Контакты
Подписка
МЕНЮ
Контакты
Подписка

Производителя EDR-решений Carbon Black обвинили в утечке терабайтов данных клиентов

Производителя EDR-решений Carbon Black обвинили в утечке терабайтов данных клиентов

Производителя EDR-решений Carbon Black обвинили в утечке терабайтов данных клиентов


10.08.2017



Специалисты компании DirectDefense обнаружили на сервисе VirusTotal конфиденциальные корпоративные данные клиентов производителя EDR -решений (Endpoint Protection Platforms, платформы для защиты конечных точек) Carbon Black.

 Платформы EDR работают, полагаясь на белые списки файлов и приложений. При обнаружении файла, которого нет в белом списке, решение загружает его в облако, откуда файл попадает на сервис, осуществляющий анализ подозрительных файлов. В зависимости от результата мультисканера, файл классифицируется EDR-продуктом как вредоносный или безвредный. Проблема заключается в том, что даже если мультисканер или EDR-решение переименуют файл, используя хеши, копии файлов все равно сохранятся на сервисе. Большинство таких сервисов работают по модели платного доступа, то есть любой человек может получить доступ к данным анализа проверенных файлов и скачать их для своих целей. Именно так сотрудники DirectDefense обнаружили утечку информации клиентов Carbon Black.

 По словам главы DirectDefense Джима Брума (Jim Broome), в середине 2016 года специалисты компании проводили проверку возможной утечки данных одного из своих клиентов и в процессе анализа образца вредоносного ПО с помощью online-сканера VirusTotal и случайно обнаружили на сервисе ряд необычных файлов, которые оказались внутренними приложениями крупного производителя телекоммуникационного оборудования. Копнув глубже, исследователи выявили "сотни тысяч файлов, содержащих терабайты данных", которые были загружены одним и тем же аплоадером.

 "Этот сервис скрывает загрузчика под ключом API, в данном случае - 32d05c66. Мы провели небольшое исследование и выяснили, что это первичный ключ, используемый Carbon Black для загрузки файлов решения Cb Response", - отметил Брум.

 Как утверждает глава DirectDefense, сотрудники компании выявили огромное количество конфиденциальной информации, значительная часть из которой принадлежала компаниям из списка Fortune 1000, в том числе Amazon, Google и Apple.

 В комментарии, касательно заявления DirectDefense, представители компании Carbon Black отметили  , что функция, позволяющая клиентам делиться информацией с третьими сторонами для дополнительной возможности обнаружения угроз, которую описала DirectDefense, является опциональной и отключена в решении Cb Response по умолчанию. В случае, если пользователь активирует функционал, он будет проинформирован о предоставлении данных третьим сторонам. Представители фирмы обвинили DirectDefense в "крайне безответственном обнародовании информации, как по отношению к Carbon Black, так и по отношению к компаниям, приведенным в качестве примера".

 В ответ Джим Брум заявил , что уверен в своем исследовании. По его словам, компании было известно, что функционал в настройках решения Cb Response отключен по умолчанию, но DirectDefense забыла упомянуть об этой важной детали в своем оригинальном исследовании, чем ввела в заблуждение пользователей и прессу.

 VirusTotal - бесплатный online-сканер, осуществляющий анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.

 

Securitylab