当用户购买 Sony、Lexar 或 Sandisk USB 密钥或其它任何存储设备时，都会附带一个加密解决方案，以确保数据安全。

据悉，该方案由第三方供应商 ENC Security 开发，然而 近日Cybernews 研究小组披露，该公司在一年多时间里一直在泄露其配置和证书文件。

随着事件发酵，ENC Security 迅速做出回复，声称泄露事件原因是第三方供应商的错误配置，在收到通知后已立刻修复漏洞。

ENC Security 是一家位于荷兰的公司，在全球拥有 1200 万用户，通过其流行 DataVault 加密软件提供“军用级数据保护”解决方案。

Cybernews 发现安全问题

从 Cybernews 披露的内容来看， 泄漏服务器内的数据主要包括销售渠道的简单邮件传输协议（SMTP）凭证、单一支付平台的 Adyen 密钥、电子邮件营销公司的 Mailchimp API 密钥、许可支付 API 密钥、HMAC 消息验证码以及以 .pem 格式存储的公共和私人密钥。

2021 年 5 月 27 日到 2022 年 11 月 9日 ，一年多的时间里，任何人都可以公开访问这些数据，直到 Cybernews 向 ENC Security 披露该漏洞后，该服务器才被关闭。

安全研究人员 Vareikis 表示，数据暴露长达一年多时间，潜在网络攻击者可利用上述数据进行从网络钓鱼、勒索软件等各种形势的网络攻击。

举个简单的例子，攻击者可能通过销售沟通渠道向客户发送假发票或通过可信的电子邮件地址传播恶意软件来欺骗客户。

此外，由于 Mailchimp API 密钥允许攻击者发送大规模营销活动并查看、收集线索，对攻击者来说无疑具有更大价值。不仅如此，勒索软件运营商也能够利用 .pem 文件里面的密钥开展未经授权的访问，甚至是服务器被接管。Vareikis 一再强调，泄漏一年多的数据对威胁者来说不亚于一个“金矿”。

ENC Security 公司回应

在收到并仔细分析 Cybernews 研究小组报告后，ENC Security 迅速采取措施，解决安全问题。ENC Security 发言人表示，公司始终认真对待数据的安全和保护，每一个安全问题都会被彻底研究并采取适当的措施进行补救，必要时也会通知客户进一步加强安全。

ENC Security 也曾出现其它安全事件

Cybernews 研究小组的发现与 2021 年 12 月研究人员 Sylvain Pelissier 的发现一样令人担忧。

去年，Pelissier 演示了在 ENC Security  DataVault 加密软件中发现的几个漏洞，这些漏洞可能允许攻击者在未经检测的情况下，获取用户密码并修改 vault 中的文件。不止于此，DataVaul 软件还使用了“计算工作量不足的密码哈希”，这可能会让攻击者暴力破解用户密码。

当时，ENC Security 承认 DataVault 软件 6 和 7.1 及其衍生版本易受攻击，不久后通过发布升级解决了漏洞。

Vareikis 告诫用户，一些“超级”安全公司喜欢使用类似“军用级”加密等词汇，过度夸大产品能力，进行虚假宣传，对于这种宣传，用户应当始终持怀疑态度。

参考文章：

https://cybernews.com/security/encsecurity-leaked-sensitive-data/