一年多才解決！索尼、Lexar 的加密設備供應商泄露敏感數據

當用戶購買 Sony、Lexar 或 Sandisk USB 密鑰或其它任何存儲設備時，都會附帶一個加密解決方案，以確保數據安全。

據悉，該方案由第三方供應商 ENC Security 開發，然而 近日Cybernews 研究小組披露，該公司在一年多時間里一直在泄露其配置和證書文件。

隨著事件發酵，ENC Security 迅速做出回復，聲稱泄露事件原因是第三方供應商的錯誤配置，在收到通知后已立刻修復漏洞。

ENC Security 是一家位于荷蘭的公司，在全球擁有 1200 萬用戶，通過其流行 DataVault 加密軟件提供“軍用級數據保護”解決方案。

Cybernews 發現安全問題

從 Cybernews 披露的內容來看， 泄漏服務器內的數據主要包括銷售渠道的簡單郵件傳輸協議（SMTP）憑證、單一支付平臺的 Adyen 密鑰、電子郵件營銷公司的 Mailchimp API 密鑰、許可支付 API 密鑰、HMAC 消息驗證碼以及以 .pem 格式存儲的公共和私人密鑰。

2021 年 5 月 27 日到 2022 年 11 月 9日 ，一年多的時間里，任何人都可以公開訪問這些數據，直到 Cybernews 向 ENC Security 披露該漏洞后，該服務器才被關閉。

舉個簡單的例子，攻擊者可能通過銷售溝通渠道向客戶發送假發票或通過可信的電子郵件地址傳播惡意軟件來欺騙客戶。

此外，由于 Mailchimp API 密鑰允許攻擊者發送大規模營銷活動并查看、收集線索，對攻擊者來說無疑具有更大價值。不僅如此，勒索軟件運營商也能夠利用 .pem 文件里面的密鑰開展未經授權的訪問，甚至是服務器被接管。Vareikis 一再強調，泄漏一年多的數據對威脅者來說不亞于一個“金礦”。

ENC Security 公司回應

在收到并仔細分析 Cybernews 研究小組報告后，ENC Security 迅速采取措施，解決安全問題。ENC Security 發言人表示，公司始終認真對待數據的安全和保護，每一個安全問題都會被徹底研究并采取適當的措施進行補救，必要時也會通知客戶進一步加強安全。

ENC Security 也曾出現其它安全事件

Cybernews 研究小組的發現與 2021 年 12 月研究人員 Sylvain Pelissier 的發現一樣令人擔憂。

去年，Pelissier 演示了在 ENC Security DataVault 加密軟件中發現的幾個漏洞，這些漏洞可能允許攻擊者在未經檢測的情況下，獲取用戶密碼并修改 vault 中的文件。不止于此，DataVaul 軟件還使用了“計算工作量不足的密碼哈希”，這可能會讓攻擊者暴力破解用戶密碼。

當時，ENC Security 承認 DataVault 軟件 6 和 7.1 及其衍生版本易受攻擊，不久后通過發布升級解決了漏洞。

Vareikis 告誡用戶，一些“超級”安全公司喜歡使用類似“軍用級”加密等詞匯，過度夸大產品能力，進行虛假宣傳，對于這種宣傳，用戶應當始終持懷疑態度。