二十一世紀(jì)14大數(shù)據(jù)泄露事件
安全從業(yè)者從專業(yè)角度出發(fā)票選出14起最嚴(yán)重?cái)?shù)據(jù)安全事件。
數(shù)據(jù)安全事故每天都在上演,統(tǒng)計(jì)數(shù)據(jù)分分秒秒在增加記錄條目。但是,重大數(shù)據(jù)泄露和小型數(shù)據(jù)安全事故之間的差別在哪里呢?請看下列本世紀(jì)最重大數(shù)據(jù)泄露清單,你會(huì)發(fā)現(xiàn)其中關(guān)鍵。
該清單未必基于被泄記錄數(shù)量,而是根據(jù)數(shù)據(jù)泄露事件對(duì)公司、保險(xiǎn)公司、用戶或賬戶持有者造成的破壞或風(fēng)險(xiǎn)定出的。某些案例中,口令和其他信息收到加密措施良好保護(hù),因而口令重置就消弭了大部分風(fēng)險(xiǎn)。
1. 雅虎
時(shí)間:2013-2014
影響:15億用戶賬戶
2016年9月,在與威瑞森談判收購事宜期間,該曾經(jīng)的互聯(lián)網(wǎng)巨頭宣稱,在2014年時(shí)成為了史上最大數(shù)據(jù)泄露事件受害者,泄露事件有可能是國家支持黑客所為。該攻擊染指了5億用戶的真實(shí)姓名、電郵地址、生日和電話號(hào)碼等信息。雅虎稱,絕大部分涉事口令都經(jīng)強(qiáng)壯的bcrypt算法進(jìn)行了散列加密。
幾個(gè)月后,該年12月,隨著2013年另一黑客組織盜走10億賬戶的事件被披露,早前的記錄被刷新。除了姓名、生日、郵箱地址和口令并未像2014年被盜賬戶一樣保護(hù)良好,這次事件中,安全問題和答案也沒能保住。
該泄露事件直接造成雅虎拋售價(jià)格縮水3.5億美元的估值,最終以44.8億美元被威瑞森收購了其核心互聯(lián)網(wǎng)業(yè)務(wù)。收購協(xié)議要求兩家公司共同承擔(dān)數(shù)據(jù)泄露事件的監(jiān)管和法律責(zé)任。收購案并未包含阿里巴巴集團(tuán)控股的413億美元投資和雅虎日本的93億美元所有者權(quán)益。
雅虎成立于1994年,曾被估值1000億美元。收購案后,該公司更名為Altaba。
2. Adult Friend Finder
時(shí)間:2016年10月
影響:超4.122億賬戶
FriendFinder Network 包含約炮和成人內(nèi)容網(wǎng)站,比如 Adult Friend Finder、Penthouse.com、Cams.com、iCams.com和Stripshow.com,約在2016年10月中旬被黑。黑客從6個(gè)數(shù)據(jù)庫中收集到了20年的數(shù)據(jù),包含姓名、郵箱地址和口令。
大多數(shù)口令僅用SHA-1散列算法加密,意味著99%的口令,在11月14號(hào)LeakedSource.com公布了對(duì)整個(gè)數(shù)據(jù)集的分析后,都被破解了。
推特賬號(hào)1x0123,其他圈子昵稱Revolver(左輪手槍)的研究人員,貼出了取自 Adult Friend Finder 的截屏,顯示本地文件包含漏洞(LFI)被觸發(fā)。該漏洞是在 Adult Friend Finder 所用產(chǎn)品服務(wù)器的一個(gè)模塊中被發(fā)現(xiàn)的。
AFF副總裁發(fā)表了聲明,稱:“我們確實(shí)發(fā)現(xiàn)也修復(fù)了通過注入漏洞訪問源代碼的相關(guān)功能。”
3. eBay
時(shí)間:2014年5月
影響:1.45億用戶
該在線拍賣巨頭報(bào)告稱,2014年5月的一場網(wǎng)絡(luò)攻擊,致使其全部1.45億用戶的姓名、地址、生日和加密口令被曝光。該公司稱,黑客利用3名公司雇員的憑證侵入公司網(wǎng)絡(luò),在駐留公司網(wǎng)絡(luò)內(nèi)部的229天時(shí)間里,獲取到了該用戶數(shù)據(jù)庫。
該公司請求客戶修改口令,但表示,金融信息,比如信用卡號(hào),是被單獨(dú)存儲(chǔ)的,且并未被黑。當(dāng)時(shí),該公司被批缺乏與其用戶的溝通,口令更新過程也很糟糕。
CEO約翰·多納休稱,該數(shù)據(jù)泄露事件導(dǎo)致了用戶活動(dòng)減少,但基本沒有影響其基線——第二季度盈利增長13%,收益增長6%,與分析師與其相符合。
4. 哈特蘭支付系統(tǒng)公司
時(shí)間:2008年3月
影響:哈特蘭的數(shù)據(jù)被黑客經(jīng)由SQL注入方法安裝了間諜軟件,導(dǎo)致1.34億信用卡信息被曝光。
事發(fā)當(dāng)時(shí),哈特蘭每月要負(fù)責(zé)處理17.5萬商戶的1億支付卡交易——多為中小型零售商戶。直到2009年1月,Visa和MasterCard通報(bào)哈特蘭其處理賬戶中有可疑交易,數(shù)據(jù)泄露才被發(fā)現(xiàn)。
造成后果包括哈特蘭被判違反支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)( PCI DSS ),2009年5月前不準(zhǔn)處理主流信用卡供應(yīng)商的支付。該公司賠付了約1.45億欺詐支付補(bǔ)償金。
聯(lián)邦大陪審團(tuán)在2009年起訴艾爾伯特·岡薩雷斯和2名俄羅斯共犯。岡薩雷斯是古巴裔美國人,被控策劃了這起盜取信用卡借記卡的跨國犯罪活動(dòng)。2010年他被判在聯(lián)邦監(jiān)獄服刑20年。SQL注入漏洞廣為人知,安全分析師數(shù)年前就早已警告過零售商。然而,很多面向Web的應(yīng)用中該漏洞一直持續(xù),讓SQL注入成為了當(dāng)時(shí)最常見的網(wǎng)站攻擊形式。
5. 塔吉特百貨
時(shí)間:2013年12月
影響:1.1億人的信用卡信息和聯(lián)系人信息
該數(shù)據(jù)泄露實(shí)際上從感恩節(jié)就開始了,但直到數(shù)周后才被發(fā)現(xiàn)。零售巨頭塔吉特最初宣稱,黑客通過第三方暖通空調(diào)供應(yīng)商訪問到其銷售終端(POS)支付卡讀取器,收集了約4000萬信用卡和借記卡號(hào)。
然而,2014年1月,該公司提升了估計(jì)數(shù)字,報(bào)告稱有7000萬客戶的個(gè)人可識(shí)別信息(PII)被泄。其中包括有全名、地址、郵箱和電話號(hào)碼。最終估測是,該數(shù)據(jù)泄露影響到1.1億客戶。
塔吉特CIO于2014年3月辭職,CEO在5月辭職。該公司最近估測,該起數(shù)據(jù)泄露造成的損失高達(dá)1.62億美元。
該公司被認(rèn)為做出了重大安全改進(jìn)。但是,前趨勢科技CSO,現(xiàn) Strategic Cyber Ventures CEO 湯姆·凱勒曼,將一項(xiàng)于2017年5月宣布的和解協(xié)議(給了塔吉特180天做出具體安全整改),描述為“象征性的懲罰”,“代表著過時(shí)的安全模式。”——因?yàn)檎囊蠹性谧柚构粽撸皇歉倪M(jìn)事件響應(yīng)上。
6. TJX公司
時(shí)間:2006年12月
影響:9400萬信用卡暴露
事發(fā)原因眾說紛紜。一個(gè)猜測是,某黑客組織利用了脆弱數(shù)據(jù)加密系統(tǒng),從邁阿密兩家Marshall商店的無線傳輸中盜取了信用卡數(shù)據(jù)。另一種說法是,黑客通過店內(nèi)可電子化申請崗位的查詢機(jī)攻入TJX網(wǎng)絡(luò)。
艾爾伯特·岡薩雷斯,哈特蘭數(shù)據(jù)泄露事件中的傳奇黑客頭子,因帶領(lǐng)小弟盜取信用卡而被判入獄20年,另有11名共犯被逮捕。岡薩雷斯曾是hi美國特勤局的線人,犯罪時(shí)工資標(biāo)準(zhǔn)是7.5萬美元。政府在其判決備忘中宣稱,涉事公司、銀行和保險(xiǎn)商損失了近2億美元。
7. 摩根大通銀行
時(shí)間:2014年7月
影響:7600萬家庭和700萬小企業(yè)
2014年夏天,該美國最大銀行,淪為了侵害美國半數(shù)家庭和700萬小企業(yè)的數(shù)據(jù)泄露案受害者。據(jù)美國證券交易委員會(huì)文件透露,被泄數(shù)據(jù)包括聯(lián)系人信息——姓名、地址、電話號(hào)碼和郵箱地址,以及用戶的內(nèi)部信息。
該銀行稱,客戶資金并未被盜,沒有證據(jù)顯示這些受影響客戶的賬戶信息——賬戶號(hào)、口令、用戶ID、生日或社會(huì)安全號(hào),在攻擊中被泄露。
而且,黑客據(jù)稱有能力在該銀行90多臺(tái)服務(wù)器上獲取到“root”權(quán)限,意味著他們可以進(jìn)行包括轉(zhuǎn)賬和注銷賬戶在內(nèi)的各種行動(dòng)。SANS研究所稱,摩根大通每年的安全開支有2.5億美元。
2015年11月,聯(lián)邦政府起訴了4名男子,罪名是摩根大通黑客案和其他金融機(jī)構(gòu)黑客行為。格里·沙龍、約書亞·薩繆爾·艾倫和齊夫·奧蘭斯坦面臨23項(xiàng)指控,包括未授權(quán)計(jì)算機(jī)訪問、身份盜竊、證券欺詐和洗錢等為他們賺取了1億美元的犯罪活動(dòng)。幫助這3人突破金融機(jī)構(gòu)網(wǎng)絡(luò)的第4名黑客至今未被發(fā)現(xiàn)。
沙龍和奧蘭斯坦都是以色列人,在2016年6月拒不認(rèn)罪。艾倫在去年12月于紐約肯尼迪機(jī)場被抓。
8. 美國人事管理局(OPM)
時(shí)間:2012-2014
影響:2200萬在職和退休聯(lián)邦雇員個(gè)人信息
黑客據(jù)稱來自中國,自2012年起就進(jìn)駐了OPM的電腦系統(tǒng),但直到2014年3月20日才被檢測出來。另一黑客或黑客組織,在2014年5月通過第三方承包商進(jìn)入OPM,但直到近1年后才被發(fā)現(xiàn)。入侵者滲漏了大量個(gè)人數(shù)據(jù),包括很多詳細(xì)的安全調(diào)查信息和指紋數(shù)據(jù)。
去年,前FBI局長詹姆斯·科米談及所謂SF-86表里所含信息——該表用于執(zhí)行雇員安全調(diào)查的背景審查。他說:“我的SF-86表列出了我自18歲起生活過的每一處地方,我的每次海外旅行,我全部的家人及其住址。所以,不僅僅是我個(gè)人的身份受影響。我有兄弟姐妹,我有5個(gè)孩子。他們的信息都在上面。”
眾議院監(jiān)督與政府改革委員會(huì)在去年秋天發(fā)布了一份報(bào)告,報(bào)告標(biāo)題即總結(jié)了OPM數(shù)據(jù)泄露案:《OPM數(shù)據(jù)泄露:政府是怎么危及我們的國家安全超過一代人以上的》。
9. 索尼 PlayStation Network
時(shí)間:2011年4月20日
影響:7700萬 PlayStation Network 賬戶被黑;網(wǎng)站下線1個(gè)月,估算損失1.71億美元。
被視為有史以來最糟糕的游戲社區(qū)數(shù)據(jù)泄露事件。超7700萬受影響賬戶中,1200萬個(gè)賬戶的信用卡被破解。黑客得到了賬戶全名、口令、郵箱、家庭地址、購買歷史、信用卡號(hào)和PSN/Qriocity登錄憑證。這足以讓每一個(gè)優(yōu)秀安全人員驚異:“假若索尼的情況就是這么糟糕,那其他坐擁上千萬用戶數(shù)據(jù)記錄的跨國公司情況又怎樣呢?”應(yīng)提醒IT安全從業(yè)者,要在整個(gè)公司里持續(xù)發(fā)現(xiàn)并應(yīng)用安全控制。對(duì)客戶而言,則要注意自己交出數(shù)據(jù)的對(duì)象。訪問在線游戲或其他虛擬資產(chǎn)或許不值這個(gè)價(jià)碼。
2014年,在關(guān)于該數(shù)據(jù)泄露的一場集體訴訟中,索尼同意支付1500萬美元的和解金。
10. Anthem
時(shí)間:2015年2月
影響:7880萬客戶和前客戶個(gè)人信息被盜
Anthem是美國第二大醫(yī)療保險(xiǎn)公司,舊稱WellPoint。網(wǎng)絡(luò)攻擊中,該公司當(dāng)前客戶和前客戶的姓名、地址、社會(huì)安全號(hào)、生日和雇傭歷史被曝,客戶身份岌岌可危。
《財(cái)富》雜志在1月份報(bào)道,全國調(diào)查結(jié)論顯示,某外國政府可能招募黑客執(zhí)行了這一起醫(yī)療行業(yè)歷史上最大型的數(shù)據(jù)泄露案。據(jù)稱,數(shù)據(jù)泄露在事發(fā)前1年就已開始,起因是Anthem子公司里某用戶點(diǎn)擊了網(wǎng)絡(luò)釣魚郵件中的一個(gè)鏈接。該數(shù)據(jù)泄露的總損失尚無法估量,但應(yīng)該不會(huì)少于1億美元。
2016年,Anthem稱,沒有證據(jù)表明客戶數(shù)據(jù)被出售、共享或用于欺詐。據(jù)說,信用卡和醫(yī)療信息也沒有被拿走。
11. RSA Security
時(shí)間:2011年3月
影響:可能有4000萬雇員記錄被盜
該安全巨頭SecurID身份驗(yàn)證令牌信息被盜的影響尚在討論之中。作為易安信旗下安全部門,RSA稱,兩個(gè)獨(dú)立的黑客團(tuán)伙與某外國政府協(xié)作,發(fā)起了針對(duì)RSA雇員的網(wǎng)絡(luò)釣魚攻擊,假冒該公司雇員信任的人,滲透進(jìn)公司網(wǎng)絡(luò)。
去年7月,易安信報(bào)告稱其在修復(fù)上至少花費(fèi)了6600萬美元。RSA高管透露,客戶的網(wǎng)絡(luò)沒有遭到入侵。但eIQnetworks的副總裁兼首席安全合規(guī)官并不買賬,稱:“RSA最開始模糊攻擊方法和被盜數(shù)據(jù)的做法于事無補(bǔ)。后續(xù)對(duì)洛克希德馬丁、L3和其他公司的攻擊只不過是時(shí)間早晚問題,而這些攻擊據(jù)說都或多或少受到RSA數(shù)據(jù)泄露的影響。除此之外還有心理上的損害。甚至RSA這種久負(fù)盛名的安全公司,竟然都會(huì)被黑,信心打擊太嚴(yán)重。
珍妮弗·巴尤,獨(dú)立信息安全顧問間美國史蒂文斯理工學(xué)院教授,在2012年就曾公開表示,“該數(shù)據(jù)泄露是對(duì)安全產(chǎn)品行業(yè)的重大打擊,因?yàn)镽SA簡直就是安全行業(yè)的標(biāo)桿。他們是典型的安全廠商。這樣的廠商竟然也是脆弱點(diǎn),可謂石破天驚。我不覺得有人會(huì)對(duì)此無所謂。”
12. VeriSign
時(shí)間:貫穿2010年
影響:未披露信息被盜
安全專家一致認(rèn)為,VeriSign數(shù)據(jù)泄露事件中最麻煩的事,不是黑客得到了特權(quán)系統(tǒng)和信息的訪問權(quán),而是該公司處理事件的方式——很糟糕。VeriSign從未公布過受到的攻擊。這些安全事件直到2011年才曝光,而且僅是通過一份美國證券交易委員會(huì)(SEC)強(qiáng)制的文件歸檔。
VeriSign在SEC季報(bào)中掩埋了信息,弄得好像是普通的趣聞似的。
VeriSign稱沒有關(guān)鍵系統(tǒng)被攻破,比如DNS服務(wù)器或證書服務(wù)器,但確實(shí)提到:“我們的一小部分計(jì)算機(jī)和服務(wù)器上的信息受到了訪問。”該公司至今沒報(bào)告是哪些信息被盜,又會(huì)對(duì)該公司及其客戶造成什么影響。
13. 家得寶
時(shí)間:2014年9月
影響:5600萬可信用卡/借記卡信息被盜
該硬件與建筑用品零售商在9月宣布了已懷疑數(shù)周的事件——起始于4月或5月,其POS系統(tǒng)遭惡意軟件感染。該公司之后稱,調(diào)查結(jié)果顯示,有一獨(dú)特的定制惡意軟件偽裝成反病毒軟件安裝到其POS系統(tǒng)中。
2016年3月,該公司同意支付至少1950萬美元補(bǔ)償美國客戶,其中有1300萬美元基金用于補(bǔ)償顧客的資費(fèi)損失,650萬美元投入一年半的持卡人身份防護(hù)服務(wù)。
和解覆蓋了約4000萬支付卡數(shù)據(jù)被盜的受害者,以及5200萬郵箱地址被盜的人。這兩種分類有部分重疊。該公司估算,此次數(shù)據(jù)泄露的稅前開銷約為1.61億美元,包括消費(fèi)者和解和預(yù)期的保險(xiǎn)賠償金。
14. Adobe
時(shí)間:2013年10月
影響:3800萬用戶記錄
最早在10月初被安全博主布萊恩·克雷布斯報(bào)道,花了數(shù)周時(shí)間查清泄露范圍和內(nèi)容。該公司最初報(bào)告稱,黑客盜取了近300萬加密客戶信用卡記錄,以及數(shù)量未知的用戶賬戶登錄數(shù)據(jù)。
10月末,Adobe稱,攻擊者獲取了3800萬“活躍用戶”的ID和加密口令。但克雷布斯報(bào)道稱,就在數(shù)天前有份文件被貼到了網(wǎng)上,似乎包含了超過1.5億取自Adobe的用戶名和散列加密口令對(duì)。數(shù)周的研究過后,最終結(jié)論是,除了幾個(gè)Adobe產(chǎn)品的源代碼,該次攻擊還暴露了客戶姓名、ID、口令和借記卡/信用卡信息。
2015年8月,Adobe被要求支付110萬美元的訴訟費(fèi)和未公開數(shù)目的用戶賠款,以平息違反《客戶記錄法案》和不正當(dāng)商業(yè)行為的指控。2016年11月,支付給客戶的賠償金據(jù)稱有100萬美元。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
