不可否认,任何公司一旦遭遇了数据泄露事件,都会涉及到公司形象、财务营收、市场份额、以及用户信任等方面的巨大损失。实际上,一些重大的安全事故,往往是由多个不同安全级别的细微漏洞,叠加与累积而成。而且不幸的是,就算世界上的那些知名大公司,也无法独善其身。在本文中,我将为您选择和解读业界九大知名数据泄漏与网络安全事件,以方便贵企业“有则改之,无则加勉”。
Clearview AI是一家颇具争议的创业公司,它直接收集了数十亿张公开、可用的照片,为其面部识别平台提供素材。2020年2月,入侵者在发现了其平台漏洞后,获取了该公司的客户列表访问权限。尽管与下面将要提到的其他数据泄露事件相比,该公司泄漏的2200名客户名单的体量虽小,但是BuzzFeed新闻发现,Clearview AI的客户群中包括了百思买等大型零售商,而其个人签约客户遍及全球27个国家。因此,执法机构仍予以了处罚。事后,该公司对受攻击的系统,以及相关漏洞进行了及时修补。
First American Financial Corporation(第一美国金融公司)是美国《财富》500强中的一家大型房地产业保险公司。由于房地产交易的性质,First American Financial在其网站存放的文档中,包括有驾驶执照、电汇交易、社会安全号码、以及银行帐户等大量高度敏感的信息。
由于该网站不需要任何身份验证,即可查看到相关数据,因此知晓其文档URL的人,完全可以通过简单地更改链接中的数字部分,以跳转访问其他文档。自2003年以来,攻击者通过该漏洞,已成功访问了超过8.85亿条敏感数据记录。
2019年5月,一名房产业开发人员Ben Shoval发现了该问题。由于无法得到该公司的回应,他向KrebsOnSecurity寻求帮助。First American Financial随后禁用了该文档网站,并解决了设计上的缺陷。
众所周知,Facebook经历了数轮数据泄露。在此,我们重点关注由第三方Facebook应用所引发的一系列事件。
传媒组织Culture Colectiva有一个可供公共访问的Amazon S3 bucket,它能够访问包括Facebook ID、用户名、以及社交媒体活动(如评论)在内的各种信息。不过,在最近的一次大规模泄露事件中,它们暴露了146 GB体量的5.4亿条数据记录。
另一个同类数据泄露事件是:一款名为“At the Pool”的应用,暴露了22,000名用户的用户名、密码、以及其他登录信息。该应用也是依靠可被公开访问的Amazon S3 Bucket来备份数据,而且其存储区中的数据是以纯文本的形式存储的。除了用户在该应用已注册的详细信息,该数据库还包含了Facebook的用户ID、偏好、兴趣、组别、以及其他社交活动。
Culture Colectiva的反应比较滞后,他们花了四个月的时间,对S3 Bucket进行了安全加固。而“At the Pool”则能够赶在任何安全组织发布警告之前,悄悄地解决了其漏洞。
2019年5月,由于缺乏保护,MongoDB公司拥有的那些未指定所有者的数据库,曾泄漏了超过十亿条数据记录。来自Security Discovery的研究员--Bob Diachenko率先发现了其中的一个包含有超2.75亿条记录的数据库。这些数据主要涉及到印度公民的姓名、电子邮件、工作经历、出生日期、以及各种专业化的详细信息。由于MongoDB的这些数据库采用的是Amazon AWS托管模式,因此该状态持续了两个多星期之久。黑客组织Unistellar在发现后,立即攻击了该数据库,并删除了相关记录。
通过持续调查,Diachenko相继发现了另外四个具有大规模数据泄漏威胁的MongoDB数据库。这些数据库里存有超过8.08亿封电子邮件、2亿份履历、以及7700万条个人信息记录。由于数据库管理员(而不是技术本身)的失误,导致了这些MongoDB实例未被设置密码,也没能通过保护性的配置选项,来阻止此类攻击行为。可见,遵从数据库管理的相关最佳实践,对于数据的安全性来说是至关重要的。
Equifax是世界领先的消费者信用报告机构之一,它收集了数百万美国公民和企业的敏感信息。在2017年9月的一次数据泄露事件中,有近半数的美国公民、以及部分加拿大与英国公民的记录被窃取。具体内容涉及到社会安全号码、驾驶执照号码、信用卡号码、地址、以及其他个人信息等。美国国会、联邦贸易委员会、SEC等部门联合对此次攻击展开了调查。据悉,黑客通过使用Apache Struts CVE-2017-5638漏洞,持续近两个月访问了Equifax的信用纠纷应用。虽然该漏洞已在Equifax的前一轮黑客攻击后以补丁的形式被修复,但是该公司未能加固所有的应用系统。
值得一提的是,此类数据泄露的后果对于消费者来说是非常严重的。他们不但可能由此失去工作机会,而且无法使用贷款产品和信用卡,他们的信用报告上甚至出现负评分。消费者只有通过冻结信用报告,并主动监视其信用的变化情况,来发现任何盗用行为的发生。
作为最大的信用卡发行商之一,Capital One记录着1.06亿客户的违约记录。不过2019年7月,其前软件工程师Paige Thompson使用她的AWS专业知识,利用错配的应用级防火墙,成功地访问了Capital One的一台服务器。该服务器上包含了来自信用卡应用的、大量美国和加拿大客户的社会保险号码、银行帐号、信用评分、以及个人信息等。这些数据横跨了十多年的信息记录,可谓极具价值。
Paige曾在GitHub、Twitter和Slack等多处发帖,详细说明了她如何获取服务器的访问权限。虽然尚不清楚她在各处分发社会保险号码和个人信息的真实动机,但是,她最终承认了其利用Capital One漏洞盗取信息的事实,并因此被捕。
2015年,US Office of Personnel Management(OPM,美国人事管理办公室)服务器上的2000万个人数据遭遇盗窃。
尽管与其他大规模泄漏相比,此次暴露的记录数较少,但是就数据内容的重要性而言,实属严重事件。其中,泄漏的文件主要是那些用于向联邦政府取得安全许可的SF-86表格,里面包含了大量诸如申请人指纹等敏感信息。
OPM的IT部门早在2014年3月就发现了一些异常迹象。但是,由于无法确定攻击者是如何闯入系统的,以及有谁参与了,因此他们只能持续监视黑客的活动。不幸的是,此法适得其反。攻击者迅速建立了即使系统被重置,仍然存在的后门。从2013年11月到2015年4月间,攻击对于数据的窃取蔓延到了内政部的服务器上。
这次攻击事件所造成的影响包括:国会调查、工会诉讼、以及OPM领导层的引咎辞职等。中情局最终认定:缺少双因素身份验证,是此次漏洞攻击的罪魁祸首。
2016年,一个由两名黑客组成的团队对Uber进行了攻击。他们通过获得一台包含了Uber用户数据的第三方服务器的权限,导致Uber泄露了5700万条客户和驾驶员的记录,其中包括60万份驾驶执照。
值得注意的是,Uber的前首席安全官居然选择通过本组织的漏洞赏金计划,向黑客支付了10万美元的赎金。据称,他还阻碍了联邦贸易委员会的调查,以掩盖其违规行为。目前,他被指控阻碍调查,并正在接受审理。
Yahoo在2013年发生的数据泄漏事件,因其暴露的记录体量而让人记忆犹新。该公司的300万账号数据是此次攻击的重灾区,其中包括生日、姓名、以及电子邮件地址等经过哈希处理的信息。Yahoo直到2016年才公开了其漏洞,而直到2017年才公布了其受到影响的用户范围。Yahoo认为,一家有国家资助的黑客通过既有数据创建了Web Cookie。据此,他们无需密码,即可访问用户的账号。在攻击发生的两年后,直至部分数据在暗网上被兜售,Yahoo才发现到该事件。
综上所述,即便是知名的大公司,如果未能遵循网络安全的各项最佳实践,无法全面实施数据安全计划,没法主动提供多层防护,就难以在黑客的暗中攻击中幸免,也就不能避免数据泄露事件的发生。不知贵组织当前的系统与网络安全态势如何?您是否能够从上述九大事件中,找到信息保护的思路呢? [来源:51CTO]
实操指南:如何监控聊天中的敏感信息?这款秘籍软件,轻松掌握微信聊天动态
电影《摩登时代》里,流水线工人就连在吃饭时都要用“自动喂食机”提高效率,这样才能挤出更多时间投入工作。虽然现在打工人不至于此,但有些老板仍然放心不下……像企业聊天记录往往蕴含着大量的敏感信息。为了确保信息安全,监控聊天中的敏感信息成为了一项必要且重要的工作。以下是一款秘籍软件,帮助你轻松掌握微信聊天动态,确保信息安全。...
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过员工上班在干什么?摸鱼?打游戏?老板该怎么管理?如何才能监视怎么监控员工上班情况?监控员工上班情况可以通过多种方式实现,但重要的是要确保这些措施既合法又合规,同时尊重员工的隐私权。以下是一些建议的方法:一、制定明确的行为规范与奖惩制度1、制定行为规范: 企...
怎么监控员工上班情况?快速监控员工状态
怎么监控员工上班情况?快速监控员工状态在企业管理中,如何有效监控员工上班情况,确保工作效率与团队协作,是每位老板都需面对的课题。本文为您揭秘五招快速监控员工状态的实用技巧,不仅能帮助您实时掌握员工动态,还能提升整体管理效率。作为老板,掌握这些技巧,将让您在企业管理中游刃有余,轻松应对各种挑战。一、使用安企神软件实时监控...
安企神桌管软件:提升企业管理效率的全能助力
安企神桌管软件:提升企业管理效率的全能助力在当今竞争激烈的商业环境中,企业必须不断优化管理和运营流程,以提高效率和盈利能力。安企神桌管软件正是这样一款面向中小企业的管理工具,能够帮助企业在多方面提升综合管理水平。本文将详细探讨安企神桌管软件给企业带来的多重价值。一、全方位的管理功能安企神桌管软件是一款集成了多种管理功能...
安企神:揭开终端安全管理软件的神秘面纱
安企神:揭开终端安全管理软件的神秘面纱在数字化日益普及的今天,企业的网络安全问题愈发显得重要。数据泄露、网络攻击等事件层出不穷,如何保障企业内部信息的安全性成为众多企业关心的焦点。安企神终端安全管理软件应运而生,作为一款专业的安全管理工具,它的功能与优势备受关注。本文将全面揭秘安企神软件的核心功能、应用场景及其在终端安...