安全从业者从专业角度出发票选出14起最严重数据安全事件。
数据安全事故每天都在上演,统计数据分分秒秒在增加记录条目。但是,重大数据泄露和小型数据安全事故之间的差别在哪里呢?请看下列本世纪最重大数据泄露清单,你会发现其中关键。
该清单未必基于被泄记录数量,而是根据数据泄露事件对公司、保险公司、用户或账户持有者造成的破坏或风险定出的。某些案例中,口令和其他信息收到加密措施良好保护,因而口令重置就消弭了大部分风险。
1. 雅虎
时间:2013-2014
影响:15亿用户账户
2016年9月,在与威瑞森谈判收购事宜期间,该曾经的互联网巨头宣称,在2014年时成为了史上最大数据泄露事件受害者,泄露事件有可能是国家支持黑客所为。该攻击染指了5亿用户的真实姓名、电邮地址、生日和电话号码等信息。雅虎称,绝大部分涉事口令都经强壮的bcrypt算法进行了散列加密。
几个月后,该年12月,随着2013年另一黑客组织盗走10亿账户的事件被披露,早前的记录被刷新。除了姓名、生日、邮箱地址和口令并未像2014年被盗账户一样保护良好,这次事件中,安全问题和答案也没能保住。
该泄露事件直接造成雅虎抛售价格缩水3.5亿美元的估值,最终以44.8亿美元被威瑞森收购了其核心互联网业务。收购协议要求两家公司共同承担数据泄露事件的监管和法律责任。收购案并未包含阿里巴巴集团控股的413亿美元投资和雅虎日本的93亿美元所有者权益。
雅虎成立于1994年,曾被估值1000亿美元。收购案后,该公司更名为Altaba。
2. Adult Friend Finder
时间:2016年10月
影响:超4.122亿账户
FriendFinder Network 包含约炮和成人内容网站,比如 Adult Friend Finder、Penthouse.com、Cams.com、iCams.com和Stripshow.com,约在2016年10月中旬被黑。黑客从6个数据库中收集到了20年的数据,包含姓名、邮箱地址和口令。
大多数口令仅用SHA-1散列算法加密,意味着99%的口令,在11月14号LeakedSource.com公布了对整个数据集的分析后,都被破解了。
推特账号1x0123,其他圈子昵称Revolver(左轮手枪)的研究人员,贴出了取自 Adult Friend Finder 的截屏,显示本地文件包含漏洞(LFI)被触发。该漏洞是在 Adult Friend Finder 所用产品服务器的一个模块中被发现的。
AFF副总裁发表了声明,称:“我们确实发现也修复了通过注入漏洞访问源代码的相关功能。”
3. eBay
时间:2014年5月
影响:1.45亿用户
该在线拍卖巨头报告称,2014年5月的一场网络攻击,致使其全部1.45亿用户的姓名、地址、生日和加密口令被曝光。该公司称,黑客利用3名公司雇员的凭证侵入公司网络,在驻留公司网络内部的229天时间里,获取到了该用户数据库。
该公司请求客户修改口令,但表示,金融信息,比如信用卡号,是被单独存储的,且并未被黑。当时,该公司被批缺乏与其用户的沟通,口令更新过程也很糟糕。
CEO约翰·多纳休称,该数据泄露事件导致了用户活动减少,但基本没有影响其基线——第二季度盈利增长13%,收益增长6%,与分析师与其相符合。
4. 哈特兰支付系统公司
时间:2008年3月
影响:哈特兰的数据被黑客经由SQL注入方法安装了间谍软件,导致1.34亿信用卡信息被曝光。
事发当时,哈特兰每月要负责处理17.5万商户的1亿支付卡交易——多为中小型零售商户。直到2009年1月,Visa和MasterCard通报哈特兰其处理账户中有可疑交易,数据泄露才被发现。
造成后果包括哈特兰被判违反支付卡行业数据安全标准( PCI DSS ),2009年5月前不准处理主流信用卡供应商的支付。该公司赔付了约1.45亿欺诈支付补偿金。
联邦大陪审团在2009年起诉艾尔伯特·冈萨雷斯和2名俄罗斯共犯。冈萨雷斯是古巴裔美国人,被控策划了这起盗取信用卡借记卡的跨国犯罪活动。2010年他被判在联邦监狱服刑20年。SQL注入漏洞广为人知,安全分析师数年前就早已警告过零售商。然而,很多面向Web的应用中该漏洞一直持续,让SQL注入成为了当时最常见的网站攻击形式。
5. 塔吉特百货
时间:2013年12月
影响:1.1亿人的信用卡信息和联系人信息
该数据泄露实际上从感恩节就开始了,但直到数周后才被发现。零售巨头塔吉特最初宣称,黑客通过第三方暖通空调供应商访问到其销售终端(POS)支付卡读取器,收集了约4000万信用卡和借记卡号。
然而,2014年1月,该公司提升了估计数字,报告称有7000万客户的个人可识别信息(PII)被泄。其中包括有全名、地址、邮箱和电话号码。最终估测是,该数据泄露影响到1.1亿客户。
塔吉特CIO于2014年3月辞职,CEO在5月辞职。该公司最近估测,该起数据泄露造成的损失高达1.62亿美元。
该公司被认为做出了重大安全改进。但是,前趋势科技CSO,现 Strategic Cyber Ventures CEO 汤姆·凯勒曼,将一项于2017年5月宣布的和解协议(给了塔吉特180天做出具体安全整改),描述为“象征性的惩罚”,“代表着过时的安全模式。”——因为整改要求集中在阻止攻击者,而不是改进事件响应上。
6. TJX公司
时间:2006年12月
影响:9400万信用卡暴露
事发原因众说纷纭。一个猜测是,某黑客组织利用了脆弱数据加密系统,从迈阿密两家Marshall商店的无线传输中盗取了信用卡数据。另一种说法是,黑客通过店内可电子化申请岗位的查询机攻入TJX网络。
艾尔伯特·冈萨雷斯,哈特兰数据泄露事件中的传奇黑客头子,因带领小弟盗取信用卡而被判入狱20年,另有11名共犯被逮捕。冈萨雷斯曾是hi美国特勤局的线人,犯罪时工资标准是7.5万美元。政府在其判决备忘中宣称,涉事公司、银行和保险商损失了近2亿美元。
7. 摩根大通银行
时间:2014年7月
影响:7600万家庭和700万小企业
2014年夏天,该美国最大银行,沦为了侵害美国半数家庭和700万小企业的数据泄露案受害者。据美国证券交易委员会文件透露,被泄数据包括联系人信息——姓名、地址、电话号码和邮箱地址,以及用户的内部信息。
该银行称,客户资金并未被盗,没有证据显示这些受影响客户的账户信息——账户号、口令、用户ID、生日或社会安全号,在攻击中被泄露。
而且,黑客据称有能力在该银行90多台服务器上获取到“root”权限,意味着他们可以进行包括转账和注销账户在内的各种行动。SANS研究所称,摩根大通每年的安全开支有2.5亿美元。
2015年11月,联邦政府起诉了4名男子,罪名是摩根大通黑客案和其他金融机构黑客行为。格里·沙龙、约书亚·萨缪尔·艾伦和齐夫·奥兰斯坦面临23项指控,包括未授权计算机访问、身份盗窃、证券欺诈和洗钱等为他们赚取了1亿美元的犯罪活动。帮助这3人突破金融机构网络的第4名黑客至今未被发现。
沙龙和奥兰斯坦都是以色列人,在2016年6月拒不认罪。艾伦在去年12月于纽约肯尼迪机场被抓。
8. 美国人事管理局(OPM)
时间:2012-2014
影响:2200万在职和退休联邦雇员个人信息
黑客据称来自中国,自2012年起就进驻了OPM的电脑系统,但直到2014年3月20日才被检测出来。另一黑客或黑客组织,在2014年5月通过第三方承包商进入OPM,但直到近1年后才被发现。入侵者渗漏了大量个人数据,包括很多详细的安全调查信息和指纹数据。
去年,前FBI局长詹姆斯·科米谈及所谓SF-86表里所含信息——该表用于执行雇员安全调查的背景审查。他说:“我的SF-86表列出了我自18岁起生活过的每一处地方,我的每次海外旅行,我全部的家人及其住址。所以,不仅仅是我个人的身份受影响。我有兄弟姐妹,我有5个孩子。他们的信息都在上面。”
众议院监督与政府改革委员会在去年秋天发布了一份报告,报告标题即总结了OPM数据泄露案:《OPM数据泄露:政府是怎么危及我们的国家安全超过一代人以上的》。
9. 索尼 PlayStation Network
时间:2011年4月20日
影响:7700万 PlayStation Network 账户被黑;网站下线1个月,估算损失1.71亿美元。
被视为有史以来最糟糕的游戏社区数据泄露事件。超7700万受影响账户中,1200万个账户的信用卡被破解。黑客得到了账户全名、口令、邮箱、家庭地址、购买历史、信用卡号和PSN/Qriocity登录凭证。这足以让每一个优秀安全人员惊异:“假若索尼的情况就是这么糟糕,那其他坐拥上千万用户数据记录的跨国公司情况又怎样呢?”应提醒IT安全从业者,要在整个公司里持续发现并应用安全控制。对客户而言,则要注意自己交出数据的对象。访问在线游戏或其他虚拟资产或许不值这个价码。
2014年,在关于该数据泄露的一场集体诉讼中,索尼同意支付1500万美元的和解金。
10. Anthem
时间:2015年2月
影响:7880万客户和前客户个人信息被盗
Anthem是美国第二大医疗保险公司,旧称WellPoint。网络攻击中,该公司当前客户和前客户的姓名、地址、社会安全号、生日和雇佣历史被曝,客户身份岌岌可危。
《财富》杂志在1月份报道,全国调查结论显示,某外国政府可能招募黑客执行了这一起医疗行业历史上最大型的数据泄露案。据称,数据泄露在事发前1年就已开始,起因是Anthem子公司里某用户点击了网络钓鱼邮件中的一个链接。该数据泄露的总损失尚无法估量,但应该不会少于1亿美元。
2016年,Anthem称,没有证据表明客户数据被出售、共享或用于欺诈。据说,信用卡和医疗信息也没有被拿走。
11. RSA Security
时间:2011年3月
影响:可能有4000万雇员记录被盗
该安全巨头SecurID身份验证令牌信息被盗的影响尚在讨论之中。作为易安信旗下安全部门,RSA称,两个独立的黑客团伙与某外国政府协作,发起了针对RSA雇员的网络钓鱼攻击,假冒该公司雇员信任的人,渗透进公司网络。
去年7月,易安信报告称其在修复上至少花费了6600万美元。RSA高管透露,客户的网络没有遭到入侵。但eIQnetworks的副总裁兼首席安全合规官并不买账,称:“RSA最开始模糊攻击方法和被盗数据的做法于事无补。后续对洛克希德马丁、L3和其他公司的攻击只不过是时间早晚问题,而这些攻击据说都或多或少受到RSA数据泄露的影响。除此之外还有心理上的损害。甚至RSA这种久负盛名的安全公司,竟然都会被黑,信心打击太严重。
珍妮弗·巴尤,独立信息安全顾问间美国史蒂文斯理工学院教授,在2012年就曾公开表示,“该数据泄露是对安全产品行业的重大打击,因为RSA简直就是安全行业的标杆。他们是典型的安全厂商。这样的厂商竟然也是脆弱点,可谓石破天惊。我不觉得有人会对此无所谓。”
12. VeriSign
时间:贯穿2010年
影响:未披露信息被盗
安全专家一致认为,VeriSign数据泄露事件中最麻烦的事,不是黑客得到了特权系统和信息的访问权,而是该公司处理事件的方式——很糟糕。VeriSign从未公布过受到的攻击。这些安全事件直到2011年才曝光,而且仅是通过一份美国证券交易委员会(SEC)强制的文件归档。
VeriSign在SEC季报中掩埋了信息,弄得好像是普通的趣闻似的。
VeriSign称没有关键系统被攻破,比如DNS服务器或证书服务器,但确实提到:“我们的一小部分计算机和服务器上的信息受到了访问。”该公司至今没报告是哪些信息被盗,又会对该公司及其客户造成什么影响。
13. 家得宝
时间:2014年9月
影响:5600万可信用卡/借记卡信息被盗
该硬件与建筑用品零售商在9月宣布了已怀疑数周的事件——起始于4月或5月,其POS系统遭恶意软件感染。该公司之后称,调查结果显示,有一独特的定制恶意软件伪装成反病毒软件安装到其POS系统中。
2016年3月,该公司同意支付至少1950万美元补偿美国客户,其中有1300万美元基金用于补偿顾客的资费损失,650万美元投入一年半的持卡人身份防护服务。
和解覆盖了约4000万支付卡数据被盗的受害者,以及5200万邮箱地址被盗的人。这两种分类有部分重叠。该公司估算,此次数据泄露的税前开销约为1.61亿美元,包括消费者和解和预期的保险赔偿金。
14. Adobe
时间:2013年10月
影响:3800万用户记录
最早在10月初被安全博主布莱恩·克雷布斯报道,花了数周时间查清泄露范围和内容。该公司最初报告称,黑客盗取了近300万加密客户信用卡记录,以及数量未知的用户账户登录数据。
10月末,Adobe称,攻击者获取了3800万“活跃用户”的ID和加密口令。但克雷布斯报道称,就在数天前有份文件被贴到了网上,似乎包含了超过1.5亿取自Adobe的用户名和散列加密口令对。数周的研究过后,最终结论是,除了几个Adobe产品的源代码,该次攻击还暴露了客户姓名、ID、口令和借记卡/信用卡信息。
2015年8月,Adobe被要求支付110万美元的诉讼费和未公开数目的用户赔款,以平息违反《客户记录法案》和不正当商业行为的指控。2016年11月,支付给客户的赔偿金据称有100万美元。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】