行从网络钓鱼到勒索软件的网络攻击。举个简单的例子,攻击者可能通过销售沟通渠道向客户发送虚假发票或通过受信任的电子邮件地址分发恶意软件来欺骗客户。此外,MailchimpAPI密钥对攻击者来说无疑具有更大的价值,因为它们允许他们发送大量活动并查看和收集线索。不仅如此,勒索软件运营商还可以利用.pem文件中的密钥进行未经授权的访问,甚至接管服务器。Vareikis一再强调,泄露超过一年的数据对于威胁行为者来说无异于一座“金矿”。ENC安全响应在收到Cyber??news研究小组的报告并仔细分析后,ENC安全迅速采取措施解决安全问题。ENC安全发言人表示,公司一贯重视数据安全和保护,对每一个安全问题都会进行深入研究并采取适当措施进行补救,必要时会通知客户进一步加强安全。ENCSecurity还发现了其他安全事件,Cyber??news研究团队的发现与研究员SylvainPelissier在2021年12月的发现一样令人担忧。去年,Pelissier展示了在ENCSecurityDataVault加密软件中发现的多个漏洞,这些漏洞可能允许攻击者获取用户密码并在不被发现的情况下修改保管库中的文件。不仅如此,DataVaul软件还使用“计算不足的密码哈希值”,这可能允许攻击者暴力破解用户密码。当时,ENCSecurity承认DataVault软件6和7.1及其衍生产品存在漏洞,并在不久后发布了更新以解决该漏洞。Vareikis警告用户,一些“超级”安全公司喜欢使用“军用级”加密等词,过分夸大产品能力,并进行虚假宣传。用户应始终对此类宣传持怀疑态度。参考文章:https://cybernews.com/security/encsecurity-leaked-sensitive-data/
