安全從業者從專業角度出發票選出14起最嚴重數據安全事件
數據安全事故每天都在上演,統計數據分分秒秒在增加記錄條目。但是,重大數據洩露和小型數據安全事故之間的差別在哪裡呢?請看下列本世紀最重大數據洩露清單,你會發現其中關鍵。
該清單未必基於被洩記錄數量,而是根據數據洩露事件對公司、保險公司、用戶或賬戶持有者造成的破壞或風險定出的。某些案例中,口令和其他信息收到加密措施良好保護,因而口令重置就消弭了大部分風險。
1. 雅虎
影響:15億用戶賬戶
2016年9月,在與威瑞森談判收購事宜期間,該曾經的互聯網巨頭宣稱,在2014年時成為了史上最大數據洩露事件受害者,洩露事件有可能是國家支持黑客所為。該攻擊染指了5億用戶的真實姓名、電郵地址、生日和電話號碼等信息。雅虎稱,絕大部分涉事口令都經強壯的bcrypt算法進行了散列加密。
幾個月後,該年12月,隨著2013年另一黑客組織盜走10億賬戶的事件被披露,早前的記錄被刷新。除了姓名、生日、郵箱地址和口令並未像2014年被盜賬戶一樣保護良好,這次事件中,安全問題和答案也沒能保住。
該洩露事件直接造成雅虎拋售價格縮水3.5億美元的估值,最終以44.8億美元被威瑞森收購了其核心互聯網業務。收購協議要求兩家公司共同承擔數據洩露事件的監管和法律責任。收購案並未包含阿里巴巴集團控股的413億美元投資和雅虎日本的93億美元所有者權益。
雅虎成立於1994年,曾被估值1000億美元。收購案後,該公司更名為Altaba。
2. Adult Friend Finder
影響:超4.122億賬戶
FriendFinder Network 包含約炮和成人內容網站,比如 Adult Friend Finder、Penthouse.com、Cams.com、iCams.com和Stripshow.com,約在2016年10月中旬被黑。黑客從6個數據庫中收集到了20年的數據,包含姓名、郵箱地址和口令。
大多數口令僅用SHA-1散列算法加密,意味著99%的口令,在11月14號LeakedSource.com公佈了對整個數據集的分析後,都被破解了。
推特賬號1x0123,其他圈子暱稱Revolver(左輪手槍)的研究人員,貼出了取自 Adult Friend Finder 的截屏,顯示本地文件包含漏洞(LFI)被觸發。該漏洞是在 Adult Friend Finder 所用產品服務器的一個模塊中被發現的。
AFF副總裁發表了聲明,稱:“我們確實發現也修復了通過注入漏洞訪問源代碼的相關功能。”
3. eBay
影響:1.45億用戶
該在線拍賣巨頭報告稱,2014年5月的一場網絡攻擊,致使其全部1.45億用戶的姓名、地址、生日和加密口令被曝光。該公司稱,黑客利用3名公司僱員的憑證侵入公司網絡,在駐留公司網絡內部的229天時間裡,獲取到了該用戶數據庫。
該公司請求客戶修改口令,但表示,金融信息,比如信用卡號,是被單獨存儲的,且並未被黑。當時,該公司被批缺乏與其用戶的溝通,口令更新過程也很糟糕。
CEO約翰·多納休稱,該數據洩露事件導致了用戶活動減少,但基本沒有影響其基線——第二季度盈利增長13%,收益增長6%,與分析師與其相符合。
4. 哈特蘭支付系統公司
影響:哈特蘭的數據被黑客經由SQL注入方法安裝了間諜軟件,導致1.34億信用卡信息被曝光。
事發當時,哈特蘭每月要負責處理17.5萬商戶的1億支付卡交易——多為中小型零售商戶。直到2009年1月,Visa和MasterCard通報哈特蘭其處理賬戶中有可疑交易,數據洩露才被發現。
造成後果包括哈特蘭被判違反支付卡行業數據安全標準( PCI DSS ),2009年5月前不準處理主流信用卡供應商的支付。該公司賠付了約1.45億欺詐支付補償金。
聯邦大陪審團在2009年起訴艾爾伯特·岡薩雷斯和2名俄羅斯共犯。岡薩雷斯是古巴裔美國人,被控策劃了這起盜取信用卡借記卡的跨國犯罪活動。2010年他被判在聯邦監獄服刑20年。SQL注入漏洞廣為人知,安全分析師數年前就早已警告過零售商。然而,很多面向Web的應用中該漏洞一直持續,讓SQL注入成為了當時最常見的網站攻擊形式。
5. 塔吉特百貨
影響:1.1億人的信用卡信息和聯繫人信息
該數據洩露實際上從感恩節就開始了,但直到數週後才被發現。零售巨頭塔吉特最初宣稱,黑客通過第三方暖通空調供應商訪問到其銷售終端(POS)支付卡讀取器,收集了約4000萬信用卡和借記卡號。
然而,2014年1月,該公司提升了估計數字,報告稱有7000萬客戶的個人可識別信息(PII)被洩。其中包括有全名、地址、郵箱和電話號碼。最終估測是,該數據洩露影響到1.1億客戶。
塔吉特CIO於2014年3月辭職,CEO在5月辭職。該公司最近估測,該起數據洩露造成的損失高達1.62億美元。
該公司被認為做出了重大安全改進。但是,前趨勢科技CSO,現 Strategic Cyber Ventures CEO 湯姆·凱勒曼,將一項於2017年5月宣佈的和解協議(給了塔吉特180天做出具體安全整改),描述為“象徵性的懲罰”,“代表著過時的安全模式。”——因為整改要求集中在阻止攻擊者,而不是改進事件響應上。
6. TJX公司
影響:9400萬信用卡暴露
事發原因眾說紛紜。一個猜測是,某黑客組織利用了脆弱數據加密系統,從邁阿密兩家Marshall商店的無線傳輸中盜取了信用卡數據。另一種說法是,黑客通過店內可電子化申請崗位的查詢機攻入TJX網絡。
艾爾伯特·岡薩雷斯,哈特蘭數據洩露事件中的傳奇黑客頭子,因帶領小弟盜取信用卡而被判入獄20年,另有11名共犯被逮捕。岡薩雷斯曾是hi美國特勤局的線人,犯罪時工資標準是7.5萬美元。政府在其判決備忘中宣稱,涉事公司、銀行和保險商損失了近2億美元。
7. 摩根大通銀行
影響:7600萬家庭和700萬小企業
2014年夏天,該美國最大銀行,淪為了侵害美國半數家庭和700萬小企業的數據洩露案受害者。據美國證券交易委員會文件透露,被洩數據包括聯繫人信息——姓名、地址、電話號碼和郵箱地址,以及用戶的內部信息。
該銀行稱,客戶資金並未被盜,沒有證據顯示這些受影響客戶的賬戶信息——賬戶號、口令、用戶ID、生日或社會安全號,在攻擊中被洩露。
而且,黑客據稱有能力在該銀行90多臺服務器上獲取到“root”權限,意味著他們可以進行包括轉賬和註銷賬戶在內的各種行動。SANS研究所稱,摩根大通每年的安全開支有2.5億美元。
2015年11月,聯邦政府起訴了4名男子,罪名是摩根大通黑客案和其他金融機構黑客行為。格里·沙龍、約書亞·薩繆爾·艾倫和齊夫·奧蘭斯坦面臨23項指控,包括未授權計算機訪問、身份盜竊、證券欺詐和洗錢等為他們賺取了1億美元的犯罪活動。幫助這3人突破金融機構網絡的第4名黑客至今未被發現。
沙龍和奧蘭斯坦都是以色列人,在2016年6月拒不認罪。艾倫在去年12月於紐約肯尼迪機場被抓。
8. 美國人事管理局(OPM)
影響:2200萬在職和退休聯邦僱員個人信息
黑客據稱來自中國,自2012年起就進駐了OPM的電腦系統,但直到2014年3月20日才被檢測出來。另一黑客或黑客組織,在2014年5月通過第三方承包商進入OPM,但直到近1年後才被發現。入侵者滲漏了大量個人數據,包括很多詳細的安全調查信息和指紋數據。
去年,前FBI局長詹姆斯·科米談及所謂SF-86表裡所含信息——該表用於執行僱員安全調查的背景審查。他說:“我的SF-86表列出了我自18歲起生活過的每一處地方,我的每次海外旅行,我全部的家人及其住址。所以,不僅僅是我個人的身份受影響。我有兄弟姐妹,我有5個孩子。他們的信息都在上面。”
眾議院監督與政府改革委員會在去年秋天發佈了一份報告,報告標題即總結了OPM數據洩露案:《OPM數據洩露:政府是怎麼危及我們的國家安全超過一代人以上的》。
9. 索尼 PlayStation Network
影響:7700萬 PlayStation Network 賬戶被黑;網站下線1個月,估算損失1.71億美元。
被視為有史以來最糟糕的遊戲社區數據洩露事件。超7700萬受影響賬戶中,1200萬個賬戶的信用卡被破解。黑客得到了賬戶全名、口令、郵箱、家庭地址、購買歷史、信用卡號和PSN/Qriocity登錄憑證。這足以讓每一個優秀安全人員驚異:“假若索尼的情況就是這麼糟糕,那其他坐擁上千萬用戶數據記錄的跨國公司情況又怎樣呢?”應提醒IT安全從業者,要在整個公司裡持續發現並應用安全控制。對客戶而言,則要注意自己交出數據的對象。訪問在線遊戲或其他虛擬資產或許不值這個價碼。
2014年,在關於該數據洩露的一場集體訴訟中,索尼同意支付1500萬美元的和解金。
10. Anthem
影響:7880萬客戶和前客戶個人信息被盜
Anthem是美國第二大醫療保險公司,舊稱WellPoint。網絡攻擊中,該公司當前客戶和前客戶的姓名、地址、社會安全號、生日和僱傭歷史被曝,客戶身份岌岌可危。
《財富》雜誌在1月份報道,全國調查結論顯示,某外國政府可能招募黑客執行了這一起醫療行業歷史上最大型的數據洩露案。據稱,數據洩露在事發前1年就已開始,起因是Anthem子公司裡某用戶點擊了網絡釣魚郵件中的一個鏈接。該數據洩露的總損失尚無法估量,但應該不會少於1億美元。
2016年,Anthem稱,沒有證據表明客戶數據被出售、共享或用於欺詐。據說,信用卡和醫療信息也沒有被拿走。
11. RSA Security
影響:可能有4000萬僱員記錄被盜
該安全巨頭SecurID身份驗證令牌信息被盜的影響尚在討論之中。作為易安信旗下安全部門,RSA稱,兩個獨立的黑客團伙與某外國政府協作,發起了針對RSA僱員的網絡釣魚攻擊,假冒該公司僱員信任的人,滲透進公司網絡。
去年7月,易安信報告稱其在修復上至少花費了6600萬美元。RSA高管透露,客戶的網絡沒有遭到入侵。但eIQnetworks的副總裁兼首席安全合規官並不買賬,稱:“RSA最開始模糊攻擊方法和被盜數據的做法於事無補。後續對洛克希德馬丁、L3和其他公司的攻擊只不過是時間早晚問題,而這些攻擊據說都或多或少受到RSA數據洩露的影響。除此之外還有心理上的損害。甚至RSA這種久負盛名的安全公司,竟然都會被黑,信心打擊太嚴重。
珍妮弗·巴尤,獨立信息安全顧問間美國史蒂文斯理工學院教授,在2012年就曾公開表示,“該數據洩露是對安全產品行業的重大打擊,因為RSA簡直就是安全行業的標杆。他們是典型的安全廠商。這樣的廠商竟然也是脆弱點,可謂石破天驚。我不覺得有人會對此無所謂。”
12. VeriSign
影響:未披露信息被盜
安全專家一致認為,VeriSign數據洩露事件中最麻煩的事,不是黑客得到了特權系統和信息的訪問權,而是該公司處理事件的方式——很糟糕。VeriSign從未公佈過受到的攻擊。這些安全事件直到2011年才曝光,而且僅是通過一份美國證券交易委員會(SEC)強制的文件歸檔。
VeriSign在SEC季報中掩埋了信息,弄得好像是普通的趣聞似的。
VeriSign稱沒有關鍵系統被攻破,比如DNS服務器或證書服務器,但確實提到:“我們的一小部分計算機和服務器上的信息受到了訪問。”該公司至今沒報告是哪些信息被盜,又會對該公司及其客戶造成什麼影響。
13. 家得寶
影響:5600萬可信用卡/借記卡信息被盜
該硬件與建築用品零售商在9月宣佈了已懷疑數週的事件——起始於4月或5月,其POS系統遭惡意軟件感染。該公司之後稱,調查結果顯示,有一獨特的定製惡意軟件偽裝成反病毒軟件安裝到其POS系統中。
2016年3月,該公司同意支付至少1950萬美元補償美國客戶,其中有1300萬美元基金用於補償顧客的資費損失,650萬美元投入一年半的持卡人身份防護服務。
和解覆蓋了約4000萬支付卡數據被盜的受害者,以及5200萬郵箱地址被盜的人。這兩種分類有部分重疊。該公司估算,此次數據洩露的稅前開銷約為1.61億美元,包括消費者和解和預期的保險賠償金。
14. Adobe
影響:3800萬用戶記錄
最早在10月初被安全博主布萊恩·克雷布斯報道,花了數週時間查清洩露範圍和內容。該公司最初報告稱,黑客盜取了近300萬加密客戶信用卡記錄,以及數量未知的用戶賬戶登錄數據。
10月末,Adobe稱,攻擊者獲取了3800萬“活躍用戶”的ID和加密口令。但克雷布斯報道稱,就在數天前有份文件被貼到了網上,似乎包含了超過1.5億取自Adobe的用戶名和散列加密口令對。數週的研究過後,最終結論是,除了幾個Adobe產品的源代碼,該次攻擊還暴露了客戶姓名、ID、口令和借記卡/信用卡信息。
2015年8月,Adobe被要求支付110萬美元的訴訟費和未公開數目的用戶賠款,以平息違反《客戶記錄法案》和不正當商業行為的指控。2016年11月,支付給客戶的賠償金據稱有100萬美元。