过去几个月,占比11.8%。3个荷兰品牌价值160亿美元,微软一直在努力应对网络安全方面的诸多考验。尽管该公司正在积极推动鼓励客户采用的零信任安全模型,占比4.7%。6个法国品牌价值90亿美元,但它自家的一些软件,占比2.7%。6个日本品牌价值61亿美元,却也被曝出一直向公共互联网敞开了数据访问的门。比如早些时候,占比1.8%。3个瑞士品牌价值51亿美元,Microsoft Power Apps 门户中的默认配置,占比1.5%。商业服务品牌服务类别包括:专业服务(Professional Services)、业务支持(Business Support)、人力资源(Human Resources)、 工程和服务(Engineering & Construction Services)、支付服务(Payment Services)、金融和投资信息服务(Financial & Investment Information Services)、信用机构(Credit Agency)等。排名 品牌 归属地 品牌价值/年增长率 服务领域1、德勤(Deloitte) 美国 266.62亿美元/-17.9% 专业服务2、维萨(Visa) 美国 265.08亿美元/-1.3% 支付服务3、埃森哲(accenture) 美国 260.28亿美元/+2.9% 专业服务4、美国运通(American Express) 美国 235.59亿美元/-19.2% 支付服务5、普华永道(PWC) 美国 222.32亿美元/-10.4% 专业服务6、安永(EY) 英国 202.87亿美元/-14.4% 专业服务7、万事达卡(Mastercard) 美国 191.17亿美元/-3.6% 支付服务8、贝宝(Paypal) 美国 164.02亿美元/+3.8% 支付服务9、毕马威(KPMG) 荷兰 121.88亿美元/-17.5% 专业服务10、标普全球(S&P Global) 美国 86.85亿美元/+27.3% 金融和投资信息服务11、麦肯锡(McKinsey) 美国 51.58亿美元/-9.7% 专业服务12、安德普翰(ADP) 美国 50.38亿美元/-21.9% 专业服务13、西斯科(Sysco) 美国 50.13亿美元/-12.0% 专业服务14、彭博(Bloomberg) 美国 44.86亿美元/-9.9% 金融和投资信息服务15、索迪斯(Sodexo) 法国 42.73亿美元/-2.6% 专业服务16、德豪(BDO GLOBAL) 比利时 41.24亿美元/+1.0% 专业服务17、明晟(MSCI) 美国 39.93亿美元 金融和投资信息服务18、富时罗素(FTSE Russell) 英国 35.13亿美元 金融和投资信息服务19、波士顿咨询(BCG) 美国 专业服务20、任仕达(randstad) 荷兰 33.48亿美元/-8.2% 人力资源21、德科(Adecco) 瑞士 31.42亿美元/-13.5%人力资源22、康帕斯集团(Compass Group) 英国23、Ball 美国24、韦莱韬悦(Willis Towers Watson) 英国 25.8亿美元/-14.6% 业务支持25、穆迪(Moody's) 美国 25.52亿美元/-1.8% 金融和投资信息服务26、爱玛客(aramark) 美国27、信达思(Cintas) 美国 24.63亿美元/-11.5% 业务支持28、新东方(New Oriental) 29、塞科利达(Securitas) 瑞典30、联合租赁(United Rental) 美国 21.36亿美元/-24.6% 工程和服务31、尼尔森(nielsen) 美国 21.1亿美元/-12.7% 业务支持32、贝恩咨询(Bain) 美国33、西科姆(Secom) 日本34、Jacobs Engineering 美国 19.47亿美元/+15.2% 工程和服务35、益博睿(experian) 爱尔兰 18.28亿美元/-13.0% 信用机构36、万宝盛华(Manpower) 美国 17.7亿美元/-28.4%人力资源37、IHS Markit 英国38、欧艾斯(ISS) 丹麦 16.79亿美元/-2.8% 业务支持39、瑞可利(Recruit) 日本 16.75亿美元/+21.8%人力资源40、律商联讯(LexisNexis) 英国 16.75亿美元/+3.2% 业务支持41、Sunbelt Rentals 美国 15.28亿美元/-19.1% 工程和服务42、环联(TransUnion) 美国 14.71亿美元/-11.9% 信用机构43、ADT 美国44、铁山(Iron Mountain) 美国 14.18亿美元/+10.9% 业务支持45、艾可飞(Equifax) 美国 13.98亿美元/+1.8% 信用机构46、必维(Bureau Veritas) 法国47、瑞士通用公证行(SGS) 瑞士48、盖特纳(Gartner) 美国 13.08亿美元/+0.4% 业务支持49、Quanta Services 美国 12.79亿美元/-6.9% 工程和服务50、Worldpay 美国 12.68亿美元/-23.4% 支付服务51、Verisk 美国 12.48亿美元/-7.5% 业务支持52、美世(Mercer) 美国 11.85亿美元 人力资源53、怡亚通(Eternal Asia) 11.84亿美元/-9.6% 业务支持54、爱思唯尔(Elsevier) 英国 11.77亿美元/-7.7% 业务支持55、Aecom Technology 美国 11.33亿美元/-31.2% 工程和服务56、沛齐(Paychex) 美国 11.23亿美元/-18.2% 人力资源57、Elior 法国58、安姆科(Amcor) 澳利亚59、Alliance Data 美国60、G4S 英国61、罗致恒富(Robert Half) 美国 9.7亿美元 人力资源62、能多洁(Rentokil) 英国63、巴布科克(Babcock) 英国 9.35亿美元/-12.7% 工程和服务64、Glassdoor 日本 9.3亿美元/-13.1% 人力资源65、天祥(Intertek) 英国66、艾登瑞德(Edenred) 法国67、简柏特(Genpact) 美国68、BRINKS 美国69、Elis 法国70、Fleetcor Technologies 美国71、Computershare 澳利亚72、Arvato 德国73、Bright Horizons 美国74、Qontigo 瑞士75、PERSOL HOLDINGS 日本 6.48亿美元 人力资源76、Gems Education 阿联酋77、Capita 英国78、Worley 澳利亚 6.00亿美元/-27.8% 工程和服务79、Oliver Wyman 美国80、Wsp Global 加拿 5.63亿美元/+9.4% 工程和服务81、RR Donnelley 美国82、FTI Consulting 美国83、保赛固(Prosegur) 西班牙84、Bidfood Group 南非85、瀚纳仕(Hays) 英国 5.27亿美元 人力资源86、普乐集团(Huhtamaki) 芬兰87、AA 英国88、倍乐生(Benesse) 日本89、AMN Healthcare 美国90、玛泽(Mazars) 法国91、Serco 英国92、凯谛思(Arcadis) 荷兰 4.9亿美元/+28.2% 工程和服务93、Terminix 美国94、Loomis 瑞典95、DeVry University 美国96、光辉国际(Korn Ferry) 美国97、CAF 美国 4.11亿美元 工程和服务98、TechnoPro Holdings Inc 日本99、Paylocity 美国100、凯利服务(Kelly Services) 美国举报/反馈,就被发现向外了 3800 万条记录,且其中不乏量敏感信息。
最新消息是,Azure 云服务中也存在类似的安全漏洞,并且多家财富 500 强客户都受到了 Cosmos DB 数据库漏洞的影响。
安全公司Wiz详细披露了 ChaosDB 攻击,可知其能够通过 Azure Cosmos DB 中的默认配置触发。
2019 年的时候,微软将 Jupyter Notebook 引入其中,并于 2021 年 2 月默认为所有客户启用。
尴尬的是,由于此功能中存在配置错误,导致 Wiz 能够访问攻击向量、触发权限提升、破坏 Notebook 的容器,并且获得了对 Cosmos DB 托管的主密钥、以及 Notebook blob 存储访问令牌的访问权限。
接着,攻击者可获得受害者账户托管的所有数据的管理员访问权限。在密钥泄露后,相关数据也可通过公共互联网进行操纵。
Wiz 于 8 月 9 日发现了该漏洞,并于 8 月 12 日向微软通报。庆幸的是,这家雷德蒙德科技巨头在 48 小时后便禁用了 Cosmos DB 中的 Jupyter Notebook 。
此外据路透社报道,微软已于今日完成了这个问题的修复,并开始向客户通知更换他们的私钥。该公司在邮件中称:
我们立即修复了该问题,以确保客户安全和受到保护,同时感谢安全研究人员的漏洞披露方面的协调帮助
[…] 目前没有迹象表明有研究人员(Wiz)之外的外实体可访问主读写密钥。
Wiz 警告称,即使微软已经完成了漏洞修补,客户也应该全面替换他们的密钥 —— 因为现有的密钥,仍可用于访问他们的数据。
具体说来是,2021 年 2 月之后创建的每个 Cosmos DB 账户、或自推出以来使用 Jupyter Notebook 的每个账户,都会受到该漏洞的影响。
最后,Wiz 因向官方披露了这个存在两年多的漏洞,而获得了微软的 40000 美元赏金。
