在今天的文章中，我們匯總了2013年最為嚴重的十大數(shù)據(jù)泄露事件，旨在向大家解釋攻擊者如何利用多種行之有效的手段成功實現(xiàn)企業(yè)環(huán)境滲透。這樣的狀況很可能催生出與之相抗衡的安全防御技術(shù)，同時也使得新型攻擊途徑需要更高的成本才能成功抵御。

黑客給網(wǎng)絡(luò)安全防御方案創(chuàng)新帶來影響

創(chuàng)新型網(wǎng)絡(luò)安全產(chǎn)品旨在為企業(yè)解決迫在眉睫的主要安全問題，但影響其創(chuàng)新步伐的因素卻多種多樣。企業(yè)能夠幫助并引導(dǎo)技術(shù)團隊制定開發(fā)決策，合規(guī)性要求一直以來也始終對新技術(shù)起到推動作用。白帽黑客努力研究并探索安全漏洞、網(wǎng)絡(luò)犯罪分子則肆意破壞防御機制，但二者為安全產(chǎn)品的生命周期帶來了一正一反的促進與鞭策。

在2013年，黑客們開發(fā)出多種新型方式來規(guī)避安全限制。他們發(fā)動強大的拒絕服務(wù)攻勢，模仿合法流量的手段與效果也比原先有了很大進步。他們創(chuàng)造出新的惡意軟件品種，從而很輕松地繞過傳統(tǒng)安全防御體系。他們不斷改善自己所使用的社會工程戰(zhàn)術(shù)，設(shè)計更加可信的網(wǎng)絡(luò)釣魚攻擊活動以竊取所需的賬戶信息。偷渡式攻擊則將目標設(shè)定為員工群體——在他們?yōu)g覽合法網(wǎng)站的同時悄悄利用惡意軟件感染其操作系統(tǒng)。

在今天的文章中，我們匯總了2013年最為嚴重的十大數(shù)據(jù)泄露事件，旨在向大家解釋攻擊者如何利用多種行之有效的手段成功實現(xiàn)企業(yè)環(huán)境滲透。這樣的狀況很可能催生出與之相抗衡的安全防御技術(shù)，同時也使得新型攻擊途徑需要更高的成本才能成功抵御。

10. Zendesk數(shù)據(jù)泄露

Zendesk是一家專門為各類在線企業(yè)提供客戶支持門戶網(wǎng)站的公司。根據(jù)該公司的說法，此次安全違規(guī)導(dǎo)致數(shù)千位Twitter、Tumblr以及Pinterest的用戶遭遇郵件地址及支持信息外泄。

據(jù)稱，此次事故發(fā)生于去年二月，最初由某家第三方供應(yīng)商的失誤所引發(fā)、但旋即產(chǎn)生連鎖效應(yīng)，并最終導(dǎo)致該公司向用戶發(fā)出警告、提醒稱其電子郵件地址以及某些個人資料面臨潛在風(fēng)險。安全專家們指出，這些數(shù)據(jù)很可能被惡意人士們用于組織防不勝防的網(wǎng)絡(luò)釣魚攻擊。

[[107337]]

9. CorporateCarOnline違規(guī)事故

作為一家豪華轎車租賃預(yù)約軟件制造商，CorporateCarOnline去年九月遭遇嚴重的系統(tǒng)破壞，因此發(fā)生個人信息泄露的客戶數(shù)量超過八十五萬名。此次違規(guī)事故還導(dǎo)致成千上萬信用卡信息曝光，其中不乏一些名人。另外，這一事故還凸顯出某些非結(jié)構(gòu)化數(shù)據(jù)的敏感特性，警醒我們客戶的個人行為與日常工作都可能成為攻擊者可資利用的素材。

攻擊者們利用一項Adobe ColdFusion當中存在的安全漏洞獲取了對數(shù)據(jù)的訪問權(quán)。此次事故昭示了與第三方供應(yīng)商合作處理敏感數(shù)據(jù)所帶來的潛在風(fēng)險，同時也提醒我們需要不斷維護系統(tǒng)并更新最新安全補丁。

8. Facebook數(shù)據(jù)泄露

去年六月，F(xiàn)acebook披露約有六百萬名用戶由于某種軟件漏洞而在不經(jīng)意間遭遇電子郵件地址與個人電話號碼外泄。該公司宣稱從信息泄露狀況發(fā)生到最終軟件代碼錯誤得到修復(fù)，中間的間隔時間長達一年之久。

Facebook用戶在下載好友列表中的聯(lián)系人數(shù)據(jù)時會獲取到原本不應(yīng)該存在的額外信息，該公司解釋道。當發(fā)現(xiàn)這一安全問題后，F(xiàn)acebook方面在24小時之內(nèi)就完成了修復(fù)工作。

該公司還遭遇過內(nèi)部安全事故。就在去年二月，F(xiàn)acebook曾檢測到幾位員工的筆記本電腦受到惡意軟件感染，這一偷渡式攻擊專門針對那些訪問過某家已被攻破的移動開發(fā)者網(wǎng)站的軟件開發(fā)人員。

7. Drupal.Org數(shù)據(jù)泄露

人氣開源內(nèi)容管理系統(tǒng)Drupal在發(fā)現(xiàn)自身服務(wù)器存在數(shù)據(jù)安全違規(guī)狀況后，決定對其Drupal.org網(wǎng)站全體用戶的密碼加以重置。Drupal作為一套后端平臺支持著成千上萬的博客與網(wǎng)站。

根據(jù)該公司的說法，攻擊者針對的是安裝在Drupal.org服務(wù)器基礎(chǔ)設(shè)施內(nèi)的第三方軟件所存在的安全漏洞。此次泄露的數(shù)據(jù)包括用戶名、電子郵件地址、國家信息以及散列密碼。事故于去年五月公布，受到影響的賬戶持有者數(shù)量可能高達百萬。該公司表示自身已經(jīng)在事故發(fā)生后更新了安全措施并改進了其Apache Web服務(wù)器的保護力度。

6. LivingSocial數(shù)據(jù)泄露

作為一家電子商務(wù)新興企業(yè)，LivingSocial于去年四月宣布遭遇數(shù)據(jù)泄露事故、其旗下的五千萬用戶受到影響。攻擊者得以訪問用戶名、密碼、電子郵件地址以及賬戶持有者生日等數(shù)據(jù)。

安全專家們提醒稱，這一次LivingSocial數(shù)據(jù)泄露事故的出現(xiàn)為整個業(yè)界敲響了警鐘——新興企業(yè)由于資金有限往往無力組織起有效的防御機制，而由此帶來的潛在風(fēng)險已經(jīng)成為安全人員們的共識。大部分企業(yè)的運營優(yōu)先級依次為核心產(chǎn)品開發(fā)、營銷活動投入，最后才是解決安全方面可能存在的差距或者短板。幸運的是，該公司始終堅持PCI合規(guī)性，同時利用隔離網(wǎng)絡(luò)支撐用于處理信用卡數(shù)據(jù)的交易支付系統(tǒng)。

5. Evernote數(shù)據(jù)泄露

移動數(shù)據(jù)存儲企業(yè)Evernote于去年三月發(fā)現(xiàn)其系統(tǒng)遭遇入侵后，旋即對五千萬名用戶的密碼進行了重置。該公司還著手引入雙因素驗證支持方案，旨在幫助用戶在高強度密碼之外利用其它機制驗證自己的身份。

該公司表示安全團隊檢測到的攻擊活動利用綜合性手段嘗試訪問其受限企業(yè)網(wǎng)絡(luò)。安全專家們指出，Evernote強大的事故響應(yīng)能力證明該公司始終為泄露狀況做好了充分準備。幸運的是，Evernote利用單向加密、散列與salt等機制對密碼進行保護，從而使其內(nèi)容更加難于破解。

安全專家們提醒稱，企業(yè)應(yīng)該更多地將密碼泄露作為可能發(fā)生的潛在狀況，鼓勵用戶采用高強度密碼并考慮使用密碼管理方案。

[[107340]]

4. MongoHQ數(shù)據(jù)泄露

MongoHQ數(shù)據(jù)安全違規(guī)事件給數(shù)百位云用戶帶來直接影響，受到間接影響的用戶數(shù)量則可能成千上萬。該公司專門出售針對MongoDB NoSQL數(shù)據(jù)庫管理系統(tǒng)的數(shù)據(jù)庫即平臺服務(wù)。此次泄露的數(shù)據(jù)包括電子郵件地址、散列密碼以及其它一些客戶賬戶信息。

但此次泄露事故的核心在于，攻擊者已經(jīng)有能力入侵受害者的Amazon Web Services S3存儲賬戶并獲取對一部分MongoHQ客戶數(shù)據(jù)庫的訪問權(quán)。這次數(shù)據(jù)泄露于去年十月被正式發(fā)現(xiàn)，發(fā)生原因是與該公司內(nèi)部支持應(yīng)用程序相關(guān)的安全控制機制失效。該公司表示，某位員工在已被攻破的個人賬戶中輸入了密碼，問題由此產(chǎn)生。正如安全專家們一再提醒的，安全設(shè)備配置失當以及基礎(chǔ)性安全機制失效很可能引發(fā)嚴重的違規(guī)情況。

3. Target Corp.信用卡數(shù)據(jù)泄露

調(diào)查人員們目前仍然在努力確定Target Corp.信用卡數(shù)據(jù)泄露事故的實際影響范圍。該系統(tǒng)在遭遇違規(guī)狀況后至少導(dǎo)致四千萬張信用卡與借記卡信息外流。攻擊者們自假日購物季開始便著手發(fā)動攻勢，其實施手段不禁讓我們想起以往曾經(jīng)出現(xiàn)過的信用卡違規(guī)事故——钖007年的TJX違規(guī)、哈特蘭支付系統(tǒng)以及漢納福德兄弟連鎖超市等數(shù)據(jù)泄露事故。而作為每一次違規(guī)事故的核心，攻擊者利用的其實都是最為基本的安全漏洞。

盡管目前我們還沒有足夠的細節(jié)來推斷攻擊者是如何獲取訪問權(quán)的，但這次事故再次將我們的注意力集中到了支付卡行業(yè)及其數(shù)據(jù)安全標準身上。安全專家們指出，PCI-DSS已經(jīng)成為引導(dǎo)某個行業(yè)有效進行自身調(diào)整的標準化模式。這套標準強調(diào)了一系列必須遵循的最低執(zhí)行步驟，旨在保護敏感支付系統(tǒng)。它由各個支付品牌以多種方式加以強制執(zhí)行。此次違規(guī)事故是否會促使立法者考慮更為嚴格的實施標準以及違規(guī)懲罰尚有待觀察。

[[107341]]

2. 《紐約時報》數(shù)據(jù)泄露

去年《紐約時報》的內(nèi)部系統(tǒng)遭遇入侵、黑客們掌握了其持續(xù)訪問權(quán)，這一問題直到幾個月后才被披露給其它媒體。計算機取證調(diào)查員們在接受采訪時表示，網(wǎng)絡(luò)犯罪分子利用自定義工具實施了這一輪攻擊。目前調(diào)查人員將主要注意力集中在了兩位記者身上。

此次事故正式揭開了由政府推動的網(wǎng)絡(luò)間諜活動的神秘面紗，黑客集團背后的資源供給也因此變得更加復(fù)雜。除此之外，這一事故也幫助我們更為直接地關(guān)注部分關(guān)鍵性安全最佳實踐，包括對主動網(wǎng)絡(luò)監(jiān)控的需求、高強度密碼的重要性以及利用隔離系統(tǒng)保存敏感數(shù)據(jù)的價值等。攻擊者們利用數(shù)十種自定義惡意軟件實施綜合性入侵，并將這些軟件推向保存每一位《紐約時報》員工散列密碼數(shù)據(jù)庫的域控制器當中。

[[107342]]

1.博思艾倫咨詢公司——美國國家安全局數(shù)據(jù)泄露

安全專家們表示，前政府事務(wù)承包商雇員愛德華·斯諾登泄露國家安全局監(jiān)控程序信息的事件證明，對負責(zé)維護關(guān)鍵性系統(tǒng)及流程的員工進行嚴格審查是保障數(shù)據(jù)安全的重要組成部分。斯諾登是參與高度機密安全審查工作的近五十萬名承包商雇員之一。盡管在個人簡歷當中存在一些問題，他最終仍然被博思艾倫咨詢公司聘用。他在夏威夷幫助國家安全局打理相關(guān)工作，并獲得了12.2萬美元的年薪。

此次國安局數(shù)據(jù)流露事故據(jù)稱是由于其他雇員利用U盤及賬戶憑證獲得了對關(guān)鍵性系統(tǒng)的訪問權(quán)。根據(jù)報道，斯諾登從國安局處取得了數(shù)十萬份文件，并隨后將這些資料提供給媒體記者，從而證明了國安局在國內(nèi)外確實展開了大量監(jiān)控活動、試圖分析監(jiān)控對象的網(wǎng)絡(luò)通信以及手機記錄。斯諾登的行為引發(fā)了廣泛的討論熱潮，全世界都開始認真思考政府到底能夠在怎樣的程度范圍內(nèi)進行情報搜集活動。除了潛在的加密缺陷以及實施失誤之外，斯諾登事件還大大提高了組織機構(gòu)對于內(nèi)部威脅防御的關(guān)注程度。另外，他的行動還讓更多普通民眾意識到美國各大技術(shù)供應(yīng)商與政府之間的密切協(xié)作?？偠灾?，這次曝光的數(shù)據(jù)泄露很可能對今后互聯(lián)網(wǎng)通信底層系統(tǒng)的完整性與彈性以及用于為用戶提供隱私級別保障的機制產(chǎn)生重大影響。