因办公应用程序导致大规模数据泄露，涉及900家公司

近日，有研究人员发现了一次大规模的数据泄漏事件，共涉及到大约 900 家公司和组织，其中包括戴尔、Verizon、AT&T、能源部、康卡斯特和大通银行等。

今年 3 月 25 日，Cybernews 研究小组发现了一个可公开访问的网络目录，该目录属于马里兰州的 Simpli 公司（前身为 Charm City Concierge）。

该公司的应用程序允许租用办公空间的公司的员工查看位于同一栋大楼内的商店。它列出了可用的便利设施、工作场所福利和折扣，并使用户能够订购各种服务和产品。

这个开放的网络目录存储了 2024 年 1 月对公司网站和 Simpli 应用程序数据库的备份数据。据悉，此次泄露的应用程序的备份暴露了 10000 名员工的电子邮件地址和来自大约 900 家公司的哈希密码。

包含网站和数据库备份的网络目录被曝光

受影响的公司包括：

• Capital One

• 海军分析中心

• 美国律师协会

• 微策略

• 剑桥联营公司

• 戴尔

• 威瑞森

• 康卡斯特

• 西部交通

• WeWork

• 信托银行

• 美国电话电报公司

• 国家残疾人委员会

• 能源部

• 大通银行

带备注的订单信息

由于大多数员工都使用公司电子邮件地址注册了 Simpli 服务，因此这构成了重大风险。威胁攻击者有可能通过使用凭据填充攻击，将目标锁定在员工可以访问的更敏感的公司系统上。

Cybernews 的信息安全研究员 Aras Nazarovas 说：虽然员工凭证是以相对安全的格式存储的，但密码仍有可能被破解，尤其是弱密码。

如果员工在多个账户中使用相同的密码，被破解的密码就可以用来登录其他更敏感、与工作相关的终端。

建筑物及其租户清单

此次泄露的数据库还曝光了通过该应用程序发出的指令，其中一些指令包含可能涉及敏感业务信息的备注。这些笔记包括来自不同公司的个人之间的会议细节和会议目的。

在开放目录中发现的文件表明，这些信息可能是在该公司将其系统从 Drupal 7 迁移到 Drupal 9 时泄露的。目前 Simpli 公司暂未对此做出回应。

用户凭证