遭同業爆料洩漏數TB客戶資料？Carbon Black駁斥言過其實

知名端點安全產品供應商Carbon Black的產品被另一家安全公司DirectDefense 發現「漏洞」，導致高達數TB的財星千大企業客戶的重要服務金鑰、內部帳密及客戶資料外洩。但Carbon Black隨後否認有漏洞及資料外洩情形。 

Carbon Black提供端點偵測及回應（Endpoint Detection and Response, EDR）方案，這名為Cb Response技術是將客戶端點上所有活動都紀錄並蒐集在中央伺服器上，建立起安全檔案的白名單，被收錄在白名單者才可以正常執行，以作為平日控管，而發生洩密等安全事件時，也可作為事後鑑識之用，Carbon Black服務也受到許多大型企業的青睞。

然而這種方案如同防毒軟體或網址過濾一樣，會面臨其白名單永遠追不上現實檔案種類的困難。為此，該公司會將未見過的檔案送到其雲端多重掃瞄（multiscanner）服務VirusTotal加以分析、評分。也就是說，所有客戶電腦的新檔，都會上傳到雲端上。  

本次爭議點發生在VirusTotal上。DirectDefense總裁Jim Broome指出，去年年中DirectDefense接到客戶反映網站入侵，研究人員發現有個正在利用某個大型多重掃瞄雲端服務介面的惡意程式。循線追查發現，這個多重掃瞄雲不僅能下載惡意程式，竟然還有來自一家大型電信設備廠商的內部應用程式。接著他們發現起因是Carbon Black上傳客戶檔案到 VirusTotal 的API Key曝光。 

DirectDefense聲稱發現經由這把API Key上傳的所有檔案，總共數TB高達上萬個檔案，其中不乏極敏感的檔案，像是AWS 特定服務、Slack的登入帳密、Google Play金鑰、Apple Store ID、Azure金鑰或公司內部帳密，甚至可存取客戶財務資料的AWS共享金鑰及財務模型等商業機密。 

不過消息一出，Carbon Black技術長Michael Viscuso駁斥漏洞說法，表示該公司客戶分享檔案作為外部查詢，只是一個選項功能，而且客戶可決定可看到的群組有誰，且該功能平常是關閉的，一旦開啟，客戶也會接到通知。他同時強調，這項分享功能只存在Cb Response，並不存在其他服務如Cb Protection或Cd  Defense，也不存在所謂架構上的問題。 

Carbon Black並表示在此之前並未接獲聯繫求證，斥責DirectDefense的作法十分不負責，傷害了該公司與三家被舉例的客戶。知名部落客Brian Krebs也指出這研究最後變成一個人人喊罵的炒作行為。 

在Carbon Black的強烈回擊下，DirectDefense終於軟化，承認這不是一項漏洞，但他們仍強調該研究的目的在教育「客戶應該要知道此類架構及開放資料查詢的風險。」