沙特阿拉伯工业和矿产资源部 (MIM) 的环境文件被曝光,敏感细节向任何愿意获取这些信息的人开放。Cybernews 研究团队认为敏感数据的访问期限为 15 个月。
环境 (env.) 文件充当计算机程序的一组指令,使其成为任何系统的关键组件。让这些文件向任何人开放会暴露关键数据,并为威胁行为者提供各种攻击选项。
与此同时,现已关闭的 MIM 环境。文件暴露了攻击者可用于在该部门系统内进行横向移动的信息,可能升级为从帐户接管到勒索软件攻击的任何行为。
MIM 是负责工业和矿产资源运营的政府机构。它成立于 2019 年,旨在实现沙特阿拉伯经济的多元化,摆脱石油和天然气的束缚。
据团队称,这是第一次 env。该文件被物联网搜索引擎索引的时间是 2022 年 3 月,这意味着该数据至少暴露了 15 个月。该文件已被关闭,公众无法再访问。
“网络犯罪分子可能会利用泄露的凭据来获得对政府系统的初始访问权限并发起勒索软件攻击。他们可能会尝试加密关键的政府数据,要求支付赎金才能发布数据,或威胁公开泄露敏感信息,”我们的研究人员表示。
我们已联系该部寻求评论,但在发表本文之前尚未收到评论。
哪些 MIM 数据被泄露?
暴露的环境。文件泄露了多种类型的数据库凭据、邮件凭据和数据加密密钥。例如,研究人员发现了暴露的 SMTP(简单邮件传输协议)凭据。
“通过访问政府 SMTP 凭据,攻击者可以冒充政府官员或员工进行社会工程攻击。他们可能试图欺骗受害者披露更多敏感信息、实施欺诈或获取其他系统或资源的访问权限,”研究人员表示。
现在关闭的环境。文件还包含 Laravel APP_Key。APP_Key 是用于加密的配置设置,例如保护会话数据和 cookie。暴露的 APP_Key 将使攻击者能够解密敏感信息,从而危及数据的机密性。
该团队还发现了 MySQL 和 Redis 数据库的凭据。组织使用 MySQL 数据库来存储、管理和检索数据。同时,Redis 用于应用程序中的实时分析和消息传递目的。
据该团队称,这两个数据库仅在本地网络上可用,这意味着如果攻击者已经在 MIM 系统中建立了立足点,他们就可以利用暴露的凭据。
拥有政府拥有的数据库的凭据可能会泄露敏感的政府信息、机密文件、个人身份信息 (PII) 或其他机密记录。
泄露数据的样本。
冒险生意
泄露此类信息的影响是深远而广泛的,因为攻击者可以执行帐户接管攻击。泄露的凭据使恶意行为者能够未经授权访问政府电子邮件帐户和数据库系统,从而可能被用来劫持通信、操纵数据、发送恶意电子邮件或进一步访问其他系统或资源。
该团队表示,泄露的数据库凭据确实会带来数据泄露和泄露的风险,因为泄露的凭据允许攻击者访问政府系统。
“这可能包括公民的个人身份信息 (PII)、机密信息、财务记录或其他敏感的政府数据。被盗数据可用于身份盗窃、勒索或在黑市上出售,”研究人员表示。
为避免类似问题,建议组织:
- 评估基础设施(包括数据库服务器)的整体安全性。识别可能导致凭证泄露的任何漏洞或错误配置,并采取措施解决这些问题。
- 评估现有的安全措施并考虑实施额外的保护措施,例如网络分段、入侵检测系统、敏感数据加密和定期安全审核。
- 立即更改受影响的 MySQL 和 Redis 数据库以及电子邮件帐户的密码,并撤销任何受损的凭据。
- 实施强大、唯一的密码和多重身份验证 (MFA)。
- 实施强大的监控系统,以检测并响应政府电子邮件系统内的任何异常或未经授权的活动。设置针对异常登录尝试、电子邮件转发或批量删除的警报。
发表评论
您还未登录,请先登录。
登录