目录导航
安全研究员 Jeremiah Fowler 与 Website Planet 研究团队一起发现了一个开放且不受密码保护的数据库,其中包含 12,976,279 条记录。数据集的总大小为 58 GB,包含内容管理数据,包括员工 PII。经过进一步研究,几乎所有记录都包含指示 FOX 新闻内容、存储信息、内部 FOX 电子邮件、用户名、员工 ID 号、附属电台信息等的信息。一个文件夹包含 65,000 个名人、演员和制作人员的姓名以及他们的内部 FOX ID 参考号。这些记录还捕获了广泛的数据点,包括事件日志、主机名、主机帐号、IP 地址、接口、设备数据等等。
许多记录都被标记为“prod”,这通常是生产或现场记录的缩写。我们立即发送了一份负责任的披露通知,不久之后公众访问受到限制。该环境被列为“CRM”,我们在记录中没有看到任何对测试或演示的引用。
简而言之,内容管理系统可帮助组织管理数字内容。正如大量文件所表明的那样,像 FOX News 这样大的组织需要一个复杂而精密的内容管理系统。数字资产管理数据库详细展示了按用户、管理员和内容划分的内部协作环境。
数据库包含的内容:
- 总大小:58.03 GB
- 文档总数:12,976,279
- 许多对“平台”的引用和重定向到 Comcast Technology Solutions 的链接以及所有内容都与 FOX 相关。(ThePlatform 是一个在线视频管理平台,为媒体公司管理、货币化和联合视频观看)。
- FOX 的内部 CRM 记录,显示用户 ID、事件记录、主机名、IP、接口和设备数据。许多记录都标有生产。
- 大量用户的电子邮件地址,包括 701 个内部@fox.com 电子邮件地址,这些电子邮件地址可能面临有针对性的网络钓鱼活动的风险。这些电子邮件还包括内部 ID 号和安全或用户角色。
- 这些文件还显示了数据的存储位置、内容交付路径,并作为网络如何从后端运行的虚拟蓝图。还有指向 FTP(文件传输协议)和内容存储位置的链接。
- 不受密码保护且未加密的数据库面临勒索软件攻击的风险,该攻击会加密数据。暴露的环境被标记为“CRM”,并且可能允许网络犯罪分子插入恶意代码或识别漏洞以应对未来的网络攻击。
索引显示收集和存储的数据类型。这些文件夹包含有关如何过滤记录的描述或缩写。共有 102 个文件夹,其标题包括用户角色、users-publisher、users_v2、video-publisher、dcc-person-data 和其他与内容相关的名称。
电子邮件帐户如何出现在数据库中。还有许多其他电子邮件帐户,包括 700 多个内部 @Fox 帐户。
详细查看记录如何显示在 FOX 新闻节目中收集了哪些信息,以及有关单个剧集、API 数据、存储位置、内部和外部 ID 等的日志信息。
用户角色的示例以及他们在 CMS 系统中将拥有的权限。这将指示哪些用户可以发布、编辑或删除内容以及如何列出和识别这些操作。
Fox 安全团队回复:
“再次感谢您分享您的观察。作为昨天我们电子邮件的后续行动,我们继续调查并确定您的电子邮件中引用的数据库是一个未连接到任何生产环境的开发环境。公开访问此类数据库的能力已得到解决。作为我们调查的一部分,我们正在审查日志以确定对数据库的任何匿名访问。”
作为安全研究人员,我们没有责任质疑或争论数据库是否是特定环境(例如生产或开发)。我们只报告数据库包含的内容、谁拥有数据,然后提供这些数据如何成为潜在安全风险的真实示例。我们能够验证电子邮件样本和用户名是真实的个人和 FOX News 员工。
数据中有许多对 Comcast Technology Solutions 的引用。我们最初怀疑这些记录可能是由康卡斯特管理的,他们对数据泄露负有责任。我们联系了他们的安全团队,他们确认 Comcast 没有管理此数据集,并且它可能属于使用他们服务的客户,但无法识别客户是谁。Comcast 为娱乐业提供元数据管理,最近发布了一个案例研究,题为“ FOX 的元数据改造”
这个公开的数据集是对 FOX 新闻内容交付方式的完整幕后研究,以及用于管理数据的标准的详细列表。这包括内容格式、交付渠道、来自广告、订阅或免费等内容的收入等等。
这种暴露的危险
开发环境通常反映实时生产环境并使用相同的存储库、中间件和基础设施。在这种情况下,任何有互联网连接的人都可以访问这些记录,以及看似真实的内部用户数据,以及某种形式的 CRM 系统。一旦网络犯罪分子知道了 FOX 新闻使用的 IP、url、帐号、具有管理凭据的个人和软件应用程序,这也将成为识别潜在漏洞或攻击媒介的宝贵信息。
包含真实数据的开发环境有时会无意中产生一系列网络安全风险。员工电子邮件地址构成了从有针对性的网络钓鱼活动到长期社会工程攻击的威胁。假设网络犯罪分子可以看到谁拥有管理权限并尝试访问他们的帐户和任何其他受密码保护的资产。他们可以参考只有员工才知道的内部信息来建立信任关系。减轻这种风险的一种方法是启用双因素身份验证或其他额外的安全措施。
民族国家或独裁政权以新闻机构为目标以识别举报人或以调查记者为目标并非不可能。这是媒体和新闻机构成员每天都面临的真正威胁。针对记者的最臭名昭著的案例之一是军用级 Pegasus 间谍软件。恶意链接可以通过电子邮件或短信发送,在某些情况下,受害者甚至不需要触摸他们的设备就可以使用“零点击”传递方法被感染。我们并不是说 FOX 记者成为目标或处于危险之中,只是根据针对记者和媒体成员的网络威胁的真实历史提出这种可能性。
任何不受密码保护的数据库都可能允许某人将恶意代码插入网络。犯罪分子或国家行为者假设拥有内容基础设施的工作蓝图,并轻松识别正在使用的第 3 方软件版本和构建。他们还可以查看软件是否未打补丁、已过时或未使用最新版本。一旦他们在理论上获得了这些信息,他们就可以寻找已知的漏洞并尝试使用后门或其他攻击向量来获取访问权限。安全界众所周知的事实是,开发环境通常缺乏适当的安全保护来防止有针对性的网络攻击。
FTP、访问身份验证和用户 ID 号的示例如何出现在数据库中。
识别 FTP URL、目录和文件夹的位置也存在潜在风险。FTP代表文件传输协议,允许在计算机之间传输文件。不幸的是,FTP 是一项已有近 50 年历史的技术,其设计初衷并不是为了确保安全或抵御现代威胁环境。安全社区中的许多人认为 FTP 是一种不安全的协议,并且这些信息可能会成为暴力攻击、数据嗅探、凭证欺骗和其他低技术方法的目标。FTP 的另一个潜在安全漏洞是身份验证方法使用未加密的纯文本用户名和密码,从而使数据可能容易受到攻击。
FOX 安全团队迅速而专业地采取行动,关闭了对不安全和公开暴露的数据库的访问。目前尚不清楚这些记录暴露了多长时间,或者还有谁可能访问了数据集。作为安全研究人员,我们从不提取或下载我们发现的数据,并且只截取有限数量的屏幕截图用于验证目的。我们并不暗示 FOX News、Comcast Technology Solutions 或其合作伙伴有任何不当行为。我们也不是暗示任何客户或用户数据存在风险。
我们只是强调我们的发现,以提高人们对错误配置的数据库、公开暴露的内部记录以及这些数据的存储方式所带来的危险和网络安全漏洞的认识。我们建议任何发生影响使用真实数据的环境的数据事件的公司或组织考虑更改管理和用户凭据。加密敏感数据、制定网络卫生实践并经常进行渗透测试总是一个好主意。
转载请注明出处及链接