加拿大獨角獸初創企業 FreshBooks 正在建構雲會計軟件,其管理機密員工信息的 Amazon Web Services (AWS) 存儲桶被專家指出未得到保護,暴露在網絡上,只要知道在哪裡尋找,任何人都可以查閱。
結果,全球 160 多個國家的超過 3 千萬個用戶都面臨遭受身份盜竊和其他網絡犯罪的風險。Cybernews 研究團隊於 2023 年 1 月末首次發現了這一數據庫,並發出警報。
初步分析表明,該存儲桶保存了博客的存儲影像和元數據,但更深入的分析發現,網站源代碼的備份、網站信息、配置以及 121 個 WordPress 用戶的登錄數據都被儲存了下來。這些登錄數據包括用戶名、電子郵件地址和雜湊密碼,屬於網站管理員。
研究人員表示,它們是使用 “容易被破解” 的 MD5/phpass 雜湊框架進行加密的,這意味著獲取明文信息相對容易。據 Cybernews 團隊表示,有了這些信息,威脅行為者可以訪問網站的後端並未經授權地更改其內容。他們可以分析源代碼,了解網站的運行方式,並找到其他可供出售或利用的漏洞。事實上,研究人員發現,2019 年的服務器備份上儲存了 “至少五個” 被安裝在網站上的易受攻擊插件。
在更加危險的情況下,攻擊者可以安裝惡意軟件,從而在網絡中移動,窺探敏感數據。然而,研究人員解釋說,利用這一漏洞有一個警告:”網站管理員面板的登錄頁面是安全的,不對公眾開放。” 然而,攻擊者仍可以通過連接到網站的同一網絡或查找並利用易受攻擊的 WordPress 插件繞過這種安全措施。