悲剧!德勤数据泄漏竟因员工将Google+公开平台当记事本

摘要: 两日前本平台曾发布《》周二:德勤公司大量VPN泄露,其中包括用户名、密码以及操作细节,这些都被发布在一个Gi

09-30 13:11 首页 四大新鲜事儿

两日前本平台曾发布《德勤网络平台遭攻击 部分客户数据被黑客访问》

德勤官方表示,他们在今年三月份发现了此次网络攻击,但是他们认为这个身份不明的攻击者也许早在2016年十月或十一月份就已经入侵了他们的电子邮件系统。这名攻击者通过使用一个管理员账号成功获取到了Deloitte(德勤)公司电子邮件服务器的访问权,且该系统并没有部署任何的双因素身份认证机制(2FA),从而导致攻击者能够不受任何限制地访问Deloitte(德勤)的微软邮箱。


后来据海外媒体报道,德勤公司大量VPN泄露,其中包括用户名、密码以及操作细节,这些都被发布在一个Github仓库中(内容在不久之后被删除)。

后经查证,一位德勤员工在大约六个月前将公司代理登录凭证上传至他的Google+上,Google+页面是公开所有人可见的。黑客可以轻易地找出足够信息,发起成功率颇高的攻击。这些信息直到刚刚才被删除。


现在依然能找到相关信息的截图。(关键信息已经涂抹)




据安全专家分析,通过对泄露的登录信息分析可知,德勤将一些关键的系统公开在外,并且开启了远程桌面访问。然而安全起见这些都是应该设置在防火墙后并开启双因子认证的,事实上,德勤往往对他的客户推荐这种做法,虽然他自己并没有做到。


Phobos Group创始人,安全研究员Dan Tentler告诉The Register记者“就在昨天,我在全球范围内探测到了德勤开放的7000到12000台主机。而且各个地方IT部门水平参差不齐,服务器存在很多可以利用的点”


举例来说,他发现德勤在南非的一台运行Winodws Server 2012 R2的服务器开启了RDP,且有一个Active Directory服务器,可是安全更新处于停滞状态,并且可以看出IT部门一直在用老旧的软件,其中存在非常多的安全隐患。

此次泄漏让德勤处境十分尴尬,因为德勤向客户提供网络风险咨询,也是德勤最重要的一个服务单元,曾被评为全球最佳网络安全顾问。德勤已对这起公司史上最严重的信息安全事件展开内部审查,仍在评估影响与损失中。前不久,著名分析公司Gartner的报告还把德勤列为世界第一大安全咨询公司,可谓被啪啪打脸!


迄今为止,德勤中国是否存在数据泄露尚不得而知。当然,德勤中国官方目前正忙于百年庆典以及出席各种官方对接活动可能无暇顾及此事件。鉴于此事件影响巨大,小编委婉建议德勤中国应该主动站出来澄清中国客户的数据安全情况,以免引起市场更多的猜疑对品牌造成的负面恶劣影响!吃一堑长一智!


参考来源: 安全客、 Cisco思科CCIE俱乐部、福布斯


近期大咖讲热门线上分享:

【7月17日、19日回放】创业股权必修课--股权结构设计及退出机制(上、下)

【7月20日|公开课回放】如何设立开曼投资基金

7月26日回放】融资租赁资产证券化法律操作实务与案例分析

【7月27日|回放】互联网时代下的战略财务之私募股权融资

【8月2日|回放】透视企业舞弊-ACFE调研报告解析

【8月3日|回放】财务共享中心如何打造更大舞台?

【8月8日|回放】五证合一下的工资发放设计与薪酬财税减控

【8月17日|回放】国有股转持相关法律问题

【8月22日|回放】金融求职篇|从商业银行财务报表出发助攻银行业求职

【8月23日|回放】私募基金登记及产品发行热点问题分析

【8月24日|回放】如何将财务部从成本中心变为利润中心

【8月29日|回放】适用于个人投资者的另类投资工具

【8月30日|回放】企业首次公开发行股票并上市(IPO)相关法律问题详解

【9月12日|回放】金融求职篇|从商业银行财务报表出发助攻银行业求职(下

【9月14日|回放】《私募投资基金管理暂行条例》(征求意见稿)简析

【9月20日|回放】如何写出符合金融行业规范的简历

【9月21日|回放】私募投资基金法律监管体系及合规要点解析

更多分享请点击【阅读原文】可进入大咖讲网站收听在线分享


首页 - 四大新鲜事儿 的更多文章: