О компрометации сообщили специалисты компании DirectDefense, обнаружив на сервисе VirusTotal конфиденциальную корпоративную информацию клиентов Carbon Black – производителя EDR-решения (Endpoint Detection and Response) для защиты конечных устройств.

Работа платформы базируется на белых списках файлов и приложений. Когда система обнаруживает файлы, не указанные в белом списке, запускается процесс проверки: подозрительные элементы выгружаются сначала в облако, а затем – в мультисканер. Тот проводит анализ и возвращает файлы с вердиктом, на основе которого EDR-платформа классифицирует неизвестные файлы как безвредные или вредоносные. Проблема в том, что копии проверенных файлов (пусть и с измененными названиями) сохраняются на сервисе, и скачать их может любой человек, оплативший доступ к ресурсу. Именно так сотрудники DirectDefense обнаружили утечку данных клиентов Carbon Black в середине 2016 года, расследуя возможную компрометацию данных своего клиента.

Специалисты анализировали образец вредоносного ПО в online-сканере VirusTotal – и случайно обнаружили любопытные файлы, которые оказались внутренними приложениями крупного производителя телекоммуникационного оборудования. Более глубокое изучение помогло найти «сотни тысяч файлов, содержащих терабайты данных», которые загрузил один аплоадер. Расследование показало, что ключ API – 32d05c66 – принадлежит Carbon Black и используется для загрузки файлов Cb Response. По словам главы DirectDefense Джима Брума (Jim Broome), часть скомпрометированной информации принадлежала компаниям из списка Fortune 1000, в том числе Apple, Google и Amazon.

В ответ на заявление DirectDefense, Carbon Black подчеркнула, что решение делиться информацией с третьими сторонами пользователи принимают сами: по умолчанию эта функция в Cb Respons отключена. А в случае ее активизации пользователем, система предупреждает, что данные могут предоставляться третьим сторонам.

Представители Carbon Black обвинили DirectDefense в «крайне безответственном обнародовании информации, как по отношению к Carbon Black, так и по отношению к компаниям, приведенным в качестве примера». Однако Джим Брум парировал, что его компания знала об опциональных возможностях Cb Response, хоть и не упоминала об этом. Он также подчеркнул, что исследование DirectDefense отнюдь не является исчерпывающим и в большей мере обращено к пользователям EDR-решений, которым стоит вникать в политики конфиденциальности EDR-решений, которыми они пользуются.