暴露的密码允许黑客访问内部Comodo文件

黑客通过使用错误地在互联网上暴露的电子邮件地址和密码，获得了安全公司和SSL证书颁发者Comodo拥有的内部文件和文档的访问权限。凭证在Comodo软件开发人员拥有的公共GitHub存储库中找到。通过手中的电子邮件地址和密码，黑客能够登录公司的Microsoft托管云服务。该帐户未受双因素身份验证保护。发现该证书的荷兰安全研究员Jelle Ursem与WhatsApp联系Comodo副总裁Rajaswi Das以确保账户安全。密码在第二天被撤销。

Ursem告诉TechCrunch，该帐户允许他访问内部Comodo文件和文档，包括公司OneDrive中的销售文档和电子表格 - 以及公司在SharePoint上的组织图，使他能够查看团队的传记，联系信息，包括电话号码和电子邮件地址，照片，客户文档，日历等。

Comodo内部网站上的员工日历的屏幕截图。(图片：提供)

他还分享了几个文件夹的截图，其中包含与几个客户签订的协议和合同 - 每个文件名中包含客户名称，例如医院和美国州政府。其他文件似乎是Comodo漏洞报告。然而，Ursem对数据的粗略审查没有发现任何客户证书私钥。

“看到他们是一家安全公司并颁发SSL证书，你会认为他们自己环境的安全性将首先高于一切，”Ursem说。

但根据Ursem的说法，他不是第一个找到暴露的电子邮件地址和密码的人。

他告诉TechCrunch说：“这个帐户已经被其他人发黑了，他们一直在发送垃圾邮件。”他分享了一封发送的垃圾邮件的截图，声称可以向法国财政部提供退税。

我们在出版之前联系了Comodo以征求意见。一位发言人表示，该帐户是“用于营销和交易目的的自动帐户”，并补充道：“所访问的数据未受到任何方式的操纵，并且在被研究人员通知后数小时内，帐户被锁定。”

这是公共GitHub存储库中公开的公开密码的最新示例，开发人员在线存储代码。开发人员经常上传文件，无意中包含用于内部测试的私有凭据。像Ursem这样的研究人员定期扫描存储库以获取密码并将其报告给公司，通常是为了换取bug奖励。

今年早些时候，Ursem在员工的GitHub公共账户上发现了一套类似暴露的内部华硕密码。在黑客在GitHub上发现内部凭证后，优步在2016年也遭到破坏。