在如今重大數(shù)據(jù)泄密事件層出不窮的年代��,2011年似乎完全延續(xù)了這個趨勢:大大小小的企業(yè)在遭到數(shù)據(jù)庫泄密事件的重創(chuàng)。據(jù)隱私權(quán)信息交流中心 (Privacy Rights Clearinghouse)聲稱,單單2011年上半年就發(fā)生了234起泄密事件��,受影響的人成千上萬�。下面看看今年到目前為止影響最大的幾起數(shù)據(jù)庫泄密事件���,IT安全專業(yè)人員應(yīng)該引以為戒:
1�����、受害者:HBGary Federal公司
失竊/受影響的資產(chǎn):60000封機(jī)密電子郵件�、公司主管的社交媒體帳戶和客戶信息�。
安全公司HBGary Federal宣布打算披露關(guān)于離經(jīng)叛道的Anonymous黑客組織的信息后不久,這家公司就遭到了Anonymous組織成員的攻擊�。 Anonymous成員通過一個不堪一擊的前端Web應(yīng)用程序���,攻入了HBGary的內(nèi)容管理系統(tǒng)(CMS)數(shù)據(jù)庫��,竊取了大量登錄信息。之后����,他們得以利用這些登錄信息�����,闖入了這家公司的多位主管的電子郵件�����、Twitter和LinkedIn帳戶���。他們還完全通過HBGary Federal的安全漏洞�,得以進(jìn)入HBGary的電子郵件目錄�,隨后公開拋售郵件信息。
汲取的經(jīng)驗教訓(xùn):這次攻擊事件再一次證明���,SQL注入攻擊仍是黑客潛入數(shù)據(jù)庫系統(tǒng)的首要手段;Anonymous成員最初正是采用了這種方法,得以闖入HBGary Federal的系統(tǒng)���。但要是存儲在受影響的數(shù)據(jù)庫里面的登錄信息使用比MD5更強(qiáng)大的方法生成散列,這起攻擊的后果恐怕也不至于這么嚴(yán)重���。不過更令人窘迫的是這個事實:公司主管們使用的密碼很簡單,登錄信息重復(fù)使用于許多帳戶。
2、受害者:RSA公司
失竊/受影響的資產(chǎn):關(guān)于RSA的SecurID認(rèn)證令牌的專有信息。
RSA的一名員工從垃圾郵箱文件夾收取了一封魚叉式網(wǎng)絡(luò)釣魚的電子郵件,隨后打開了里面含有的一個受感染的附件;結(jié)果����,這起泄密事件背后的黑客潛入到了 RSA網(wǎng)絡(luò)內(nèi)部很深的地方����,找到了含有與RSA的SecurID認(rèn)證令牌有關(guān)的敏感信息的數(shù)據(jù)庫���。雖然RSA從來沒有證實到底丟失了什么信息����,但是本周又傳出消息,稱一家使用SecurID的美國國防承包商遭到了黑客攻擊�,這證實了這個傳聞:RSA攻擊者已獲得了至關(guān)重要的SecurID種子 (SecurID seed)���。
汲取的經(jīng)驗教訓(xùn):對于黑客們來說�,沒有哪個目標(biāo)是神圣不可侵犯的��,連RSA這家世界上領(lǐng)先的安全公司之一也不例外��。RSA泄密事件表明了對員工進(jìn)行培訓(xùn)有多么重要;如果笨手笨腳的內(nèi)部員工為黑客完全敞開了大門,一些最安全的網(wǎng)絡(luò)和數(shù)據(jù)庫照樣能夠長驅(qū)直入��。安全專家們還認(rèn)為��,這起泄密事件表明業(yè)界想獲得行之有效的實時監(jiān)控�,以防止諸如此類的深層攻擊偷偷獲取像從RSA竊取的專有信息這么敏感的數(shù)據(jù)����,仍然任重而道遠(yuǎn)。
3���、受害者:Epsilon
失竊的資產(chǎn):這家公司2500名企業(yè)客戶中2%的電子郵件數(shù)據(jù)庫。
營銷公司Epsilon從來沒有證實它所存儲的大量消費者聯(lián)系人信息當(dāng)中到底多少電子郵件地址被偷,這些聯(lián)系人信息被Epsilon用來代表 JP摩根大通�、雜貨零售商克羅格(Kroger)和TiVo這些大客戶發(fā)送郵件�����。但是從這家公司的多個客戶透露出來的泄密事件通知表明,這起泄密事件肯定影響了數(shù)以百萬計的客戶����,使得他們在將來面臨網(wǎng)絡(luò)釣魚和垃圾郵件攻擊的風(fēng)險更大�����。
汲取的經(jīng)驗教訓(xùn):Epsilon也沒有證實這起攻擊的技術(shù)細(xì)節(jié),但是許多人指明�����,針對電子郵件營銷行業(yè)策劃的狡猾的魚叉式網(wǎng)絡(luò)釣魚攻擊活動可能是造成這次攻擊的一個根源�,再次強(qiáng)調(diào)了對普通員工進(jìn)行安全意識教育的重要性。不過對于企業(yè)來說可能更重要的是這個教訓(xùn):貴企業(yè)在外包時�,仍然保留這樣的風(fēng)險和責(zé)任:保護(hù)承包商監(jiān)控的數(shù)據(jù)。由于Epsilon這個合作伙伴引起的這起泄密事件���,Epsilon的每個客戶仍要自行承擔(dān)披露和相關(guān)成本。
4�、受害者:索尼
失竊的資產(chǎn):超過1億個客戶帳戶的詳細(xì)資料和1200萬個沒有加密的信用卡號碼���。
攻擊者得以闖入三個不同的數(shù)據(jù)庫這些數(shù)據(jù)庫含有敏感的客戶信息�����,包括姓名、出生日期以及一部分索尼擁有的信用卡號碼�����,這影響了 PlayStation網(wǎng)絡(luò)(PSN)��、Qriocity音樂視頻服務(wù)以及索尼在線娛樂公司的廣大客戶����。到目前為止����,索尼旗下大約九個服務(wù)網(wǎng)站因最初的泄密事件而被黑客攻破。
據(jù)備受尊崇的安全專家�、普渡大學(xué)的Gene Spafford博士所作的證詞表明����,索尼在使用一臺過時的Apache服務(wù)器����,既沒有打上補丁,又沒有裝防火墻其實早在發(fā)生泄密事件的幾個月前����,索尼就知道了這件事。上周�����,黑客又往索尼的傷口上灑了把鹽:他們再度開始鉆PSN的空子,因為索尼明知道黑客已弄到了電子郵件地址和出生日期,還是沒有加強(qiáng)密碼重置系統(tǒng)��。在索尼再次關(guān)閉PSN以解決問題之前����,不法分子改掉了沒有更改與PSN帳戶有關(guān)聯(lián)的電子郵件的用戶的密碼。
汲取的經(jīng)驗教訓(xùn):在當(dāng)前這個時代�,不重視安全的企業(yè)文件會讓企業(yè)蒙受慘重?fù)p失���。據(jù)本周的傳聞聲稱�,索尼到目前為止已花掉了1.71億美元用于泄密事件之后的客戶挽救��、法律成本和技術(shù)改進(jìn)這筆損失只會有增無減�����。想盡快走出如此嚴(yán)重的泄密事件的陰影,不但需要高昂成本�����,而且讓企業(yè)很尷尬���、有損形象����。
5、受害者:得克薩斯州審計辦公室
失竊的資產(chǎn):350萬人的姓名、社會安全號碼和郵寄地址,另外還有一些人的出生日期和駕駛執(zhí)照號碼。
正是由于得克薩斯州審計辦公室的一臺沒有加密的誰都可以訪問的服務(wù)器,得克薩斯州三個政府機(jī)構(gòu)的數(shù)據(jù)庫所收集的敏感信息被泄密了將近整整一年,這三個政府機(jī)構(gòu)是得克薩斯州教師退休中心�、得克薩斯州勞動力委員會和得克薩斯州雇員退休系統(tǒng)����。據(jù)稱負(fù)責(zé)把數(shù)據(jù)發(fā)布到網(wǎng)上的幾個員工違反了部門的工作程序���,這起泄密事件披露后已被開除��。
慘痛的經(jīng)驗教訓(xùn):要是不安裝有效的技術(shù)性的控制和監(jiān)管軟件工具來認(rèn)真落實保密政策和保密制度,那么保密政策和保密制度就沒有太大意義。員工能夠?qū)?shù)據(jù)庫信息置于如此不堪一擊的險境,證明如果保密政策不采取"強(qiáng)制實施的有效手段"���,將會給企業(yè)帶來巨大的風(fēng)險!得克薩斯州現(xiàn)在因這起泄密事件而面臨兩起集體訴訟,其中一起要求對該州判以向每個受影響的人賠償1000美元的法定處罰考慮到這起事件影響到數(shù)百萬人���,這筆費用無疑如同天文數(shù)字!
北京數(shù)碼信息技術(shù)有限公司技術(shù)總監(jiān)王總指出:“信息安全對于哪些對商業(yè)數(shù)據(jù)依賴性很強(qiáng)的服務(wù)行業(yè)和技術(shù)性企業(yè),企業(yè)核心數(shù)據(jù)一旦被泄露或技術(shù)成果被非法帶出公司,給企業(yè)帶來的損失將是巨大的,甚至是毀滅性的��!盡快在公司內(nèi)部部署‘防泄密系統(tǒng)’將是非常明智的選擇���!只有及時切斷信息泄露的各種非法途徑�����,才能真正保證企業(yè)的健康發(fā)展���!”
400-608-6677 轉(zhuǎn)810
2019-07-10
2422
CC
