【51CTO.com快译】不可否认,任何公司一旦遭遇了数据泄露事件,都会涉及到公司形象、财务营收、市场份额、以及用户信任等方面的巨大损失。实际上,一些重大的安全事故,往往是由多个不同安全级别的细微漏洞,叠加与累积而成。而且不幸的是,就算世界上的那些知名大公司,也无法独善其身。在本文中,我将为您选择和解读业界九大知名数据泄漏与网络安全事件,以方便贵企业“有则改之,无则加勉”。
1. Clearview AI
Clearview AI是一家颇具争议的创业公司,它直接收集了数十亿张公开、可用的照片,为其面部识别平台提供素材。2020年2月,入侵者在发现了其平台漏洞后,获取了该公司的客户列表访问权限。尽管与下面将要提到的其他数据泄露事件相比,该公司泄漏的2200名客户名单的体量虽小,但是BuzzFeed新闻发现,Clearview AI的客户群中包括了百思买等大型零售商,而其个人签约客户遍及全球27个国家。因此,执法机构仍予以了处罚。事后,该公司对受攻击的系统,以及相关漏洞进行了及时修补。
2. First American Financial Corporation
First American Financial Corporation(第一美国金融公司)是美国《财富》500强中的一家大型房地产业保险公司。由于房地产交易的性质,First American Financial在其网站存放的文档中,包括有驾驶执照、电汇交易、社会安全号码、以及银行帐户等大量高度敏感的信息。
由于该网站不需要任何身份验证,即可查看到相关数据,因此知晓其文档URL的人,完全可以通过简单地更改链接中的数字部分,以跳转访问其他文档。自2003年以来,攻击者通过该漏洞,已成功访问了超过8.85亿条敏感数据记录。
2019年5月,一名房产业开发人员Ben Shoval发现了该问题。由于无法得到该公司的回应,他向KrebsOnSecurity寻求帮助。First American Financial随后禁用了该文档网站,并解决了设计上的缺陷。
3. Facebook
众所周知,Facebook经历了数轮数据泄露。在此,我们重点关注由第三方Facebook应用所引发的一系列事件。
传媒组织Culture Colectiva有一个可供公共访问的Amazon S3 bucket,它能够访问包括Facebook ID、用户名、以及社交媒体活动(如评论)在内的各种信息。不过,在最近的一次大规模泄露事件中,它们暴露了146 GB体量的5.4亿条数据记录。
另一个同类数据泄露事件是:一款名为“At the Pool”的应用,暴露了22,000名用户的用户名、密码、以及其他登录信息。该应用也是依靠可被公开访问的Amazon S3 Bucket来备份数据,而且其存储区中的数据是以纯文本的形式存储的(https://www.xplenty.com/blog/why-pseudonymization-is-critical-for-large-enterprises/)。除了用户在该应用已注册的详细信息,该数据库还包含了Facebook的用户ID、偏好、兴趣、组别、以及其他社交活动。
Culture Colectiva的反应比较滞后,他们花了四个月的时间,对S3 Bucket进行了安全加固。而“At the Pool”则能够赶在任何安全组织发布警告之前,悄悄地解决了其漏洞。
4. MongoDB数据库
2019年5月,由于缺乏保护,MongoDB公司拥有的那些未指定所有者的数据库,曾泄漏了超过十亿条数据记录。来自Security Discovery的研究员--Bob Diachenko率先发现了其中的一个包含有超2.75亿条记录的数据库。这些数据主要涉及到印度公民的姓名、电子邮件、工作经历、出生日期、以及各种专业化的详细信息。由于MongoDB的这些数据库采用的是Amazon AWS托管模式,因此该状态持续了两个多星期之久。黑客组织Unistellar在发现后,立即攻击了该数据库,并删除了相关记录。
通过持续调查,Diachenko相继发现了另外四个具有大规模数据泄漏威胁的MongoDB数据库。这些数据库里存有超过8.08亿封电子邮件、2亿份履历、以及7700万条个人信息记录。由于数据库管理员(而不是技术本身)的失误,导致了这些MongoDB实例未被设置密码,也没能通过保护性的配置选项,来阻止此类攻击行为。可见,遵从数据库管理的相关最佳实践,对于数据的安全性来说是至关重要的。
5. Equifax
Equifax是世界领先的消费者信用报告机构之一,它收集了数百万美国公民和企业的敏感信息。在2017年9月的一次数据泄露事件中,有近半数的美国公民、以及部分加拿大与英国公民的记录被窃取。具体内容涉及到社会安全号码、驾驶执照号码、信用卡号码、地址、以及其他个人信息等。美国国会、联邦贸易委员会、SEC等部门联合对此次攻击展开了调查。据悉,黑客通过使用Apache Struts CVE-2017-5638漏洞,持续近两个月访问了Equifax的信用纠纷应用。虽然该漏洞已在Equifax的前一轮黑客攻击后以补丁的形式被修复,但是该公司未能加固所有的应用系统。
值得一提的是,此类数据泄露的后果对于消费者来说是非常严重的。他们不但可能由此失去工作机会,而且无法使用贷款产品和信用卡,他们的信用报告上甚至出现负评分。消费者只有通过冻结信用报告,并主动监视其信用的变化情况,来发现任何盗用行为的发生。
6. Capital One
作为最大的信用卡发行商之一,Capital One记录着1.06亿客户的违约记录。不过2019年7月,其前软件工程师Paige Thompson使用她的AWS专业知识,利用错配的应用级防火墙,成功地访问了Capital One的一台服务器。该服务器上包含了来自信用卡应用的、大量美国和加拿大客户的社会保险号码、银行帐号、信用评分、以及个人信息等。这些数据横跨了十多年的信息记录,可谓极具价值。
Paige曾在GitHub、Twitter和Slack等多处发帖,详细说明了她如何获取服务器的访问权限。虽然尚不清楚她在各处分发社会保险号码和个人信息的真实动机,但是,她最终承认了其利用Capital One漏洞盗取信息的事实,并因此被捕。
7. US Office of Personnel Management
2015年,US Office of Personnel Management(OPM,美国人事管理办公室)服务器上的2000万个人数据遭遇盗窃。
尽管与其他大规模泄漏相比,此次暴露的记录数较少,但是就数据内容的重要性而言,实属严重事件。其中,泄漏的文件主要是那些用于向联邦政府取得安全许可的SF-86表格,里面包含了大量诸如申请人指纹等敏感信息。
OPM的IT部门早在2014年3月就发现了一些异常迹象。但是,由于无法确定攻击者是如何闯入系统的,以及有谁参与了,因此他们只能持续监视黑客的活动。不幸的是,此法适得其反。攻击者迅速建立了即使系统被重置,仍然存在的后门。从2013年11月到2015年4月间,攻击对于数据的窃取蔓延到了内政部的服务器上。
这次攻击事件所造成的影响包括:国会调查、工会诉讼、以及OPM领导层的引咎辞职等。中情局最终认定:缺少双因素身份验证,是此次漏洞攻击的罪魁祸首。
8. Uber
2016年,一个由两名黑客组成的团队对Uber进行了攻击。他们通过获得一台包含了Uber用户数据的第三方服务器的权限,导致Uber泄露了5700万条客户和驾驶员的记录,其中包括60万份驾驶执照。
值得注意的是,Uber的前首席安全官居然选择通过本组织的漏洞赏金计划,向黑客支付了10万美元的赎金。据称,他还阻碍了联邦贸易委员会的调查,以掩盖其违规行为。目前,他被指控阻碍调查,并正在接受审理。
9. Yahoo
Yahoo在2013年发生的数据泄漏事件,因其暴露的记录体量而让人记忆犹新。该公司的300万账号数据是此次攻击的重灾区,其中包括生日、姓名、以及电子邮件地址等经过哈希处理的信息。Yahoo直到2016年才公开了其漏洞,而直到2017年才公布了其受到影响的用户范围。Yahoo认为,一家有国家资助的黑客通过既有数据创建了Web Cookie。据此,他们无需密码,即可访问用户的账号。在攻击发生的两年后,直至部分数据在暗网上被兜售,Yahoo才发现到该事件。
解决您的网络安全漏洞
综上所述,即便是知名的大公司,如果未能遵循网络安全的各项最佳实践,无法全面实施数据安全计划,没法主动提供多层防护,就难以在黑客的暗中攻击中幸免,也就不能避免数据泄露事件的发生。不知贵组织当前的系统与网络安全态势如何?您是否能够从上述九大事件中,找到信息保护的思路呢?
原文标题:Top 9 Most Damaging Data Breaches at Major Companies,作者: Abe Dearmer
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】