登陆 注册

德勤网络安全智商测试游戏被黑

山兮 2020-11-09 黑客攻击
黑白网(heibai.org)成立于2014年,多年来以其专业的视角,优质的服务为广大安全技术爱好者提供了目前国内最全的网络安全技术学习资料,普及中国网络安全知识,宣扬正确的黑客极客文化,全方面提高国内安全技术水平。

投稿作者:安全牛

德勤公司的“黑客IQ”近日被黑客攻破后发现了一些非常low的安全问题。



德勤公司的“黑客IQ”是一个用户网络安全知识有奖问答游戏,但颇具讽刺意味的是,这个游戏昨晚被黑客攻破后发现了一些非常low的安全问题。

昨天,安全研究员Tillie Kottmann(@antiproprietary)获得了对该网站的访问权限,导致改游戏下线。Kottmann随后在网上发布了屏幕截图,显示“黑客IQ”网站mySQL数据库以纯文本方式存储用户名和密码。

“我在扫描带暴露.git文件夹的站点时找到了该站点,这使我可以使用.gitignore文件中的专用工具(如git-dumper或goop)克隆它们。”Kottmann透露:“然后我找到了配置文件的路径,并刚刚测试了它是否也可以通过http访问。”

除了明文存储用户账户信息,“黑客IQ”还托管在已到期的Ubuntu Linux 14.04上,容易受到多个未修补漏洞的攻击。

这一事件在Twitter上引起了轰动,因为颇具讽刺意味,一个强调安全意识的公司和程序,后台工作完全是另外一种画风。

Allan MacGregor开玩笑说:“好消息是黑客IQ不是一个价值300亿美元的知名度很高的品牌,而是专门为这类问题提供咨询和咨询公司的专家。”

在撰写本文时,Kottmann的推文已经有1000多个转发和3,000个赞。

德勤发言人在电子邮件中指出,由于“黑客IQ”测试游戏是由第三方托管的,因此对其系统没有影响:

“该平台由第三方托管,与任何其他Deloitte系统不同,对任何其他德勤系统都没有影响。自2015年以来,该网站一直未得到积极使用,现在已被删除。我们在评估此事件和其他潜在的网络威胁时保持警惕。我们坚定地致力于维护与最佳实践保持一致的网络防御,大力投资保护机密信息,并不断审查和增强我们的网络安全。”


生成海报
请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.