本文由 360安全播报 翻译，转载请注明“转自360安全播报”，并附上链接。
原文链接：http://www.securityweek.com/database-california-electric-utility-exposed-online

近日，一位网络安全研究员表示，他在网络上找到了一个未受任何保护，随时面临黑客攻击风险的数据库系统。经过查证，他发现该数据库是隶属于美国加利福尼亚太平洋电气公司（PG&E,Pacific Gas and Electric）。PG&E是一家主营天然气和电力供应业务的能源企业，总部设在美国加利福尼亚州。该研究员表示，在此数据库中似乎存储着大量的敏感数据。但随后，PG&E公司发表声明称，这些数据其实是虚假的。

在过去几个月的时间里，Mackeeper软件研究员Chris Vickery一直都致力于类似执行了错误配置的数据库系统的研究。正是因为某些参数的配置错误，而使得它们可以被任何人访问，无论你是否获得了访问权限。Vickery说到，他发现的这个数据库应该是PG&E公司管理系统中的一部分，它保存了该公司中大约47000台的计算机、网络服务器、虚拟机以及其他IT设备中的大量数据。

任何人无需进行身份验证，就可获得这些数据。数据包括：IP地址、主机名、MAC地址（Media Access Control： 计算机物理地址）、主机物理定位、操作系统数据以及100多名雇员的登录密码等。尽管有些密码经过哈希加密处理，但Vickery还是找到了其中一些以明文形式存储的密码。

PG&E公司负责人曾告知Vickery说：“这个数据库是假的，不是我们公司所使用的数据库。”对于PG&E公司的否认，Vickery表示，这正是我所担心的地方。此事非同小可，因为它涉及到了超过688000份雇员和用户的身份验证信息。一旦其遭到泄漏，后果不堪设想。

Vickery 在一篇博文中写到：“当然，PG&E公司的这一说法可以理解。因为在理论上，我们可以编译一些能够存储大量虚假数据的软件，来冒充真正的数据，但企业和公司并不会这样做。即使一个数据库的投入使用，只是为了开发需要，他们也会在其中存储真实的，反映产品性能、产品功效的数据。他们之所以会那样做，是因为在一定程度上，产品数据其实很容易免费获得。当系统中保存有大量的生产数据时，公司不会允许无关人员访问数据库，同时也不会制造假数据来冒充真实数据，因为这会给数据管理工作带来不便。这种情况我已经见过很多次了。说实话，我根本不相信PG&E公司关于数据是虚假的这一说法。”

此后不久，一位来自PG&E公司的发言人向Security Week（安全周刊）发去了一份关于此事的声明，同时证实该数据库是PG&E公司所有，并遭到了曝光。而在此之前，PG&E公司则一直坚持他们自己的说法：

“首先，我们想要澄清的是，在此次事件中，我们公司没有任何的工作系统遭到攻击，同时也并未涉及任何用户或雇员的私人信息。

我们的数据服务供应商为了公司提供了一个规范管理资产数据的平台，并向我们展示了该平台良好的安全性。出自该平台的数据能够有效地提供关于公司技术设备（计算机或网络服务器）的运行参数等数据。

是供应商将数据进行了曝光，是由一位第三方安全研究员发现的。该研究员迅速联系了我们公司的安全部门，通报了这一情况。而我们的安全人员声称，这些数据不涉及公司敏感信息，是伪造的数据。这其实并不是想有意要误导他。我们是根据供应商反馈的情况，才发出这一声明（即数据仅仅是一个样本，是虚假的）。但在我们进行了深入的调查之后发现，这些数据是真的，于是马上将其删除了，并且与该研究员取得了联系，更正了原先的声明。

之后，我们将会采取合理的法律步骤，对供应商进行问责处理。同时，在他们拿到PG&E公司数据后，我们会要求他们对数据进行严格保护，以防止类似情况再次发生。”

Vickery说到，“我迅速将情况告知了PG&E公司，但他们却并未对此引起重视。随后，5月26日，该数据库就遭到了曝光。”不幸中的万幸是，Vickery事先对数据进行了备份，同时他决定将这份拷贝数据送到国土安全局（DHS：Department of Homeland Security），让相关安全人员进行保存。

自从美国政府提升了对本国电力、天然气等能源企业的保护意识之后，国土安全局就一直致力于此类针对能源企业网络攻击事件的调查。在2016年1月，国安局的工控系统应急预警小组（ICS-CERT）就曾向美国国会提交过一份年度事故调查报告。该报告提到：据国安局统计，在2015年，国安局共接到了245起工业系统网络攻击事件的报案，其中16%的案件对能源部门造成了严重影响。

如果能进一步证实PG&E公司数据库信息已经遭到泄漏，那么这又将是一个由研究员通过简单的安全测试，发现能源企业存在网络安全问题的实例了。在2015年，研究员Randy Westergren曾发现，在一款名叫Delmarva Power的Android App中，存在几个严重的安全漏洞，会窃取用户日常的电气煤气缴费明细单。（Delmarva Power是美国一家电力，天然气供应商，为德玛瓦半岛以及马里兰地区的14万居民提供日常生活中电力和天然气的供应）。

英国的某些能源企业也曾因为缺乏相应的安全保护措施，而遭到攻击。2014年，英国天然气公司（British Gas，英国本土规模最大的能源供应商）的推特账户就曾遭到黑客攻击。去年，根据英国官方的调查报告显示，黑客通过攻击，使得该公司的在线社交密码管理系统陷入了瘫痪。

[课程]FART 脱壳王！加量不加价！FART作者讲授！