美国国家安全委员会泄露了其成员的近1万份电子邮件和密码，暴露了政府组织和大公司在内的2000家公司。其中包括美国国家航空航天局和特斯拉等。

国家安全委员会（NSC）是美国的一个非营利组织，提供工作场所和安全培训。在其数字平台上，NSC为分布在不同企业、机构和教育机构的近55000名成员提供在线资源。

然而，该组织的网站在五个月的时间里受到网络攻击。公众可以访问暴露了数千个凭据的网络目录。在一长串泄露的证书中，有大约2000家公司和政府实体的员工，其中包括：

◆ 化石燃料巨头：壳牌、英国石油、埃克森、雪佛龙

◆ 电子产品制造商：西门子、英特尔、惠普、戴尔、英特尔、IBM、AMD

◆ 航空航天公司：波音公司、美国联邦航空管理局（FAA）

◆ 制药公司：辉瑞、礼来

◆ 汽车制造商：福特、丰田、大众、通用、劳斯莱斯、特斯拉

◆ 政府实体：司法部、美国海军、联邦调查局、五角大楼、美国国家航空航天局、职业安全与健康管理局

◆ 互联网服务提供商：Verizon、Cingular、Vodafone、ATT、Sprint、Comcast

◆ 其他：亚马逊、家得宝、霍尼韦尔、可口可乐、UPS

这些公司可能在平台上持有账户，以获取培训材料或参加国家安全委员会组织的活动。

该漏洞不仅对NSC系统构成风险，也对使用NSC服务的公司构成风险。泄露的凭据可能被用于凭据填充攻击，这些攻击试图登录公司的互联网连接工具，如VPN门户、人力资源管理平台或公司电子邮件。

此外，这些凭据可能被用于首次访问公司网络，部署勒索软件，窃取或破坏内部文件，或访问用户数据。

该漏洞于3月7日被发现，研究人员发现了国家安全委员会网站的一个子域名，该子域名可能用于开发目的。它向公众公开了其web目录的列表，使攻击者能够访问对web服务器操作至关重要的大多数文件。在这些可访问的文件中，研究人员还发现了一个存储用户电子邮件和散列密码的数据库备份。由于物联网搜索引擎于2023年1月31日首次对泄漏进行索引，该数据在5个月内可供公众访问。

备份总共存储了大约9500个独特的帐户及其凭据，其中近2000个不同的公司电子邮件域属于各个行业的公司。

拥有公众可访问的开发环境表明开发实践不佳。此类环境应独立于生产环境的域托管，并且必须避免托管实际用户数据。当然，也不应公开访问这些数据。

由于大量电子邮件被泄露，平台用户可能会经历垃圾邮件和网络钓鱼电子邮件的激增。建议他们从外部验证电子邮件中包含的信息，并在单击链接或打开附件时谨慎行事。

来源：E安全