虽然外部黑客对企业环境构成的威胁永远存在,但有时最大的风险来自内部。波耐蒙研究所的调查数据显示,内部人威胁导致大型企业平均每年损失1792万美元。由可信员工和合作伙伴导致的这些事件,往往不仅涉及个人身份信息(PII),还涉及企业产生和处理的一些最敏感的数据——秘密配方、敏感财务信息和任务关键基础设施的访问权限。下面我们就列举几个近期此类风险导致的重大事件案例,按行业划分。
医疗行业:未披露名称的医药包装公司
- 公司:未披露名称的医药包装公司
- 事件类型:破坏
- 事件发生时间:2020年
- 公开披露时间:2020年
去年,一家医疗器械包装公司的一名前雇员因计算机辅助破坏行为而被联邦检察官判定有罪:该员工的行为导致新冠病毒最初响应高峰期间个人防护设备(PPE)发货延误。
美国佐治亚州北区检察官办公室称,在被这家未披露名称的公司解雇后,Christopher Dobbins利用他在职期间以管理员权限创建的虚假账户访问了公司的装运系统,中断并延迟了公司的PPE发货流程。然后他创建了第二个假账户,并使用该访问权限编辑或删除了118,000多条公司记录,造成进一步延误和超过20万美元的损失。
制造业:通用电气(GE)
- 公司:通用电气公司
- 事件类型:知识产权盗窃,诈骗
- 事件发生时间:2011年–2012年
- 公开披露时间:2019年
经过长达数年的调查和冗长的法庭诉讼程序,美国联邦调查局(FBI)去年揭露了两位前通用电气员工Miguel Sernas和Jean Patrice Delia公然窃取知识产权和商业机密的行为。Delia在2011年实施了最初的盗窃,当时他在通用电气担任性能工程师,支持客户操作该公司制造的高度复杂的涡轮机。
Delia不仅下载了如何以其现有账户权限运行这些涡轮机的商业机密文件,还说服IT部门的一名员工授权他访问关于该性能咨询的成本模型、提案及合同的文件。利用这些信息,他和Sernas成立了一家竞争公司,以低价竞争策略损害通用电气的利益,并在FBI暗中调查此案期间运营多年。FBI的调查涉及传唤出示电子邮件和云存储账户,并最终趁Sernas在美国旅行逗留途中搜查了一台笔记本。
制造业:丰田
- 公司:丰田
- 事件类型:商务电邮入侵,3700万美元诈骗
- 事件发生时间:2011年–2012年
- 公开披露时间:2019年
一名BEC骗子成功诱使丰田某欧洲子公司财务团队成员将3700万美元划转至外国账户。正如BEC攻击者一贯所为,这名骗子伪装成该公司业务合作伙伴,用以假乱真的骗术拿下了这笔巨款。
BEC骗局通常针对此类粗心大意的内部人员长期作战,攻击者以此悄悄获得目标公司的网络访问权限,进行深入侦察,并观察内部员工或员工与合作伙伴之间的通信模式,从而在诈骗时机成熟时完美模仿目标公司的可信实体。
电信行业:AT&T
- 公司:AT&T
- 事件类型:贿赂助长的恶意软件安装,2亿美元欺诈
- 事件发生时间:2012年–2017年
- 公开披露时间:2019年
因握有该公司系统访问权的员工被贿赂解锁价格昂贵的iPhone供在AT&T网络之外使用,电信供应商AT&T遭受长期犯罪活动侵害。攻击者的主要策略是买通呼叫中心员工,让他们在AT&T系统上安装恶意软件,从而获得立足点,并最终入侵该公司基础设施,实现按需自动解锁AT&T电话。该事件使AT&T损失了200万部未锁定手机的订阅费用,共2亿美元。2018年,巴基斯坦居民Muhammad Fahd因此项犯罪活动而被捕,并于本月早些时候被美国地方法院判处12年监禁。
金融行业:Capital One
- 公司:Capital One
- 事件类型:1亿信用卡申请及账户数据泄露
- 事件发生时间:2019年
- 公开披露时间:2019年
据称,AWS一名前软件工程师能够滥用她在职期间获得的有关客户云部署缺陷的行业知识,导致AWS客户Capital One发生重大数据泄露。今年夏天,美国司法部针对这起2019年的事件提起七项指控,涉及计算机欺诈与滥用以及访问设备欺诈,声称Thompson利用Capital One错误配置的防火墙提取特权账户凭证,并窃取和传播来自1亿信用卡申请人和账户持有人的信息。
金融行业:未披露名称的纽约信用合作社
- 公司:未披露名称的纽约信用合作社
- 事件类型:通过保留账户权限进行破坏
- 事件发生时间:2021年
- 公开披露时间:2021年
这是一起典型的权限撤销失败案例,纽约一家信用合作社的前雇员在被解雇几天后仍然能够登录公司系统。该公司的IT支持公司没有按照信用合作社的要求禁用这名员工的账户,于是她得以保留账户访问权。美国检察官办公室称,Juliana Barile在40分钟的暴行中删除了21.3 GB的公司数据,其中包括2万个文件和3500个目录。被删除的文件包括按揭申请及反勒索软件。此外,她还读取了包括董事会会议记录在内的敏感文档。
科技行业:Vertafore
- 公司:Vertafore
- 事件类型:暴露2770万条PII记录
- 事件发生时间:2020年
- 公开披露时间:2020年
因公司员工无意中将数据文件存储在不安全的外部存储服务上,保险软件开发商Vertafore致使2770万得克萨斯州驾驶员敏感信息泄露。这些文件包含数百万个驾驶执照的信息,用于该公司为其软件创建保险评级功能。这是云时代人为错误风险的一个典型例子,而像这家公司一样粗心大意的机构仍在蒙受存储失误的暴露风险。虽然财务信息和社会安全号并未牵涉其中,但Vertafore仍必须承担数据泄露响应的所有费用。由于这起事件,该公司可能面临集体诉讼。
科技行业:亚马逊
- 公司:亚马逊
- 事件类型:利用机密信息进行内幕交易
- 事件发生时间:2016年–2018年
- 公开披露时间:2020年
据称,亚马逊税务部门的一名高级经理利用财务信息访问权限为其家人准备季度报表,帮助她的家人通过内幕交易获利。根据美国检察官办公室的说法,Laksha Bohra向她的丈夫Viky提供了公司收入和收益信息,供其连续11次在亚马逊发布收益公告之前使用这些信息进行非法股票和期权交易。在此过程中,这家人获利140万美元。不过,今年夏天敲定的认罪协议中,Viky被判入狱26个月并处罚款260多万美元。
零售业:Garrett Popcorn Shop
- 公司:Garrett Popcorn Shop
- 事件类型:窃取商业秘密
- 事件发生时间:2019年
- 公开披露时间:2019年
根据2019年向美国伊利诺伊州北区地方法院提起的诉讼,芝加哥零售爆米花标杆企业Garrett Popcorn Shops指控前研发总监Aisha Putnam通过将公司数据复制到U盘并向自己个人邮箱发送邮件的方式,从该公司窃取了5000多份文件,包括成分、食谱、配方和制作方法等。
去年,Putnam反诉该公司,声称她被解雇和此前的诉讼是为了报复她向主管提出健康和安全投诉。无论真相如何,该事件都表明了访问和处理敏感知识产权所固有的风险。
政府:达拉斯市政府
- 机构:达拉斯市政府
- 事件类型:意外删除敏感数据
- 事件发生时间:2018年–2021年
- 公开披露时间:2021年
有时,疏忽的内部人员对技术基础设施造成的破坏堪比意图报复的恶意黑客。达拉斯市政府一名前IT员工就犯了这方面的错误。《达拉斯晨报》报道,通过该市发言人所谓的“错误模式”,这名员工删除了大量重要的警方和市政记录,而在内部审查暴露出这一事实后,这名员工也被解雇了。自2018年以来,该工作人员至少在三种不同情况下设法删除了超过22 TB的信息,其中包括13 TB的警方文件(内含照片、视频和案件记录)。达拉斯市仍在调查,但似乎这些事件可能涉及在传输重大文件传输时未能遵守流程。