安全研究员杰里迈亚·福勒与网站星球研究团队一起发现了一个开放且不受密码保护的数据库,其中包含12976279条记录。数据集的总大小为58 GB,包含内容管理数据,包括员工PIIs。经过进一步研究,几乎所有记录都包含显示FOX内容、存储信息、内部FOX电子邮件、用户名、员工ID号、分支站信息等的信息。其中一个文件夹包含65k名人、演员和制作团队成员的姓名及其内部福克斯ID参考号。这些记录还捕获了广泛的数据点,包括事件日志记录、主机名、主机帐号、IP地址、接口、设备数据等。
许多记录都标有“prod”,这通常是生产记录或实时记录的缩写。我们立即发送了一份负责任的披露通知,不久之后,公众访问受到限制。该环境被列为“CMS”,我们在记录中没有看到任何关于测试或演示的参考。简单地说,内容管理系统帮助组织管理数字内容。大量文档表明,像FOX这样大的组织需要一个复杂而复杂的内容管理系统。数字资产管理数据库详细展示了按用户、管理员和内容划分的内部协作环境。
数据库包含的内容:
Total Size:58.03 Gb
总文档数:12976279
许多对“平台”的引用以及重定向到康卡斯特技术解决方案的链接,所有内容都与福克斯有关。(平台是一个在线视频管理平台,为媒体公司管理、盈利和联合视频视图)。
Fox的内部CMS记录,公开用户ID、事件日志、主机名、IP、接口和设备数据。许多记录都贴上了生产标签。
用户的大量电子邮件地址,包括701 internal@fox。可能面临定向网络钓鱼活动风险的com电子邮件地址。这些电子邮件还包括内部ID号和安全或用户角色。这些文件还显示了数据的存储位置、内容交付路径,并作为网络如何从后端运行的虚拟蓝图。还有指向FTP(文件传输协议)和内容存储位置的链接。
无密码保护且未加密的数据库面临勒索软件攻击的风险,该攻击会加密数据。暴露的环境被标记为“CMS”,可能允许网络罪犯插入恶意代码或识别未来网络攻击的漏洞。
索引显示收集和存储的数据类型。文件夹中包含记录过滤方式的描述或缩写。共有102个文件夹,标题包括用户角色、用户发布者、用户2、视频发布者、dcc人员数据和其他与内容相关的名称。
电子邮件帐户在数据库中的显示方式。还有许多其他电子邮件账户,包括700多个@Fox内部账户。
记录如何显示在FOX节目上收集的信息,以及有关单个剧集、API数据、存储位置、内部和外部ID等的日志信息的详细视图。
用户角色示例,以及他们在CMS系统中拥有的权限。这将表明用户可以发布、编辑或删除哪些内容,以及如何列出和识别这些操作。
福克斯安全团队回答:
“再次感谢您分享您的观察结果。作为我们昨天电子邮件的后续行动,我们继续调查,并确定您电子邮件中引用的数据库是一个未连接到任何生产环境的开发环境。公开访问此类数据库的能力已得到解决。作为调查的一部分,我们正在查看日志以确定任何对数据库的匿名访问。”
作为一名安全研究员,我们没有义务质疑或争论数据库是否是一个特定的环境,如生产或开发环境。我们只报告数据库包含的内容,谁拥有这些数据,然后提供真实世界中的示例,说明这些数据如何可能构成潜在的安全风险。我们能够验证电子邮件和用户名的样本是真实的个人和福克斯员工。
数据中有许多关于康卡斯特技术解决方案的参考资料。我们最初怀疑这些记录可能由康卡斯特管理,他们对数据泄漏负有责任。我们联系了他们的安全团队,他们确认康卡斯特没有管理该数据集,该数据集可能属于正在使用其服务的客户,但没有确定该客户是谁。康卡斯特为娱乐业提供元数据管理,最近发布了一个名为“福克斯元数据改造”的案例研究。
这个公开的数据集是对福克斯内容交付方式的全面幕后观察,以及用于管理数据的标准的详细列表。这包括内容格式、交付渠道、广告、订阅或免费等内容的收入,等等。
这种暴露的危险通常是开发环境反映了实时生产环境,并使用相同的存储库、中间件和基础架构。在这种情况下,任何与互联网连接的人都可以访问这些记录,以及看似真实的内部用户数据,以及某种形式的CMS系统。一旦网络犯罪分子知道IP、URL、帐号、具有管理凭据的个人以及福克斯使用的软件应用程序,这也将成为他们识别潜在漏洞或攻击向量的宝贵信息。
包含真实数据的开发环境有时会无意中造成一系列网络安全风险。员工电子邮件地址构成威胁,从有针对性的网络钓鱼活动到长期的社会工程攻击。假设网络罪犯可以看到谁拥有管理权,并试图访问他们的帐户和任何其他受密码保护的资产。他们可以参考只有员工才会知道的内部信息来建立信任关系。缓解这种风险的一种方法是启用双因素身份验证或其他附加安全措施。
民族国家或威权政权以新闻机构为目标,以确定举报人或调查记者的身份,这并不是不可能的。这是媒体和新闻机构成员每天都面临的真正威胁。针对记者的最臭名昭著的案件之一是军事级的Pegasus间谍软件。恶意链接可以通过电子邮件或短信发送,在某些情况下,受害者甚至不需要触碰自己的设备就可以通过“零点击”发送方式感染。我们并不是说福克斯新闻记者是目标或面临风险,只是根据针对记者和媒体成员的网络威胁的真实历史提出了这种可能性。
任何不受密码保护的数据库都可能允许有人向网络中插入恶意代码。犯罪分子或国家行为者可以假设拥有内容基础设施的工作蓝图,并轻松识别正在使用的第三方软件版本和版本。他们还可以查看该软件是否未打补丁、过时或未使用最新版本。一旦理论上掌握了这些信息,他们就可以寻找已知的漏洞,并尝试使用后门或其他攻击向量获取访问权限。安全界众所周知的一个事实是,开发环境通常缺乏适当的安全保护,无法抵御有针对性的网络攻击。
FTP、access auth和用户ID号在数据库中的显示示例。
识别FTP URL、目录和文件夹的位置也存在潜在风险 FTP代表文件传输协议,允许在计算机之间传输文件。不幸的是,FTP是一项已有近50年历史的技术,其设计目的不是为了安全或抵御现代威胁。安全社区中的许多人认为FTP是一种不安全的协议,这些信息可能会成为暴力攻击、数据嗅探、凭证欺骗和其他低技术方法的目标。FTP的另一个潜在安全漏洞是,身份验证方法使用未加密的纯文本用户名和密码,因此数据可能容易受到攻击。
Fox安全团队快速专业地关闭了对不安全的公开数据库的访问。目前尚不清楚这些记录被暴露了多长时间,也不清楚还有谁可以访问数据集。作为安全研究人员,我们从不提取或下载我们找到的数据,只拍摄有限数量的屏幕截图进行验证。我们没有暗示福克斯、康卡斯特科技解决方案公司或其合作伙伴有任何不当行为。我们也不是在暗示任何客户或用户数据都存在风险。
我们强调我们的发现只是为了提高对错误配置的数据库、公开披露的内部记录以及数据存储方式所造成的危险和网络安全漏洞的认识。我们建议任何公司或组织,如果数据事件影响到使用真实数据的任何环境,请考虑更改管理和用户凭据。加密敏感数据、制定网络卫生规范以及经常进行渗透测试始终是一个好主意。
在完全透明的情况下,我们希望包括福克斯声称这是一个通用的公司开发环境,而不是生产环境。我们还确认没有外部客户记录。当然,描述视频资产的数据——例如b