解讀九大知名數(shù)據(jù)泄漏事件
譯文【51CTO.com快譯】不可否認(rèn),任何公司一旦遭遇了數(shù)據(jù)泄露事件,都會(huì)涉及到公司形象、財(cái)務(wù)營(yíng)收、市場(chǎng)份額、以及用戶信任等方面的巨大損失。實(shí)際上,一些重大的安全事故,往往是由多個(gè)不同安全級(jí)別的細(xì)微漏洞,疊加與累積而成。而且不幸的是,就算世界上的那些知名大公司,也無(wú)法獨(dú)善其身。在本文中,我將為您選擇和解讀業(yè)界九大知名數(shù)據(jù)泄漏與網(wǎng)絡(luò)安全事件,以方便貴企業(yè)“有則改之,無(wú)則加勉”。
1. Clearview AI
Clearview AI是一家頗具爭(zhēng)議的創(chuàng)業(yè)公司,它直接收集了數(shù)十億張公開(kāi)、可用的照片,為其面部識(shí)別平臺(tái)提供素材。2020年2月,入侵者在發(fā)現(xiàn)了其平臺(tái)漏洞后,獲取了該公司的客戶列表訪問(wèn)權(quán)限。盡管與下面將要提到的其他數(shù)據(jù)泄露事件相比,該公司泄漏的2200名客戶名單的體量雖小,但是BuzzFeed新聞發(fā)現(xiàn),Clearview AI的客戶群中包括了百思買等大型零售商,而其個(gè)人簽約客戶遍及全球27個(gè)國(guó)家。因此,執(zhí)法機(jī)構(gòu)仍予以了處罰。事后,該公司對(duì)受攻擊的系統(tǒng),以及相關(guān)漏洞進(jìn)行了及時(shí)修補(bǔ)。
2. First American Financial Corporation
First American Financial Corporation(第一美國(guó)金融公司)是美國(guó)《財(cái)富》500強(qiáng)中的一家大型房地產(chǎn)業(yè)保險(xiǎn)公司。由于房地產(chǎn)交易的性質(zhì),F(xiàn)irst American Financial在其網(wǎng)站存放的文檔中,包括有駕駛執(zhí)照、電匯交易、社會(huì)安全號(hào)碼、以及銀行帳戶等大量高度敏感的信息。
由于該網(wǎng)站不需要任何身份驗(yàn)證,即可查看到相關(guān)數(shù)據(jù),因此知曉其文檔URL的人,完全可以通過(guò)簡(jiǎn)單地更改鏈接中的數(shù)字部分,以跳轉(zhuǎn)訪問(wèn)其他文檔。自2003年以來(lái),攻擊者通過(guò)該漏洞,已成功訪問(wèn)了超過(guò)8.85億條敏感數(shù)據(jù)記錄。
2019年5月,一名房產(chǎn)業(yè)開(kāi)發(fā)人員Ben Shoval發(fā)現(xiàn)了該問(wèn)題。由于無(wú)法得到該公司的回應(yīng),他向KrebsOnSecurity尋求幫助。First American Financial隨后禁用了該文檔網(wǎng)站,并解決了設(shè)計(jì)上的缺陷。
3. Facebook
眾所周知,F(xiàn)acebook經(jīng)歷了數(shù)輪數(shù)據(jù)泄露。在此,我們重點(diǎn)關(guān)注由第三方Facebook應(yīng)用所引發(fā)的一系列事件。
傳媒組織Culture Colectiva有一個(gè)可供公共訪問(wèn)的Amazon S3 bucket,它能夠訪問(wèn)包括Facebook ID、用戶名、以及社交媒體活動(dòng)(如評(píng)論)在內(nèi)的各種信息。不過(guò),在最近的一次大規(guī)模泄露事件中,它們暴露了146 GB體量的5.4億條數(shù)據(jù)記錄。
另一個(gè)同類數(shù)據(jù)泄露事件是:一款名為“At the Pool”的應(yīng)用,暴露了22,000名用戶的用戶名、密碼、以及其他登錄信息。該應(yīng)用也是依靠可被公開(kāi)訪問(wèn)的Amazon S3 Bucket來(lái)備份數(shù)據(jù),而且其存儲(chǔ)區(qū)中的數(shù)據(jù)是以純文本的形式存儲(chǔ)的(https://www.xplenty.com/blog/why-pseudonymization-is-critical-for-large-enterprises/)。除了用戶在該應(yīng)用已注冊(cè)的詳細(xì)信息,該數(shù)據(jù)庫(kù)還包含了Facebook的用戶ID、偏好、興趣、組別、以及其他社交活動(dòng)。
Culture Colectiva的反應(yīng)比較滯后,他們花了四個(gè)月的時(shí)間,對(duì)S3 Bucket進(jìn)行了安全加固。而“At the Pool”則能夠趕在任何安全組織發(fā)布警告之前,悄悄地解決了其漏洞。
4. MongoDB數(shù)據(jù)庫(kù)
2019年5月,由于缺乏保護(hù),MongoDB公司擁有的那些未指定所有者的數(shù)據(jù)庫(kù),曾泄漏了超過(guò)十億條數(shù)據(jù)記錄。來(lái)自Security Discovery的研究員--Bob Diachenko率先發(fā)現(xiàn)了其中的一個(gè)包含有超2.75億條記錄的數(shù)據(jù)庫(kù)。這些數(shù)據(jù)主要涉及到印度公民的姓名、電子郵件、工作經(jīng)歷、出生日期、以及各種專業(yè)化的詳細(xì)信息。由于MongoDB的這些數(shù)據(jù)庫(kù)采用的是Amazon AWS托管模式,因此該狀態(tài)持續(xù)了兩個(gè)多星期之久。黑客組織Unistellar在發(fā)現(xiàn)后,立即攻擊了該數(shù)據(jù)庫(kù),并刪除了相關(guān)記錄。
通過(guò)持續(xù)調(diào)查,Diachenko相繼發(fā)現(xiàn)了另外四個(gè)具有大規(guī)模數(shù)據(jù)泄漏威脅的MongoDB數(shù)據(jù)庫(kù)。這些數(shù)據(jù)庫(kù)里存有超過(guò)8.08億封電子郵件、2億份履歷、以及7700萬(wàn)條個(gè)人信息記錄。由于數(shù)據(jù)庫(kù)管理員(而不是技術(shù)本身)的失誤,導(dǎo)致了這些MongoDB實(shí)例未被設(shè)置密碼,也沒(méi)能通過(guò)保護(hù)性的配置選項(xiàng),來(lái)阻止此類攻擊行為。可見(jiàn),遵從數(shù)據(jù)庫(kù)管理的相關(guān)最佳實(shí)踐,對(duì)于數(shù)據(jù)的安全性來(lái)說(shuō)是至關(guān)重要的。
5. Equifax
Equifax是世界領(lǐng)先的消費(fèi)者信用報(bào)告機(jī)構(gòu)之一,它收集了數(shù)百萬(wàn)美國(guó)公民和企業(yè)的敏感信息。在2017年9月的一次數(shù)據(jù)泄露事件中,有近半數(shù)的美國(guó)公民、以及部分加拿大與英國(guó)公民的記錄被竊取。具體內(nèi)容涉及到社會(huì)安全號(hào)碼、駕駛執(zhí)照號(hào)碼、信用卡號(hào)碼、地址、以及其他個(gè)人信息等。美國(guó)國(guó)會(huì)、聯(lián)邦貿(mào)易委員會(huì)、SEC等部門聯(lián)合對(duì)此次攻擊展開(kāi)了調(diào)查。據(jù)悉,黑客通過(guò)使用Apache Struts CVE-2017-5638漏洞,持續(xù)近兩個(gè)月訪問(wèn)了Equifax的信用糾紛應(yīng)用。雖然該漏洞已在Equifax的前一輪黑客攻擊后以補(bǔ)丁的形式被修復(fù),但是該公司未能加固所有的應(yīng)用系統(tǒng)。
值得一提的是,此類數(shù)據(jù)泄露的后果對(duì)于消費(fèi)者來(lái)說(shuō)是非常嚴(yán)重的。他們不但可能由此失去工作機(jī)會(huì),而且無(wú)法使用貸款產(chǎn)品和信用卡,他們的信用報(bào)告上甚至出現(xiàn)負(fù)評(píng)分。消費(fèi)者只有通過(guò)凍結(jié)信用報(bào)告,并主動(dòng)監(jiān)視其信用的變化情況,來(lái)發(fā)現(xiàn)任何盜用行為的發(fā)生。
6. Capital One
作為最大的信用卡發(fā)行商之一,Capital One記錄著1.06億客戶的違約記錄。不過(guò)2019年7月,其前軟件工程師Paige Thompson使用她的AWS專業(yè)知識(shí),利用錯(cuò)配的應(yīng)用級(jí)防火墻,成功地訪問(wèn)了Capital One的一臺(tái)服務(wù)器。該服務(wù)器上包含了來(lái)自信用卡應(yīng)用的、大量美國(guó)和加拿大客戶的社會(huì)保險(xiǎn)號(hào)碼、銀行帳號(hào)、信用評(píng)分、以及個(gè)人信息等。這些數(shù)據(jù)橫跨了十多年的信息記錄,可謂極具價(jià)值。
Paige曾在GitHub、Twitter和Slack等多處發(fā)帖,詳細(xì)說(shuō)明了她如何獲取服務(wù)器的訪問(wèn)權(quán)限。雖然尚不清楚她在各處分發(fā)社會(huì)保險(xiǎn)號(hào)碼和個(gè)人信息的真實(shí)動(dòng)機(jī),但是,她最終承認(rèn)了其利用Capital One漏洞盜取信息的事實(shí),并因此被捕。
7. US Office of Personnel Management
2015年,US Office of Personnel Management(OPM,美國(guó)人事管理辦公室)服務(wù)器上的2000萬(wàn)個(gè)人數(shù)據(jù)遭遇盜竊。
盡管與其他大規(guī)模泄漏相比,此次暴露的記錄數(shù)較少,但是就數(shù)據(jù)內(nèi)容的重要性而言,實(shí)屬嚴(yán)重事件。其中,泄漏的文件主要是那些用于向聯(lián)邦政府取得安全許可的SF-86表格,里面包含了大量諸如申請(qǐng)人指紋等敏感信息。
OPM的IT部門早在2014年3月就發(fā)現(xiàn)了一些異常跡象。但是,由于無(wú)法確定攻擊者是如何闖入系統(tǒng)的,以及有誰(shuí)參與了,因此他們只能持續(xù)監(jiān)視黑客的活動(dòng)。不幸的是,此法適得其反。攻擊者迅速建立了即使系統(tǒng)被重置,仍然存在的后門。從2013年11月到2015年4月間,攻擊對(duì)于數(shù)據(jù)的竊取蔓延到了內(nèi)政部的服務(wù)器上。
這次攻擊事件所造成的影響包括:國(guó)會(huì)調(diào)查、工會(huì)訴訟、以及OPM領(lǐng)導(dǎo)層的引咎辭職等。中情局最終認(rèn)定:缺少雙因素身份驗(yàn)證,是此次漏洞攻擊的罪魁禍?zhǔn)住?/p>
8. Uber
2016年,一個(gè)由兩名黑客組成的團(tuán)隊(duì)對(duì)Uber進(jìn)行了攻擊。他們通過(guò)獲得一臺(tái)包含了Uber用戶數(shù)據(jù)的第三方服務(wù)器的權(quán)限,導(dǎo)致Uber泄露了5700萬(wàn)條客戶和駕駛員的記錄,其中包括60萬(wàn)份駕駛執(zhí)照。
值得注意的是,Uber的前首席安全官居然選擇通過(guò)本組織的漏洞賞金計(jì)劃,向黑客支付了10萬(wàn)美元的贖金。據(jù)稱,他還阻礙了聯(lián)邦貿(mào)易委員會(huì)的調(diào)查,以掩蓋其違規(guī)行為。目前,他被指控阻礙調(diào)查,并正在接受審理。
9. Yahoo
Yahoo在2013年發(fā)生的數(shù)據(jù)泄漏事件,因其暴露的記錄體量而讓人記憶猶新。該公司的300萬(wàn)賬號(hào)數(shù)據(jù)是此次攻擊的重災(zāi)區(qū),其中包括生日、姓名、以及電子郵件地址等經(jīng)過(guò)哈希處理的信息。Yahoo直到2016年才公開(kāi)了其漏洞,而直到2017年才公布了其受到影響的用戶范圍。Yahoo認(rèn)為,一家有國(guó)家資助的黑客通過(guò)既有數(shù)據(jù)創(chuàng)建了Web Cookie。據(jù)此,他們無(wú)需密碼,即可訪問(wèn)用戶的賬號(hào)。在攻擊發(fā)生的兩年后,直至部分?jǐn)?shù)據(jù)在暗網(wǎng)上被兜售,Yahoo才發(fā)現(xiàn)到該事件。
解決您的網(wǎng)絡(luò)安全漏洞
綜上所述,即便是知名的大公司,如果未能遵循網(wǎng)絡(luò)安全的各項(xiàng)最佳實(shí)踐,無(wú)法全面實(shí)施數(shù)據(jù)安全計(jì)劃,沒(méi)法主動(dòng)提供多層防護(hù),就難以在黑客的暗中攻擊中幸免,也就不能避免數(shù)據(jù)泄露事件的發(fā)生。不知貴組織當(dāng)前的系統(tǒng)與網(wǎng)絡(luò)安全態(tài)勢(shì)如何?您是否能夠從上述九大事件中,找到信息保護(hù)的思路呢?
原文標(biāo)題:Top 9 Most Damaging Data Breaches at Major Companies,作者: Abe Dearmer
【51CTO譯稿,合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】
