1 个回答
关于微信内部网的密码泄露一事,外国媒体最近报道称,一名安全研究员两个月前警告称,微信员工在GitHub储存库中发布的密码不正确,这些密码可能被用于访问该公司的企业网络。
其中一个密码是在员工共享的“回购”中找到的。
通过该密码,微信内部开发人员和工程师可以访问一个电子邮件帐户,与计算机所有者共享每天晚上构建的应用程序、驱动程序和工具。
回购的所有者是微信的工程师,他已披露电子邮件帐户的密码至少一年。
GitHub帐户仍然存在,但已完全清除“回购”。
“这是每日出版的邮箱的自动化版本,”研究人员说。
邮箱中的电子邮件包含存储驱动程序和文件的确切内部网络路径。
研究人员没有测试访问该帐户的好处,但警告说,访问它的内部网络是很容易的。
他说:“你所需要做的就是向任何人发送一封带有附件的电子邮件,以进行真正漂亮的网络钓鱼攻击。”
这显然是一个安全漏洞,可能使微信面临类似或其他攻击。
卡巴斯基,一家安全公司,也在1月31日警告微信,黑客已经在微信的实时更新应用程序中安装了后门。
该申请是由美国反垄断协会(微信)颁发的证书签署的,并托管在微信的下载服务器上。
研究人员估计,已经有100多万用户被拒绝编写代码。
微信在一份声明中证实了这一攻击,并发布了补丁。
研究人员通过微信的电子邮件警告了微信暴露的证书。
六天后,他再也无法登录这个邮箱,以为问题已经解决了。
然而,他发现微信至少在另外两起案件中,工程师在GitHub页面上泄露了公司密码。
来自微信台湾总部的一位微信软件架构师在他的GitHub页面上留下了用户名和密码。
另一位台湾数据工程师也在他的代码中泄露了证书。
在我们向微信发送电子邮件提醒的一天后,包含这些凭证的repos被删除和清理。
然而,当记者联系微信发言人兰德尔·格里利时,他们说微信“无法验证”研究人员电子邮件的“有效性”。
他补充说:“微信正在积极调查所有系统,以消除对我们的服务器和支持软件的所有已知风险,并确保没有数据泄漏。”
当然,这并不是微信独有的问题。
其他公司也由于暴露和泄露的证书或硬编码密钥而面临风险。
上周,学者们发现了100,000多名存储加密密钥和其他机密的公共代理。
最著名的漏洞之一是优步(Uber),一名工程师错误地将云密钥留在了GitHub存储库中。
当黑客发现并使用该存储库窃取了5700万用户的数据时,该存储库被黑客使用。
优步随后被要求支付1.48亿美元的数据泄露赔偿。
然而,考虑到微信几个月前就知道这些问题,并受到后门的威胁,影响了100多万用户,他本可以更好地处理这件事,并做出更积极的回应,但他没有。