暴露的密码允许黑客访问内部Comodo文件

 
黑客通过使用错误地在互联网上暴露的电子邮件地址和密码获得了安全公司和SSL证书颁发者Comodo拥有的内部文件和文档的访问权限。
凭证在Comodo软件开发人员拥有的公共GitHub存储库中找到。通过手中的电子邮件地址和密码，黑客能够登录公司的Microsoft托管云服务。该帐户未受双因素身份验证保护。
发现该证书的荷兰安全研究员Jelle Ursem与WhatsApp联系Comodo副总裁Rajaswi Das以确保账户安全。密码在第二天被撤销。
Ursem告诉TechCrunch，该帐户允许他访问内部Comodo文件和文档，包括公司OneDrive中的销售文档和电子表格 – 以及公司在SharePoint上的组织图，使他能够查看团队的传记，联系信息，包括电话号码和电子邮件地址，照片，客户文档，日历等。
他还分享了几个文件夹的截图，其中包含与几个客户签订的协议和合同 – 每个文件名中包含客户的名称，例如医院和美国州政府。其他文件似乎是Comodo漏洞报告。然而，Ursem对数据的粗略审查没有发现任何客户证书私钥。
“看到他们是一家安全公司并颁发SSL证书，你会认为他们自己环境的安全性将首先高于一切，”Ursem说。
但根据Ursem的说法，他不是第一个找到暴露的电子邮件地址和密码的人。
他告诉TechCrunch说：“这个帐户已经被其他人发黑了，他们一直在发送垃圾邮件。”他分享了一封发送的垃圾邮件的截图，声称可以向法国财政部提供退税。
我们在出版之前联系了Comodo以征求意见。一位发言人表示，该帐户是“用于营销和交易目的的自动帐户”，并补充道：“所访问的数据未受到任何方式的操纵，并且在被研究人员通知后数小时内，帐户被锁定。”
这是公共GitHub存储库中公开的公开密码的最新示例，开发人员在线存储代码。开发人员经常上传文件，无意中包含用于内部测试的私有凭据。像Ursem这样的研究人员定期扫描存储库以获取密码并将其报告给公司，通常是为了换取bug奖励。
今年早些时候，Ursem在员工的GitHub公共账户上发现了一套类似暴露的内部华硕密码。在黑客在GitHub上发现内部凭证后，优步在2016年也遭到破坏。