InfraGard的成员包括来自美国所有16个民用关键基础设施部门的关键安全决策者和利益相关者。
据报道,一位名为“USDoD”的黑客窃取了FBI管理的名为InfraGard的项目的8万多名成员的联系信息,并将这些信息放在一个英语的暗网论坛上出售。
据本周首次报道该事件的KrebsOnSecurity称,黑客从InfraGard数据库访问的信息似乎相当有限,在某些情况下甚至不包括电子邮件地址。但这些信息属于直接负责保护美国关键基础设施的首席信息安全官、安全主管、IT和高级管理人员、医疗保健专业人员、应急管理人员以及执法和军事人员。
潜在的宝贵资产
前InfraGard成员、现任BlackCloak首席执行官的皮尔森(Chris Pierson)表示,被盗数据对对手来说是一笔宝贵的资产,BlackCloak是一家为高层管理人员和企业领导人提供在线隐私保护服务的公司。
“对于任何情报机构或民族国家来说,拥有InfraGard联系人数据库都是一个巨大的胜利,”皮尔森说。与美国人事管理局(OPM)在2015年披露的重大违规事件相比,被泄露的数据在敏感度上远远不及。不过,从攻击者的角度来看,它还是非常实用和容易使用的,他说。
“虽然许多信息可能是公开的或公开可用的,但将这些信息浓缩到运行我们国家关键基础设施的关键人员中是非常有价值的,”皮尔森指出。他说,个人地址、个人手机,以及容易获得哪些成员拥有安全许可的信息,都是对手可以掌握的关键数据。
联邦调查局将InfraGard描述为一项倡议,旨在加强国家的集体能力,以抵御对关键基础设施目标的物理和网络威胁。它基本上将联邦调查局与关键基础设施所有者、运营商和安全利益相关者直接联系起来。其成员包括来自所有16个美国民用关键基础设施部门的主要安全人员和决策者。
据KrebsOnSecurity称,黑客“USDoD”首先使用一家大型金融服务公司首席执行官的姓名、出生日期和社会安全号码,首先申请了一个新的账户,从而获得了对InfraGard数据库的访问。该黑客显然在11月申请了InfraGard会员资格,并提供了一个由攻击者控制的电子邮件地址和该首席执行官的实际电话号码,作为联系信息。
Opsec漏洞?
据KrebsOnSecurity报道,虽然InfraGard应该审查这些信息,但他们从未这样做,而是根据黑客提供的信息批准了该申请,KrebsOnSecurity报道。同样,虽然访问InfraGard的门户网站需要双因素认证,但黑客发现他可以使用电子邮件地址作为第二个因素,从而避免了访问真正的CEO手机的需要。
KrebsOnSecurity援引与攻击者的直接对话称,一旦进入门户网站,攻击者就发现可以通过网站上多个组件内置的API相对轻松地访问InfraGard用户信息。然后,黑客显然让一位朋友编写了一个Python查询代码,以通过API检索所有可用的InfaGard会员信息。KrebsOnSecurity援引攻击者的话说,他为被盗的数据集设定了5万美元的要价,但由于这些信息的基本性质,他并不期望有任何买家能以这个价格购买。
InfraGard成员、Cybrary的IT和网络安全主管Will Carson对此事件表示失望。“作为一名InfraGard成员,在收到受影响组织的消息之前,听到你的信息可能已经从新闻媒体披露,这当然不是一件好事,”他在回应新闻的声明中说。他对在明显的漏洞发生后无法登录他的InfraGard账户表示失望。
“虽然我完全相信InfraGard的领导层比我从外面看到的更了解事实,但迄今为止的无线电沉默让我作为一个可能受到影响的专业人士感到不安,”他说。