9月25日，跨国咨询公司德勤被黑的消息，被该公司当做小事件轻描淡写地掠过。如今，证据显示，该公司被渗透不是没有原因的——他们的安全简直做的乱七八糟：关键系统的远程桌面协议(RDP)是开放的，VPN和代理的登录信息还被泄露。而就在前不久，Gartner的报告还把德勤列为世界第一大安全咨询公司，28.6亿美元的安全年收入，堪称全球第二大安全业务收入的公司。（参考：全球网络安全年收入超10亿美元以上的15家公司）

9月26日，某公开GitHub存储库中，被人发现藏有含德勤公司VPN口令、用户名和操作细节的一系列数据包。另外，德勤的一名雇员，似乎将公司代理登录凭证，上传到了他的公开Google+页面。该信息在上面足足待了6个月之久，才被清除。

眼尖的用户发现了这些页面并告知了媒体，以下就是媒体抓下来的两张数据截屏：

这些潜在的公司登录信息泄露之上，德勤还有大量的内部和关键系统，非必要地直面了公共互联网——启用了远程桌面访问功能。按照业界最佳实践，所有这些，本应位于防火墙和双因子身份验证防护之后的。讽刺的是，德勤自己给客户的建议，也是这样。

Phobos Group创始人，安全研究员丹·腾特勒称：“仅最后一天，我就发现了7000到1.2万台德勤的开放主机，遍布全球。我们说的可是全球几十个业务单位，也就是不同能力水平的几十个 IT部门。我只能想到一句：‘这是真·可利用啊’。”

比如说，南非的一台德勤的Windows Server 2012 R2服务器，似乎是作为活动目录(AD)服务器使用，但RDP大开，且安全更新都在挂起状态，十分令人担忧。其他案例中，暴露出IT部门使用过时软件，各种安全措施失效等等。

而且，如其他信息安全专家指出的，还有很多其他东西也在网上挂着，用Shodan搜索引擎就能搜到，根本是坐等不法之徒和其他好奇的人刺探。比如德勤美国公司就几乎什么都不设防，从NetBIOS到RDP到Exchange管理员口令（单因子验证）等等等等，全都面向互联网开放。他们真的需要审计员。

这些系统可以被用作黑客进入其内部网络的关键桥头堡。

暴露出来的那个Google+页面，显示出一名德勤员工将VPN访问控制，写进了其所有人可见的个人页面中。就用谷歌引以为傲的搜索功能，黑客可以轻易地找出足够信息，发起成功率颇高的攻击。

所有这些，对自我标榜为业界顶级IT安全咨询公司的德勤来说，可谓令人尴尬。该公司以可观的价格向其他公司出售其技术大师的服务，赚取千百万盈利，却无视了其自身IT基础设施中的潜在漏洞。

目前涌现的信息，还让分析师公司Gartner大失颜面——该公司已连续5年提名德勤为全球最佳IT安全咨询公司。Gartner尚未就其结论是如何做出的询问给出任何回应。

然而不回应无济于事，德勤的商业操作不太为同行所喜。该公司向来有虚报低价招揽客户的恶名——尤其是在渗透测试上，而对其自身安全如此之糟的幸灾乐祸，也愉悦了一些人。

德勤总想打破渗透测试底价，恨不得每人天少于1千美元。好了，现在你可以看到这种价格得到的是什么服务了。

前有Equifax，后有德勤，从中不难看出，这些美国安全行业公司的各种豪言壮语，不过是假道学而已。

你会想，德勤说自己拥有这些大神级安全人才。如果情况果真如此，那他们还不在自己的基础设施上用？

德勤还没有对该评论做出回应。

相关阅读

Equifax数据泄露事件致CIO和CISO离职
这就是孟加拉银行被黑8100万美元的真相
供应链、内鬼、内部员工、账户被盗 HBO被黑客蹂躏的岁月