ถือเป็นเรื่องผิดพลาดที่อาจเกิดขึ้นได้ทั้งฝั่งฝ่าย Analysis และฝั่ง 3rd Party ซึ่งในกรณีนี้คือ DirectDefense และ Carbonblack แต่มันจะง่ายและไม่มีอะไรเกิดขึ้นหากมีการคุยกันก่อนที่จะเปิดเผยข้อมูลใดๆออกมา

ก่อนอื่นต้องขอเล่าเรื่อง Endpoint Detection & Response (EDR) ก่อน

EDR คือโปรแกรมที่จะคอยสอดส่องไฟล์และ activity ต่างๆภายในเครื่องที่ได้ติดตั้ง Agent โดยเมื่อติดตั้งไปแล้ว Agent ดังกล่าวจะทำการเก็บข้อมูลการกระทำต่างๆส่งไปยังส่วนกลางการ Management รวมถึงการตรวจสอบ process ต่างๆที่ถูกรันหรือไฟล์ใหม่ๆที่ถูกสร้างด้วยว่าเป็นไฟล์ที่เป็น Malware หรือไม่ ซึ่งโดยปกติคือการกระทำจะกระทำผ่าน Threat Intelligence จากนั้นก็จะส่งผลมาบอกว่า File ที่เกิดใหม่นั้นๆเป็น Malware หรือไม่

อ่ะ เมื่อเข้าใจในส่วนของ EDR กันแล้วก็มาต่อในเรื่องความขัดแย้งระหว่าง 2 ฝ่ายกันต่อ

DirectDefense นั้นเป็นบริษัทเกี่ยวกับ security รับทำในส่วน Incident Response และได้เข้าไปช่วยบริษัทแห่งหนึ่งเมื่อเกิดถูกแฮ็คขึ้น ซึ่งทางทีมงานของ DirectDefense ก็ได้พบ malware แล้วก็ upload ไฟล์ดังกล่าวไปยัง multiscanner services [ซึ่งทาง CarbonBlack บอกว่าเป็น Virustotal] ซึ่งเป็นเว็บไซด์สำหรับการตรวจสอบไฟล์ด้วย Antivirus จำนวน 64 เจ้า ทีนี้ประเด็นมันอยู่ที่ DirectDefense พบว่ามีไฟล์ลักษณะคล้ายกันถูกอัพโหลดโดยใช้ API key เหมือนกันขึ้นไปเยอะๆ

ทีนี้ในส่วนของ multiscanner services ดังกล่าวมีส่วนที่สามารถเข้าไปดูรายละเอียดบางส่วนของไฟล์ได้ ซึ่งทำให้เห็นว่ามีข้อมูลสำคัญอยู่ในนั้นด้วย เช่น พวก API Key ของ AWS service, พวก username, password เป็นต้น

ดังนั้นทาง DirectDefense ก็เลยสืบต่อว่า API Key ที่ถูกใช้ upload ไฟล์เยอะๆขึ้น multiscanner services คือของใคร ก็ปรากฏว่าเป็นของ CarbonBlack ทำให้ทาง DirectDefense นั้นก็เลยตีความว่าตัว CarbonBlack นี่แหล่ะที่ทำให้เกิดเหตุข้อมูลรั่วไหลแบบนี้

ก็เลยโพสต์รายละเอียดใหญ่โตในเรื่องดังกล่าว ส่งผลให้เกิดความเข้าใจผิดไปในวงกว้าง

ทาง CarbonBlack ก็รีบออกมาชี้แจงทันทีว่า จริงๆแล้วการ upload ไฟล์ขึ้นไปตรวจสอบบน multiscanner services  นั้นไม่ได้เปิดโดย Default และมีคำพูดแจ้งเตือนด้วยว่าโปรดระวังในการแชร์ข้อมูลดังกล่าว ซึ่งมันก็แสดงว่าการรั่วไหลดังกล่าวนั้นไม่ได้เกิดจาก CarbonBlack เอง แต่เป็นตัวลูกค้าเองต่างหากที่ไม่ระวังในการจะ enable feature ดังกล่าว ส่งผลให้ข้อมูลรั่วไหลออกไปได้ ทาง CarbonBlack ยังกล่าวใน Reddit อีกว่าการเปิดเผยดังกล่าวของ DirectDefense เป็นการเปิดเผยที่น่าเกลียดและไม่มีความรับผิดชอบอย่างมาก

จริงๆเรื่องนี้จะไม่เกิดอะไรเลย ถ้า DirectDefense นั้นติดต่อพูดคุยกับปัญหาดังกล่าวแล้วช่วยติดต่อลูกค้าในการทำความเข้าใจเพิ่มเติมในเหตุดังกล่าว การกระทำของ DirectDefense นั้นน่าโดนถูกฟ้องอย่างยิ่ง

ก็ต้องรอดูกันต่อไปว่าจะมีการฟ้องร้องหรือไม่ต่อไปครับ

Source:: CarbonBlack, DirectDefense, BleepingComputer