遭同业爆料洩漏数TB客户资料Carbon Black驳斥言过其实

示意图，与新闻事件无关。

Carbon Black

知名端点安全产品供应商Carbon Black的产品被另一家安全公司DirectDefense 发现「漏洞」，导致高达数TB的财星千大企业客户的重要服务金钥、内部帐密及客户资料外洩。但Carbon Black随后否认有漏洞及资料外洩情形。 

Carbon Black提供端点侦测及回应（Endpoint Detection and Response, EDR）方案，这名为Cb Response技术是将客户端点上所有活动都纪录并蒐集在中央伺服器上，建立起安全档案的白名单，被收录在白名单者才可以正常执行，以作为平日控管，而发生洩密等安全事件时，也可作为事后鉴识之用，Carbon Black服务也受到许多大型企业的青睐。

然而这种方案如同防毒软体或网址过滤一样，会面临其白名单永远追不上现实档案种类的困难。为此，该公司会将未见过的档案送到其云端多重扫瞄（multiscanner）服务VirusTotal加以分析、评分。也就是说，所有客户电脑的新档，都会上传到云端上。  

本次争议点发生在VirusTotal上。DirectDefense总裁Jim Broome指出，去年年中DirectDefense接到客户反映网站入侵，研究人员发现有个正在利用某个大型多重扫瞄云端服务介面的恶意程式。循线追查发现，这个多重扫瞄云不仅能下载恶意程式，竟然还有来自一家大型电信设备厂商的内部应用程式。接着他们发现起因是Carbon Black上传客户档案到 VirusTotal 的API Key曝光。 

DirectDefense声称发现经由这把API Key上传的所有档案，总共数TB高达上万个档案，其中不乏极敏感的档案，像是AWS 特定服务、Slack的登入帐密、Google Play金钥、Apple Store ID、Azure金钥或公司内部帐密，甚至可存取客户财务资料的AWS共享金钥及财务模型等商业机密。 

不过消息一出，Carbon Black技术长Michael Viscuso驳斥漏洞说法，表示该公司客户分享档案作为外部查询，只是一个选项功能，而且客户可决定可看到的群组有谁，且该功能平常是关闭的，一旦开启，客户也会接到通知。他同时强调，这项分享功能只存在Cb Response，并不存在其他服务如Cb Protection或Cd  Defense，也不存在所谓架构上的问题。 

Carbon Black并表示在此之前并未接获联繫求证，斥责DirectDefense的作法十分不负责，伤害了该公司与三家被举例的客户。知名部落客Brian Krebs也指出这研究最后变成一个人人喊骂的炒作行为。 

在Carbon Black的强烈回击下，DirectDefense终于软化，承认这不是一项漏洞，但他们仍强调该研究的目的在教育「客户应该要知道此类架构及开放资料查询的风险。」