德勤公司的“黑客IQ”是一个用户网络安全知识有奖问答游戏,但颇具讽刺意味的是,这个游戏昨晚被黑客攻破后发现了一些非常low的安全问题。

昨天,安全研究员Tillie Kottmann(@antiproprietary)获得了对该网站的访问权限,导致改游戏下线。Kottmann随后在网上发布了屏幕截图,显示“黑客IQ”网站mySQL数据库以纯文本方式存储用户名和密码。

“我在扫描带暴露.git文件夹的站点时找到了该站点,这使我可以使用.gitignore文件中的专用工具(如git-dumper或goop)克隆它们。”Kottmann透露:“然后我找到了配置文件的路径,并刚刚测试了它是否也可以通过http访问。”

除了明文存储用户账户信息,“黑客IQ”还托管在已到期的Ubuntu Linux 14.04上,容易受到多个未修补漏洞的攻击。

这一事件在Twitter上引起了轰动,因为颇具讽刺意味,一个强调安全意识的公司和程序,后台工作完全是另外一种画风。

Allan MacGregor开玩笑说:“好消息是黑客IQ不是一个价值300亿美元的知名度很高的品牌,而是专门为这类问题提供咨询和咨询公司的专家。”

在撰写本文时,Kottmann的推文已经有1000多个转发和3,000个赞。

德勤发言人在电子邮件中指出,由于“黑客IQ”测试游戏是由第三方托管的,因此对其系统没有影响:

“该平台由第三方托管,与任何其他Deloitte系统不同,对任何其他德勤系统都没有影响。自2015年以来,该网站一直未得到积极使用,现在已被删除。我们在评估此事件和其他潜在的网络威胁时保持警惕。我们坚定地致力于维护与最佳实践保持一致的网络防御,大力投资保护机密信息,并不断审查和增强我们的网络安全。”

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。