德勤黑客智商測試網站曝漏洞被迫下線

配置文件暴露數據庫用戶名和密碼，咨詢顧問創建的安全測試站點暗藏獎勵關卡。

全球咨詢公司德勤創建了一個網站，用來測試用戶知道多少黑客戰術知識。然而，這個網站自身難保，遭黑客暴露出漏洞后下線。

該網站使用不安全的非HTTPS URL：http://deloittehackeriq.com/，且YAML配置文件公開可見，內含網站mySQL數據庫用戶名和密碼。

這個網站邀請訪客輸入用戶名來“測試你的黑客智商”。網站訪客需回答一系列多項選擇題，考察對獲取公司信息的黑客技術的掌握程度。但測試并未考慮到公開暴露密碼的可能性。

11月4日，瑞士IT顧問兼程序員Tillie Kottmann（用戶名：deletescape）發現了這一漏洞。網站當天即宣告下線。

8月時，Kottmann就公布過泄露的英特爾技術資料和SonarQube源代碼。

deloittehackeriq.com域名是馬薩諸塞州數字營銷公司Tank Design于2015年注冊的，站點上還放著“2015 Deloitte Development LLC”的版權聲明。

Kottmann向媒體透露，網站最后一次.git代碼庫提交是在2017年，并表示尚不清楚該網站的使用活躍度。此站點首次被互聯網檔案館（Internet Archive）的全球網站歷史信息查詢服務Wayback Machine收錄，是在2018年。

令網站漏洞雪上加霜的是，這一測試托管在去年4月就停止接收安全補丁的Ubuntu Linux 14.04上，可能受到11個已知漏洞的影響。

Kottmann表示：“或許值得一提的是，包括許多其他大公司在內的很多網站，都在各個域名上暴露有.git代碼庫。”

媒體公布了德勤黑客智商測試網站的漏洞問題后，德勤發言人發布聲明，剝離德勤與此現已下線的黑客知識測試站點的關系。

德勤公司發言人稱：“我們注意到一起交互式游戲/網站未授權訪問事件，涉事游戲/網站是2015年為一場網絡安全大會而開發的。”

“該平臺由第三方托管，獨立于其他德勤系統，對其他任何德勤系統都沒有影響。自2015年以來，該網站便一直處于不活躍狀態，現在則已下線。我們會保持警惕，審慎評估此事件及其他潛在網絡威脅。我們深深致力于維護符合一流水平的網絡防御，大力投入機密信息保護工作，并不斷審查和增強我們的網絡安全。”

原創：nana 數世咨詢
原文鏈接：https://mp.weixin.qq.com/s/DxOofTxfvJFOisO...