專為政府、國防、重大基礎設施提供IT安全服務的Fox-IT上周坦承曾於今年9月淪為中間人(Man-in-the-Middle,MitM)攻擊的受害者,駭客接管Fox-IT特定網域長達10小時之久,竊取了Fox-IT用戶的登入憑證,也曾一度攔截Fox-IT的電子郵件流量。
根據Fox-IT的說明,駭客是在今年的9月19日利用有效的憑證登入第三方的網域名稱註冊商,存取了Fox-IT.com的DNS紀錄,並變更其中一個DNS紀錄,將Fox-IT伺服器的流量導至駭客控管的伺服器上,攔截了原本屬於Fox-IT伺服器上的流量。
駭客的攻擊目標為Fox-IT的ClientPortal文件交換服務,Fox-IT的客戶、供應商與其他組織都利用該服務進行檔案的安全交換。
駭客接管該服務的時間為10小時又24分鐘,Fox-IT說,這對於坊間一般需要數周才能偵測到相關攻擊的平均時間而言,已經很短了,但仍然無法杜絕駭客攔截藉由該服務傳輸的檔案與資訊。
根據Fox-IT的分析,駭客攔截了9名用戶的登入憑證、10個檔案、一個電話號碼、一些名字與電子郵件帳號,以及曾於ClientPortal交換檔案的客戶列表。在10個檔案中,只有3個被列為保密(Confidential)文件,並未有機密(Secret)等級的文件在內,而雖然有9名用戶的登入憑證遭存取,但因Fox-IT採用雙因素認證,駭客無法直接利用相關憑證登入ClientPortal。
此外,駭客亦曾干預Fox-IT的電子郵件流量,雖然最多只有10分鐘,不過Fox-IT並無法確認這10分鐘之內有哪些原本要寄給該公司的郵件被攔客攔截了。
這起意外讓Fox-IT展開全面的內部調查,尋找駭客取得有效DNS憑證的管道,該公司相信駭客是透過第三方入侵,而非自內部系統竊取。
Fox-IT意有所指的表示,該公司的DNS服務供應商並未啟用雙因素認證,駭客只要結合帳號及密碼就能存取管理介面,而這似乎是目前DNS服務供應商的常態,若網站業者詢問自家的服務供應商,答案可能也會令人吃驚。
from iThome 新聞 http://ift.tt/2kIhKAv
沒有留言:
張貼留言