思科已禁止公众访问其 DevHub 环境之一，因为威胁行为者从该网站下载了一些客户数据，并在一个网络犯罪论坛上出售。

被泄露的数据包括源代码、API 标记、硬编码凭证、证书和其他属于一些大公司的机密，包括微软、Verizon、T-Mobile、AT&T、巴克莱银行和 SAP。

面向公众环境的数据盗窃

一周前，当研究人员发现三个使用 IntelBroker、EnergyWeaponUser 和 zjj 的威胁行为者在 BreachForums 上出售数据时，泄露的消息首次浮出水面。IntelBroker 是一个已知的塞尔维亚实体，于 2022 年开始运营，与几起重大数据盗窃案有关，其中包括欧洲刑警组织、通用电气和 DARPA（美国国防部高级研究计划局）的数据盗窃案。

思科公司于 10 月 15 日宣布正在调查这一事件。三天后，该公司在一次更新中确认了这起安全事件，但对攻击者设法访问和下载的数据种类没有提供多少细节。

思科公司自己的系统似乎没有受到此次事件的影响。“思科的公告指出：”我们已经确定，相关数据位于面向公众的 DevHub 环境中，这是思科的一个资源中心，通过提供软件代码、脚本等供客户根据需要使用，为我们的社区提供支持。“在现阶段的调查中，我们已经确定可能发布了少量未授权公开下载的文件”。

该公司表示，目前没有证据表明攻击者非法访问了任何个人身份数据或财务信息，但它补充说，它仍在调查这种可能性。“该公司表示：”出于谨慎起见，在继续调查的同时，我们已禁止公众访问该网站。

在他们的 BreachForums 帖子中，威胁者声称他们从思科 DevHub 站点下载的数据包括 GitHub 和 GitLab 项目、源代码、Jira 票据、容器镜像、AWS 存储桶中的数据，以及至少一些机密的思科信息。

提醒： 确保面向公众资产安全的必要性

Sectigo 高级研究员 Jason Soroko 说：”思科事件提醒我们，为什么企业需要采取输入验证等措施保护面向公众的环境，以防止注入攻击、强大的身份验证工具和流程，以及定期进行漏洞评估。

Soroko说：”在确保面向公众的资产安全方面，企业常犯的错误包括忽视OWASP指南、低估安全风险、没有定期更新系统以及没有优先考虑安全编码实践。恶意软件检测工具可以方便地进行定期扫描。

他补充说，企业有时会倾向于认为面向公众的资产不那么重要，而实际上，这些资产可能会暴露敏感信息，攻击者可能会利用这些信息进行未来的入侵。例如，攻击者在思科事件中获得的数据包括源代码、API 标记、证书和凭证，攻击者有可能在未来的活动中大量利用这些数据。

Salt Security 公司网络安全战略总监埃里克-施瓦克（Eric Schwake）说，导致敏感数据最终出现在企业面向公众的环境中的因素有很多。“他说：”这可能是由于访问控制的意外错误配置、代码或文件管理中的人为错误、部署前的安全测试不充分或第三方服务受到损害。这些疏忽可能会导致敏感数据的暴露，并为攻击者创造潜在的切入点。

Schwake 建议企业实施多层次的安全策略来降低这种风险。他说：“这包括实施严格的访问控制、推广安全编码实践、进行彻底的安全测试、建立态势治理标准以及定期进行安全评估。使用保密管理解决方案和持续监控工具可以进一步提高安全性，防止未经授权访问敏感信息。”