昨天,Twitter宣布他们最近发现了一个错误,该错误存储了在内部日志中公开显示的密码。最近,Github也有一个类似的错误。在这两种情况下,他们都声称没有人可以访问这些文件。

Twitter:


我们已经修复了该错误,我们的调查没有发现破坏的迹象。还是被任何人误用。





同样,尽管我们没有理由相信密码信息曾经离开过Twitter的系统或被任何人滥用,您可以采取一些步骤来帮助我们确保您的帐户安全:


GitHub:


该公司表示,明文密码具有仅向少数GitHub员工公开了这些日志的访问权限。公司
说,没有
其他GitHub用户看到了用户的明文密码。



GitHub说在例行审核期间发现了它的错误,并使其
清除其服务器未被黑客入侵。






要注意,GitHub还没有被黑客入侵或入侵。


如何才能确保Twitter和GitHub不会被黑客入侵或入侵?
有人会妥协吗?服务器和读取/复制文件总是留下痕迹?

评论

Twitter的声明实际上“没有显示出违反的迹象”,这意味着如果有人在那里,则没有任何迹象(这可以从一堆不同的日志源中得出,这些日志源查看与该计算机之间的连接,用户有权访问机器,等等)。

他们没有声明他们确定自己没有被黑客入侵。他们表示,他们没有被黑客入侵的证据,但是缺少证据并不意味着没有被黑客入侵-他们非常明智地声称自己没有被黑客入侵。

关于这个问题的最新文章:“不可能证明您的笔记本电脑没有被黑客入侵。”

在这里,“被盗”甚至不是主要的风险类别。某些具有合法访问权限的Twitter员工可以完全未经任何未经授权的渗透而窃取这些内容。实际上,这几乎肯定是一开始就发现的。

日志文件的内容可能会意外传播。我曾经观察到在我(外部用户)打开的票证中,票证系统中两个支持者之间交换的日志文件摘要。这些代码片段是在我遇到问题的时候写的,但是其中包含许多与其他用户有关的日志条目,包括个人识别码,明文密码,明文安全性问题和答案以及用户之间的关系(是该用户的助手)。有了这些信息,我本可以拨打一个电话号码,询问一个特定的名字,然后告诉他们他们老板最喜欢的电影是什么。。。

#1 楼

他们不能确定。实际上,您永远无法确定自己没有被黑客入侵。但是,彻底的检查可以使您得出结论,它或多或少的可能性。

Twitter声明仅表示没有迹象表明存在黑客入侵。这并不排除他们被黑客入侵的可能性,并在敦促其用户更改密码时,他们暗中承认。

对于GitHub而言,措辞更为明确。但是我认为强制重设密码表明他们了解所涉及的风险。

评论


“您永远无法确定自己没有被黑客入侵”-我不能不同意。

– Pedro Lobito
18年5月5日在10:47

@PedroLobito关心发展吗?

–安德斯
18年5月5日,11:45

气喘吁吁的是完全不能保证绝对不会有黑客入侵。除非他的意思是实际上每个组件,例如,一个独立的电源而不是市电。甚至气隙都不够,也许是真空……。但是总会有用户错误,例如我知道例如空气流通系统本身在停车场植入了USB驱动器,因此遭到了攻击。还需要考虑的是,由于用户需要通过身份验证才能真正使用系统,因此没有空隙的机器将无济于事。

–ttbek
18年5月5日14:00



您可以确信您还没有被黑客入侵,最终您将错了。

– Theraot
18年5月6日在16:43

任何人都可以构建他们无法破解的系统。结果是:任何人都可以构建一个无法检测到黑客入侵的系统。他们正在竭尽所能检查自己的环境以寻找黑客入侵的证据。他们没有找到这样的证据只能证明:他们找不到任何证据。由您确定他们的声明是否满足您自己的安全性要求。

–克里斯托弗·舒尔茨(Christopher Schultz)
18年5月6日在20:32

#2 楼

还有一点要注意的是,在这两种情况下,泄漏都发生在纯内部的日志系统中。没有迹象表明第三方用户曾经访问过该系统。内部日志记录系统很少在外部公开,只有在系统需要故障排除时才在内部进行查询。这也可能是该错误几个月以来未被注意到的原因:可能是大量其他语句中某个地方的单个日志条目通常不会被注意到,除非它们恰好在需要的语句旁边或中间调试其他条目。

Twitter也是最近才发现有关bug的信息,这意味着公司外部的人不太可能在Twitter之前就意识到了该bug,更不用说找出并执行了攻击。检索它们。

评论


“很少对外暴露”-是的,只要您记得保护S3存储设备...

–djsmiley2kStaysInside
18年5月4日在14:07

甚至与第三方无关。第一方员工可以很容易地滥用这种东西。

– Beanluc
18年5月4日在17:31

但是,实际上,@ djsmiley2k是多少个主要的信用报告代理机构实际上将数亿个信用文件存储在无抵押的S3存储桶中?

–克莱里斯-谨慎乐观-
18年5月5日在21:02

@chrylis显然,其中大多数。

–伊恩·坎普(Ian Kemp)
18年5月7日在8:25

#3 楼

很难证明是负面的。

那么你如何证明正面呢?在这种情况下:您如何证明来自外部的攻击?通常,有几个系统可以监视不同形式的攻击,破坏或访问。这些可以是防火墙,入侵检测系统,SIEM和各种监视和日志记录系统。在当今的网络中,每个组件要么具有某种形式的监视,要么允许通过诸如Check_MK的第三方工具进行监视。

因此,从公司网络边界到拥有有价值信息本身的机器的每一个步骤都处于某种形式或形式受到监控。这些日志会根据网络和公司策略进行定期分析。分析系统可以区分预期的流量和意外的流量或行为。意外/意外行为是实例文件访问。

内部日志文件通常被视为机密数据,因此也可能会监视文件访问。如果不属于某个用户组的某人尝试复制/访问内部日志文件,则该日志很可能被记录为意外行为,甚至被禁止行为。如果可能的对手能够冒充他人访问此文件的权限,则该文件也会被记录下来,但按照预期的方式进行。

从理论上讲,攻击者可以克服所有安全控制措施,利用0day漏洞,在每个组件,IDS,SIEM等组件的每个日志中保留任何痕迹,复制内部日志文件并将其走私到外部,但这是不太可能的。

我的猜测是,在发现日志文件之后,将对所有这些日志进行彻底分析,以尝试证明是否存在来自外部的攻击。分析人员没有发现任何可疑数据,因此得出结论,几乎绝对可以肯定,没有来自外部的攻击。这实际上是您在Twitter的新闻发布中看到的(请参阅Florin Coada的评论)。再说一次,我的猜测是:GitHub的新闻稿使用更严格的语言来阻止人们猜测是否存在黑客入侵。 (实际上并没有解决。;)

当然,Twitter和GitHub也没有适当的安全控制措施,但我真的希望没有。

#4 楼

我假设他们对服务器上发生的任何事情都有访问日志,他们可以检查是否有人访问了文件,访问的时间,登录时使用的别名,源IP地址等。如果他们可以证明自己所有访问是由合法员工进行的,他们可以自信地说自己没有遭到黑客入侵。请注意,这实际上并不能保证它们不会被黑客入侵,只是所有证据都指向该方向。

#5 楼

答案很简单。
他们在哪里都说不出肯定的答案。
实际上,他们暗中告诉您实际上可能存在两种违规行为:


他们说,“没有理由相信存在”或“没有证据”表明存在违规行为。缺乏证据可能只是意味着入侵者掩盖了他们的踪迹。
为了安全起见,他们恳求您更改密码。这意味着他们不能保证不会发生任何违反行为。


#6 楼

我的解释,尤其是对更粗体的GitHub语句的解释是,他们想说将密码放入日志文件中的事实不是黑客攻击的结果,而是开发人员无意中将调试代码引入的结果。生产。这很重要,因为攻击者可能已经引入了此功能以便收集密码以供以后获取。

无法保证它们永远不会被黑客入侵,也永远不会被黑客入侵,但是此事件是独立于黑客攻击。

#7 楼

像这样的大公司应该有很多服务器,因此所有外部访问都通过堡垒主机进行路由(外部意味着不是来自实际服务器机架/机房内部)。堡垒可能会说日志记录是以某种方式设置的,因为它会将来自外部网络的所有命令中继到操作服务器中。如果记录了命令,则可以轻松地使用该命令来判断某人是否例如使用vim打开了文件,这将解决用户是否被黑客入侵的问题。还将记录SSH访问,因此可以为用户过滤出一个已知的“好” IP,并且IT可以检查任何可疑或奇特的条目,如果无法解释该条目,则将构成违规。否则,服务器将是“安全的”,并且不必为此事担心。

#8 楼

他们实际上在说的是,他们100%确保确实存在安全漏洞。偶然。大概。和自己。其余的都是光泽。

他们可能会以员工的身份对待个人,但我没有。一个好的黑客从内部进行工作并获得信任。国家安全局? FSB?

他们绝对不能以纯文本格式访问我们的密码。这不是密码访问的工作方式。含义是,现在您可以在任何使用过的地方更改该密码。假设现在每个人都知道密码。

评论


如果一个密码被盗意味着您必须在很多地方进行更改,那是您自己的错。您不应该首先这样做。

–烧烤
18年5月6日在6:11

@barbecue也正确。此建议适用于主流。到处都可以表示0到很多地方。

–前哨
18年5月6日在19:03