据发现,由于可预测的 URL,数以千计的联邦国防军机密视频会议链接可以公开访问。
德国联邦国防军在发现这一安全漏洞后 24 小时内解决了这一安全漏洞,但他们仍然坚持不删除旧录音的做法,造成持续的风险。
发生了什么?
时代在线调查显示,截至上周五,互联网上有数千个可访问的视频会议链接,其中包含德国联邦国防军的敏感细节,其中许多都标记为机密。 军方证实,该漏洞在发现后一天内已得到纠正。
军方发言人保证 法新社 在与会者不知情或没有适当许可的情况下,未经授权访问这些视频会议是不可行的。 此外,德国联邦国防军有不定期删除旧视频记录的做法。 通过 Cisco Webex 系统举行的会议的时间、与会者和主题等元数据向外部各方公开了几个月。
报告强调,按顺序编号的会议 URL 是可以预测的,从而公开有关过去和未来会议的详细信息。 此外,还可以使用系统中的名字和姓氏等标识符来编译电子邮件地址数据集。
由于缺乏对参与者的加密和强大的身份识别措施,会议中包含的电话拨入选项引入了更多漏洞。 该研究由 时代在线 是由 Netzbegrünung 协会安全专家的调查结果引发的。 Netzbegrünung 对思科 Webex 平台的依赖表示担忧,指出替代开源视频会议工具默认提供卓越的隐私设置。
该报告还强调了思科在 IT 安全方面持续存在的问题,这些问题对其声誉产生了负面影响。 熟悉 Webex 系统的 Cisco 工程师可能已经意识到与会议 ID 的可预测性相关的基本问题。 然而,思科的营销工作似乎并没有直接解决软件中的这一缺陷或告知客户该漏洞,而是专注于推广一款名为 Hypershield 的昂贵新产品,该产品被吹捧为具有吸引力但值得怀疑的人工智能应用。 这种方法似乎优先考虑销售而不是真正的安全解决方案。
特色图片来源: 布莱克·康纳利/Unsplash