过去的2013年,重大数据泄漏事故层出不穷,而根据趋势科技2014年安全趋势报告,2014年重大数据泄漏事故的频率将大幅增加至每月一次。在迎接充满挑战的2014年时,我们不妨先回顾一下刚刚过去的2013年。在2013年,黑客们开发出多种新型方式来规避安全限制。他们发动强大的拒绝服务攻势,模仿合法流量的手段与效果也比原先有了很大进步。他们创造出新的恶意软件品种,从而很轻松地绕过传统安全防御体系。他们不断改善自己所使用的社会工程战术,设计更加可信的网络钓鱼攻击活动以窃取所需的账户信息。偷渡式攻击则将目标设定为员工群体——在他们浏览合法网站的同时悄悄利用恶意软件感染其操作系统。
以下为Zdnet汇总的2013年最为严重的十大数据泄露事件,通过对这些数据泄漏事故的“复盘”,我们能更清楚地认识到攻击者如何利用多种行之有效的手段成功实现企业环境渗透。重大数据泄漏事故的频发很可能催生出与之相抗衡的安全防御技术,同时也提高了抵御新型攻击的成本。
1.博思艾伦咨询公司——美国国家安全局数据泄露
安全专家们表示,前政府事务承包商雇员爱德华·斯诺登泄露国家安全局监控程序信息的事件证明,对负责维护关键性系统及流程的员工进行严格审查是保障数据安全的重要组成部分。斯诺登是参与高度机密安全审查工作的近五十万名承包商雇员之一。尽管在个人简历当中存在一些问题,他最终仍然被博思艾伦咨询公司聘用。他在夏威夷帮助国家安全局打理相关工作,并获得了12.2万美元的年薪。
此次国安局数据流露事故据称是由于其他雇员利用U盘及账户凭证获得了对关键性系统的访问权。根据报道,斯诺登从国安局处取得了数十万份文件,并随后将这些资料提供给媒体记者,从而证明了国安局在国内外确实展开了大量监控活动、试图分析监控对象的网络通信以及手机记录。斯诺登的行为引发了广泛的讨论热潮,全世界都开始认真思考政府到底能够在怎样的程度范围内进行情报搜集活动。除了潜在的加密缺陷以及实施失误之外,斯诺登事件还大大提高了组织机构对于内部威胁防御的关注程度。另外,他的行动还让更多普通民众意识到美国各大技术供应商与政府之间的密切协作。总而言之,这次曝光的数据泄露很可能对今后互联网通信底层系统的完整性与弹性以及用于为用户提供隐私级别保障的机制产生重大影响。
2. 《纽约时报》数据泄露
去年《纽约时报》的内部系统遭遇入侵、黑客们掌握了其持续访问权,这一问题直到几个月后才被披露给其它媒体。计算机取证调查员们在接受采访时表示,网络犯罪分子利用自定义工具实施了这一轮攻击。目前调查人员将主要注意力集中在了两位记者身上——因为他们曾经撰写了一篇批评中国政府的报道。
此次事故正式揭开了由政府推动的网络间谍活动的神秘面纱,黑客集团背后的资源供给也因此变得更加复杂。除此之外,这一事故也帮助我们更为直接地关注部分关键性安全最佳实践,包括对主动网络监控的需求、高强度密码的重要性以及利用隔离系统保存敏感数据的价值等。攻击者们利用数十种自定义恶意软件实施综合性入侵,并将这些软件推向保存每一位《纽约时报》员工散列密码数据库的域控制器当中。
调查人员们目前仍然在努力确定Target Corp.信用卡数据泄露事故的实际影响范围。该系统在遭遇违规状况后至少导致四千万张信用卡与借记卡信息外流。攻击者们自假日购物季开始便着手发动攻势,其实施手段不禁让我们想起以往曾经出现过的信用卡违规事故——钖007年的TJX违规、哈特兰支付系统以及汉纳福德兄弟连锁超市等数据泄露事故。而作为每一次违规事故的核心,攻击者利用的其实都是最为基本的安全漏洞。
尽管目前我们还没有足够的细节来推断攻击者是如何获取访问权的,但这次事故再次将我们的注意力集中到了支付卡行业及其数据安全标准身上。安全专家们指出,PCI-DSS已经成为引导某个行业有效进行自身调整的标准化模式。这套标准强调了一系列必须遵循的最低执行步骤,旨在保护敏感支付系统。它由各个支付品牌以多种方式加以强制执行。此次违规事故是否会促使立法者考虑更为严格的实施标准以及违规惩罚尚有待观察。
4. MongoHQ数据泄露
MongoHQ数据安全违规事件给数百位云用户带来直接影响,受到间接影响的用户数量则可能成千上万。该公司专门出售针对MongoDB NoSQL数据库管理系统的数据库即平台服务。此次泄露的数据包括电子邮件地址、散列密码以及其它一些客户账户信息。
但此次泄露事故的核心在于,攻击者已经有能力入侵受害者的Amazon Web Services S3存储账户并获取对一部分MongoHQ客户数据库的访问权。这次数据泄露于去年十月被正式发现,发生原因是与该公司内部支持应用程序相关的安全控制机制失效。该公司表示,某位员工在已被攻破的个人账户中输入了密码,问题由此产生。正如安全专家们一再提醒的,安全设备配置失当以及基础性安全机制失效很可能引发严重的违规情况。
5. Evernote数据泄露
移动数据存储企业Evernote于去年三月发现其系统遭遇入侵后,旋即对五千万名用户的密码进行了重置。该公司还着手引入双因素验证支持方案,旨在帮助用户在高强度密码之外利用其它机制验证自己的身份。
该公司表示安全团队检测到的攻击活动利用综合性手段尝试访问其受限企业网络。安全专家们指出,Evernote强大的事故响应能力证明该公司始终为泄露状况做好了充分准备。幸运的是,Evernote利用单向加密、散列与salt等机制对密码进行保护,从而使其内容更加难于破解。
安全专家们提醒称,企业应该更多地将密码泄露作为可能发生的潜在状况,鼓励用户采用高强度密码并考虑使用密码管理方案。
6. LivingSocial数据泄露
作为一家电子商务新兴企业,LivingSocial于去年四月宣布遭遇数据泄露事故、其旗下的五千万用户受到影响。攻击者得以访问用户名、密码、电子邮件地址以及账户持有者生日等数据。
安全专家们提醒称,这一次LivingSocial数据泄露事故的出现为整个业界敲响了警钟——新兴企业由于资金有限往往无力组织起有效的防御机制,而由此带来的潜在风险已经成为安全人员们的共识。大部分企业的运营优先级依次为核心产品开发、营销活动投入,最后才是解决安全方面可能存在的差距或者短板。幸运的是,该公司始终坚持PCI合规性,同时利用隔离网络支撑用于处理信用卡数据的交易支付系统。
7. Drupal.Org数据泄露
人气开源内容管理系统Drupal在发现自身服务器存在数据安全违规状况后,决定对其Drupal.org网站全体用户的密码加以重置。Drupal作为一套后端平台支持着成千上万的博客与网站。
根据该公司的说法,攻击者针对的是安装在Drupal.org服务器基础设施内的第三方软件所存在的安全漏洞。此次泄露的数据包括用户名、电子邮件地址、国家信息以及散列密码。事故于去年五月公布,受到影响的账户持有者数量可能高达百万。该公司表示自身已经在事故发生后更新了安全措施并改进了其 Apache Web服务器的保护力度。
8. Facebook数据泄露
去年六月,Facebook披露约有六百万名用户由于某种软件漏洞而在不经意间遭遇电子邮件地址与个人电话号码外泄。该公司宣称从信息泄露状况发生到最终软件代码错误得到修复,中间的间隔时间长达一年之久。
Facebook用户在下载好友列表中的联系人数据时会获取到原本不应该存在的额外信息,该公司解释道。当发现这一安全问题后,Facebook方面在24小时之内就完成了修复工作。
该公司还遭遇过内部安全事故。就在去年二月,Facebook曾检测到几位员工的笔记本电脑受到恶意软件感染,这一偷渡式攻击专门针对那些访问过某家已被攻破的移动开发者网站的软件开发人员。
9. CorporateCarOnline违规事故
作为一家豪华轿车租赁预约软件制造商,CorporateCarOnline去年九月遭遇严重的系统破坏,因此发生个人信息泄露的客户数量超过八十五万名。此次违规事故还导致成千上万信用卡信息曝光,其中不乏一些名人。另外,这一事故还凸显出某些非结构化数据的敏感特性,警醒我们客户的个人行为与日常工作都可能成为攻击者可资利用的素材。
攻击者们利用一项Adobe ColdFusion当中存在的安全漏洞获取了对数据的访问权。此次事故昭示了与第三方供应商合作处理敏感数据所带来的潜在风险,同时也提醒我们需要不断维护系统并更新最新安全补丁。
10. Zendesk数据泄露
Zendesk是一家专门为各类在线企业提供客户支持门户网站的公司。根据该公司的说法,此次安全违规导致数千位Twitter、Tumblr以及Pinterest的用户遭遇邮件地址及支持信息外泄。
据称,此次事故发生于去年二月,最初由某家第三方供应商的失误所引发、但旋即产生连锁效应,并最终导致该公司向用户发出警告、提醒称其电子邮件地址以及某些个人资料面临潜在风险。安全专家们指出,这些数据很可能被恶意人士们用于组织防不胜防的网络钓鱼攻击。
参考阅读:过去十年最严重的数据泄漏事件
