德国军方的安全漏洞导致 6000 多次会议在网上泄露,其中一些是机密会议。
根据 Zeit Online 的研究,截至周五晚上,互联网上已经开放了数千个讨论德国联邦国防军内部信息的视频会议链接。其中许多被列为机密。
军方意识到这个问题后,表示该漏洞已在 24 小时内得到修复。
军方发言人告诉法新社,“在与会者不知情或未经授权的情况下,不可能参加视频会议。”
德国联邦国防军也不会定期删除旧视频。
几个月来,外部人员能够查看元数据,其中包括使用 Cisco Webex 系统举行的联邦国防军会议的时间、参与者和主题。
一份报告称,这些会议是连续编号的,显然可以猜测相应的 URL,从而揭示有关过去或即将举行的会议的信息。
由名字和姓氏组成的其他标识符也可能用于创建电子邮件地址数据集。会议有电话拨入选项,这会带来额外的风险,因为它们缺乏加密和适当的参与者身份识别。
Zeit 的研究基于Netzbegrünung协会安全专家的一项发现。
报告强调,“许多会议的标题都是可见的,其中一些会议的标题中明确包含‘机密信息——仅供官方使用’的分类。”
Netzbegrünung 还批评了思科 Webex 平台的使用,因为存在具有更好隐私默认设置的开源视频会议替代方案。
“思科对其客户的失败再次强化了思科在 IT 安全领域的不良声誉。所有可能参与过 Webex 工作的 Cisco 工程师都可能意识到会议 ID 可枚举性的架构问题。但思科的营销部门并没有在软件中解决问题,或者至少明确地警告客户有关该问题的信息,而是试图销售另一种昂贵且可能不是很有用的产品,该产品带有流行语“AI”和听起来很浮夸的名称“Hypershield”。报告写道。
今年 3 月,俄罗斯间谍参加 Webex 会议并记录了德国高级军事官员讨论可能向乌克兰交付金牛座巡航导弹的情况后,德国联邦国防军的安全做法受到质疑。
发表评论
您还未登录,请先登录。
登录