德勤黑客智商测试网站曝漏洞被迫下线

配置文件暴露数据库用户名和密码，咨询顾问创建的安全测试站点暗藏奖励关卡。

全球咨询公司德勤创建了一个网站，用来测试用户知道多少黑客战术知识。然而，这个网站自身难保，遭黑客暴露出漏洞后下线。

该网站使用不安全的非HTTPS URL：http://deloittehackeriq.com/，且YAML配置文件公开可见，内含网站mySQL数据库用户名和密码。

这个网站邀请访客输入用户名来“测试你的黑客智商”。网站访客需回答一系列多项选择题，考察对获取公司信息的黑客技术的掌握程度。但测试并未考虑到公开暴露密码的可能性。

11月4日，瑞士IT顾问兼程序员Tillie Kottmann（用户名：deletescape）发现了这一漏洞。网站当天即宣告下线。

8月时，Kottmann就公布过泄露的英特尔技术资料和SonarQube源代码。

deloittehackeriq.com域名是马萨诸塞州数字营销公司Tank Design于2015年注册的，站点上还放着“2015 Deloitte Development LLC”的版权声明。

Kottmann向媒体透露，网站最后一次.git代码库提交是在2017年，并表示尚不清楚该网站的使用活跃度。此站点首次被互联网档案馆（Internet Archive）的全球网站历史信息查询服务Wayback Machine收录，是在2018年。

令网站漏洞雪上加霜的是，这一测试托管在去年4月就停止接收安全补丁的Ubuntu Linux 14.04上，可能受到11个已知漏洞的影响。

Kottmann表示：“或许值得一提的是，包括许多其他大公司在内的很多网站，都在各个域名上暴露有.git代码库。”

媒体公布了德勤黑客智商测试网站的漏洞问题后，德勤发言人发布声明，剥离德勤与此现已下线的黑客知识测试站点的关系。

德勤公司发言人称：“我们注意到一起交互式游戏/网站未授权访问事件，涉事游戏/网站是2015年为一场网络安全大会而开发的。”

“该平台由第三方托管，独立于其他德勤系统，对其他任何德勤系统都没有影响。自2015年以来，该网站便一直处于不活跃状态，现在则已下线。我们会保持警惕，审慎评估此事件及其他潜在网络威胁。我们深深致力于维护符合一流水平的网络防御，大力投入机密信息保护工作，并不断审查和增强我们的网络安全。”

原创：nana 数世咨询
原文链接：https://mp.weixin.qq.com/s/DxOofTxfvJFOisO...