2015年全球数据安全事件盘点分析
2016-01-05 机房360 编辑:机房360
今年的数据泄漏调查报告考查了191项与支付卡、个人信息、病历相关的保险理赔个案。
据统计,信息安全造成的损失取决于信息泄漏的数目,与公司大小无关。报告称一些大公司只是在数据泄漏事件中损失的信息条数比较多,因此信息泄漏的造成的损失相对较高。降低数据泄露成本应在技术上着眼于防止泄漏记录或尽量减少泄漏记录的条数。
下面的图表反映出,一个公司为数据泄露买单的金额取决于丢失记录的条数。
那么,2015年全球都发生了哪些信息泄漏事件?又是如何发生的?
事件一:【时间:2015.1】 俄罗斯约会网站泄露2000万用户数
俄罗斯约会网站Topface 2000万访客的用户名和电子邮件地址被盗。
Easy solutionCTO 英格瓦尔德森称,黑客可以使用这些账号来尝试获取银行、病例或其他敏感数据信息。他是在发现一个网名Mastermind的黑客发布的帖子后,发表相关声明的。
受此影响的用户约有50%位于俄罗斯,40%来自欧盟。总体来看,这2000万用户使用的电子邮件地址来自34.5万个不同的域名,其中700万人使用Hotmail邮箱,250万人使用雅虎邮箱,还有230万人使用Gmail邮箱。
这些虽然不是信用卡数据,但也是一级数据泄漏。 “这些身份信息在网络犯罪行业就像铁矿石一样正规。”英格瓦尔德森表示,这类个人信息经常会被迅速出售给行骗者,行骗者将借助自动软件程序寻找使用相同信息的网站。
安华金和数据库安全专家点评:约会网站数据库中存储了大量的个人隐私信息,这些个人隐私信息的泄漏会被利用去尝试其他网站的用户账户,这就是网上提到的“撞库”.
我们习惯于在不同的网站使用相同的账号密码,如果其中一个网站的数据库泄漏,那就意味着与之用户名密码相同的网站会发生连锁反应。应尽快更改与之账户相同的金融或购物类网站,以避免造成更大损失。
事件二:【时间:2015.2】 5万名优步司机信息遭泄露 Uber公司最大数据事故
2月28日,大约5万名优步(Uber)司机的个人信息被不知名的第三方人士获取,成为该公司遭遇的最大规模的数据泄露事件。
去年9月Uber系统中出现一个漏洞,能让外人在未经授权的情况下,获取部分司机的姓名和驾照号码。虽然Uber声称已堵上这一漏洞,但随后的调查显示,去年5月,相关数据曾遭遇“一次未授权的访问“。
优步表示,它未曾收到任何有关这些数据“已被滥用的报告”。不过,几个月之后才就泄密事件发出警告,受到安全专家的批评。
安华金和数据库安全专家点评:从漏洞发现到报告的时间竟然长达五个月。不过在业内,这种拖延现象十分普遍,这对客户来说是非常不负责任的。客户需要尽早了解情况,以便仔细检查其信用报告和账单,确保他们的身份没有失窃。
事件三:【时间:2015.2】Anthem八千万个人信息被窃 或成美国最大医疗相关机构泄露事件
美国第二大医疗保险公司Anthem,被黑客入侵并盗走8000万个人信息,包括现在和以前的保险客户和员工。
在一封致客户的声明中,Anthem首席执行官约瑟夫·斯维迪什表示,Anthem受到的外部攻击“非常高端精密”,丢失的个人数据包括姓名、出生日期、客户ID、社会保险码、地址、电话号码、邮件地址和员工信息。但他同时表示,没有任何信用卡及医疗记录被泄露的证据。
Anthem在册客户为3700万。一位发言人表示,公司在发现被入侵后马上开始漏洞的修补工作,并与FBI和安全公司Mandiant协同工作以了解信息泄露的程度。
斯维迪什表示,他自己的个人信息在此入侵事件中也被泄露,公司将逐个联系每一位信息被泄露的人,并为受到影响的人提供免费的信用监控和身份保护服务。
此次信息泄露事件称得上是近年来一系列最大的信息泄露事件之一。前年的塔吉特丢失了4000万信用卡信息和7000万客户信息,去年的家得宝的5600万信用卡数据被黑客访问,这次Anthem达到8000万。
自去年8月CHS(美国医疗社区系统)450万条患者信息泄露事件之后,执法部门就开始警告医疗机构要应对即将到来的数据泄露加剧的风险。
安华金和数据库安全专家点评:黑客得以进入系统的关键点在于:Anthem并未设置额外的认证机制,仅凭一个登录口令或一个Key就能够以管理员权限访问整个数据库。客观的 说,Anthem重大的安全失误不仅是缺少数据加密,还有不正确的访问控制机制。要知道TeraData本身就提供了数种安全机制,包括加密和数据屏蔽功能。因此很可能,漏洞并不出在软件本身,而是基于业务和运营需要所做的系统及访问控制的安全策略问题。
事件四:【时间:2015.3】美医疗保险公司CareFirst被黑,110万用户信息泄露
2015年3月,美国大型医疗保险商CareFirst表示,该公司去年六月发现有黑客入侵,约有110万医疗保险客户的个人信息遭泄露。BlueCross BlueShield(BCBS)是一个联邦医疗保险服务商,服务美国近三分之一的人口。CareFirst BCBS是其在大西洋中部的子公司,在哥伦比亚特区、马里兰州和维吉尼亚州为客户提供健康保险。
证据显示公司遭到水平极高的专业黑客攻击。攻击者可能窃取了客户姓名、生日、邮箱地址、医疗保险号码等信息。虽然CareFirst用户名必须与创建的密码同时使用才能得到访问数据的权限,而黑客并没有攻击这些密码的数据库。因此这次出现问题的数据中不包括社安号码、信用卡号码、工作信息、客户病历等更为重要的信息。
据悉,此次数据泄露可以追溯到2014年6月20日,由Mandiant安全公司的专家发现,现成为了美国境内该类型网络攻击规模第三大的事件。而 CareFirst此次数据泄露时隔近一年才被披露,是因为CareFirst他们发现最初的攻击时,他们试图控制了攻击,并且他们以为自己做到了。
安华金和数据库安全专家点评:医疗保险机构业务系统后台数据库中存储大量的医疗保险客户的个人信息,如客户姓名、生日、医疗保险号码等,专业黑客获取批量的医疗保险客户信息,这个案例值得我们对医疗机构的数据安全引起重视,同时要依靠有实力的信息安全公司,持续不断的在防御外部黑客攻击方面投入,避免由于批量数据泄漏带来损失。
事件五:【时间:2015.4】美国Metropolitan State大学16万学生信息泄漏
美国Metropolitan State大学16万学生个人信息泄露,包括出生日期、家庭住址、电话、个人成绩。
安华金和数据库安全专家点评:随着校园信息化的快速建设,教务、教学系统中存在大量漏洞,国内高校成为信息泄漏的重灾区。自2014年至2015年3月,漏洞分析平台补天显示:有效的高校网站漏洞多达3495个。这些漏洞有的已造成教职员工或学生个人信息泄漏。除了面高校涉及人数众多,包括大量学生和教授的隐私信息;另一方面很多重要院校还承担着国家众多科研项目,这都可能成为不法分子的目标。
事件六:【时间:2015.5】美国国税局超过10万名纳税人的财务信息泄露
2015年5月,美国国税局经历了数据泄露事件,约有10万名美国公民的个人信息在无意中被泄露。这个有组织的犯罪团伙通过更改IRS网页上的一个名为Get Transcript的应用,获得了对纳税人账户的未授权访问权限。该应用的功能是帮助用户方便地访问历史税务申报记录以及税务报表。
安华金和数据库安全专家点评:在大量个人信息库在网上泄漏的情况下,重要信息系统如报税系统,应该采取一些手段更好地防止身份欺诈行为。应该有由报税部门和软件公司的代表、工资和国家税收管理员三方组成,发布一些新的举措,以提高纳税申报过程中的安全性。比如通过安华金和的数据库的监控与审计系统会对数据库访问操作进行全面审计。报税者在访问时将需要通过IP地址和计算机设备特征电子码的对照,另外填写报税表的所需时长也将被设为判断是否为机器自动填表的重要标尺。
事件七:【时间:2015.8】英国240万网络用户遭黑客侵袭:加密信用卡数据外泄
8月9日,英国电信运营商Carphone Warehouse在黑客入侵事件中,包含加密信用卡数据的约240万在线用户的个人信息遭到黑客入侵。
Carphone Warehouse在一份新闻稿中透露,其网站和互联网服务遭到黑客侵袭。期间展开的一项调查显示:这240万用户的个人数据包括姓名、地址、出生 日期和银行卡细节……都有可能遭到黑客访问。“其中多达9万名客户的加密信用卡数据可能也遭到黑客入侵。”Carphone Warehouse补充说。
7月,约会网站Ashley Madison称,其系统遭到了黑客攻击。黑客甚至威胁称将泄露3700万用户包括真实姓名、地址以及其他个人信息,除非该公司将网站彻底关闭。
旧金山电脑安全公司OPSWAT的副总裁麦克·斯皮克曼(Mike Spykerman)表示,“现实情况来看,数据外泄已经不再是什么大不了的问题,但对于Carphone Warehouse数据外泄应该另当别论,因为其大量数据都没有加密。”
安华金和数据库安全专家点评:电信运营商数据库中存储了许多个人数据,如姓名、地址、出生日期和银行卡信息……被黑客攻击后,这些数据的批量泄漏会导致一系列电信诈骗致使电信运营商信誉受损,建议使用安华金和的数据库保险箱对敏感信息按列加密存储,同时使用数据库防火墙系统对外部黑客攻击进行防御。
事件八:【时间:2015.9】英国史上最惨数据泄露:400万人信息泄漏
今年9月英国宽带服务提供商TalkTalk表示,该公司网站日前所遭受的网络攻击可能导致其400多万客户的个人数据被盗,这可能是英国史上最大规模的数据泄漏事件之一。
该公司表示很客户的姓名、地址、生日、电话号码、电邮地址、账户详细情况、信用卡详细情况等数据很有可能都被窃取了。
本次攻击可能是英国企业迄今为止遭受的最大规模和最具破坏性的网络入侵事件。
这是TalkTalk今年第三次遭受网络攻击,计算机安全专家格雷汉姆·克鲁利(Graham Cluley)指出:“他们的品牌将受损,他们的客户可能已经忍无可忍了。”
在股市早盘交易中,TalkTalk股价下跌8.5%至2年低位238便士。
15年年初,TalkTalk网站遭遇攻击,包括姓名、地址和电话号码在内的客户个人数据被盗;8月份,TalkTalk的创办企业Carphone Warehouse所拥有的服务器遭遇攻击,大约48万TalkTalk移动用户受影响。
安华金和数据库安全专家点评:作为英国主要的宽带服务提供商,对于有可能面临的网络攻击要做好持续防御工作。数据库中存储的姓名、地址和电话号码都需要重点甚至是加密保护,以防止被数据盗窃。
事件九:【时间:2015.10】音乐众筹网站Patreon被黑,超过16GB资料流落网络
10月,独立安全研究人员Troy Hunt在他自己所设立的haveibeenpwned网站上公布:音乐众筹网站Patreon已遭骇客入侵,并有超过16GB的资料在网路上流窜, Patreon也已证实此事。
Patreon是由音乐家Jack Conte及开发人员Sam Yam在2013年创立的众筹网站,主要是替音乐或影片的作者筹募创作基金。
Hunt指出,黑客公布了超过16GB的Patreon资料,其中包含14GB的资料库纪录,还有逾230万个电子邮件位址与数百万封的讯息,甚至还有Patreon网站的原始码。
Patreon 共同创办人暨执行长Conte承认在9月28日发觉黑客入侵正在公测的网站,该测试网站含有一个运作中的资料库快照,但并未储存可存取其他伺服器的私密金钥。在得知遭到入侵后便关闭了测试网站的伺服器,并将所有非运作中的伺服器全数移到防火牆之后。
黑客所存取的资料包含注册名称、电子邮件位址、张贴内容、送货地址,以及2014年以前的某些帐单地址。不过Patreon并未储存完整的信用卡资讯,而信用卡号码也未被存取。
安华金和数据库安全专家点评:音乐众筹网站Patreon的16GB资料中包括注册名称、电子邮件地址等,但未存储完整的信用卡资讯,信用卡也未有存取记录,该站用户的密码、社会安全码与税赋资讯,这些机密的个人资讯皆通过2048 bit的RSA金钥加密保护,虽然泄漏的数据条目很多,涉及主要信息数据已经有密码保护,这点也值得很多国内互联网公司学习。
事件十:【时间:2015.10】美股券商Scottrade数据泄露 或影响460万用户
10月3日, CNBC财经电视台网站公布,国内常用的美股券商服务Scottrade发生了数据泄露事故,数百万用户的敏感数据可能受到影响。
Scottrade将向发生泄露事故的460万客户发送通知,并提供身份保护服务。受影响的数据库中包含用户的社会安全号码和电子邮件地址。Scottrade表示:“我们非常严肃地对待信息安全,并全面配合司法部门进行调查,将犯罪者绳之以法。”
安华金和数据库安全专家点评:美股券商是属于金融行业之一的证券业。这类金融企业在要重点保护证券交易信息和客户信息。虽然没有影响交易平台或客户的咨询信息,一旦发生损失不可估量,证券行业一定要加强信息安全防护,尤其是数据库的安全防护。
事件十一:【时间:2015.11】喜达屋54家酒店遭POS恶意软件植入 房客银行数据泄露
11月,喜达屋集团旗下54家酒店发现窃取信用卡信息的恶意软件,包括客户名称、信用卡号码、信用卡安全码和到期日期等信息泄露,泄露数量尚未公布。
喜达屋集团,是全球最大的饭店及娱乐休闲集团之一,旗下拥有着喜来登、威斯丁、W酒店等众多全球高档豪华酒店品牌。据分析,该恶意软件最早从2014年11月开始成功渗透进酒店。最开始,恶意软件是在礼品店,饭馆和销售登记的付款系统中被发现的。
安华金和数据库安全专家点评:任何在上述酒店居住过的顾客都应该对银行账单保持密切关注,特别是有可疑的费用产生的时候,应特别注意,受到影响的顾客要注意对身份信息保护和信用卡监控服务。
小结:
可以看到,在互联网时代黑客已经不再是躲在地下室,为了一时的兴趣进行破坏,越来越多的黑客正在“商业化”,愈发成熟的黑产一次次的证明数据的价值。企业赖以生存的用户信息都存其数据库内,所以数据库的安全事关企业生死存亡。