[[388529]]

【51CTO.com快譯】不可否認(rèn)，任何公司一旦遭遇了數(shù)據(jù)泄露事件，都會(huì)涉及到公司形象、財(cái)務(wù)營收、市場份額、以及用戶信任等方面的巨大損失。實(shí)際上，一些重大的安全事故，往往是由多個(gè)不同安全級(jí)別的細(xì)微漏洞，疊加與累積而成。而且不幸的是，就算世界上的那些知名大公司，也無法獨(dú)善其身。在本文中，我將為您選擇和解讀業(yè)界九大知名數(shù)據(jù)泄漏與網(wǎng)絡(luò)安全事件，以方便貴企業(yè)“有則改之，無則加勉”。

1. Clearview AI

Clearview AI是一家頗具爭議的創(chuàng)業(yè)公司，它直接收集了數(shù)十億張公開、可用的照片，為其面部識(shí)別平臺(tái)提供素材。2020年2月，入侵者在發(fā)現(xiàn)了其平臺(tái)漏洞后，獲取了該公司的客戶列表訪問權(quán)限。盡管與下面將要提到的其他數(shù)據(jù)泄露事件相比，該公司泄漏的2200名客戶名單的體量雖小，但是BuzzFeed新聞發(fā)現(xiàn)，Clearview AI的客戶群中包括了百思買等大型零售商，而其個(gè)人簽約客戶遍及全球27個(gè)國家。因此，執(zhí)法機(jī)構(gòu)仍予以了處罰。事后，該公司對(duì)受攻擊的系統(tǒng)，以及相關(guān)漏洞進(jìn)行了及時(shí)修補(bǔ)。

2. First American Financial Corporation

First American Financial Corporation(第一美國金融公司)是美國《財(cái)富》500強(qiáng)中的一家大型房地產(chǎn)業(yè)保險(xiǎn)公司。由于房地產(chǎn)交易的性質(zhì)，F(xiàn)irst American Financial在其網(wǎng)站存放的文檔中，包括有駕駛執(zhí)照、電匯交易、社會(huì)安全號(hào)碼、以及銀行帳戶等大量高度敏感的信息。

由于該網(wǎng)站不需要任何身份驗(yàn)證，即可查看到相關(guān)數(shù)據(jù)，因此知曉其文檔URL的人，完全可以通過簡單地更改鏈接中的數(shù)字部分，以跳轉(zhuǎn)訪問其他文檔。自2003年以來，攻擊者通過該漏洞，已成功訪問了超過8.85億條敏感數(shù)據(jù)記錄。

2019年5月，一名房產(chǎn)業(yè)開發(fā)人員Ben Shoval發(fā)現(xiàn)了該問題。由于無法得到該公司的回應(yīng)，他向KrebsOnSecurity尋求幫助。First American Financial隨后禁用了該文檔網(wǎng)站，并解決了設(shè)計(jì)上的缺陷。

3. Facebook

眾所周知，F(xiàn)acebook經(jīng)歷了數(shù)輪數(shù)據(jù)泄露。在此，我們重點(diǎn)關(guān)注由第三方Facebook應(yīng)用所引發(fā)的一系列事件。

傳媒組織Culture Colectiva有一個(gè)可供公共訪問的Amazon S3 bucket，它能夠訪問包括Facebook ID、用戶名、以及社交媒體活動(dòng)(如評(píng)論)在內(nèi)的各種信息。不過，在最近的一次大規(guī)模泄露事件中，它們暴露了146 GB體量的5.4億條數(shù)據(jù)記錄。

另一個(gè)同類數(shù)據(jù)泄露事件是：一款名為“At the Pool”的應(yīng)用，暴露了22,000名用戶的用戶名、密碼、以及其他登錄信息。該應(yīng)用也是依靠可被公開訪問的Amazon S3 Bucket來備份數(shù)據(jù)，而且其存儲(chǔ)區(qū)中的數(shù)據(jù)是以純文本的形式存儲(chǔ)的(https://www.xplenty.com/blog/why-pseudonymization-is-critical-for-large-enterprises/)。除了用戶在該應(yīng)用已注冊的詳細(xì)信息，該數(shù)據(jù)庫還包含了Facebook的用戶ID、偏好、興趣、組別、以及其他社交活動(dòng)。

Culture Colectiva的反應(yīng)比較滯后，他們花了四個(gè)月的時(shí)間，對(duì)S3 Bucket進(jìn)行了安全加固。而“At the Pool”則能夠趕在任何安全組織發(fā)布警告之前，悄悄地解決了其漏洞。

4. MongoDB數(shù)據(jù)庫

2019年5月，由于缺乏保護(hù)，MongoDB公司擁有的那些未指定所有者的數(shù)據(jù)庫，曾泄漏了超過十億條數(shù)據(jù)記錄。來自Security Discovery的研究員--Bob Diachenko率先發(fā)現(xiàn)了其中的一個(gè)包含有超2.75億條記錄的數(shù)據(jù)庫。這些數(shù)據(jù)主要涉及到印度公民的姓名、電子郵件、工作經(jīng)歷、出生日期、以及各種專業(yè)化的詳細(xì)信息。由于MongoDB的這些數(shù)據(jù)庫采用的是Amazon AWS托管模式，因此該狀態(tài)持續(xù)了兩個(gè)多星期之久。黑客組織Unistellar在發(fā)現(xiàn)后，立即攻擊了該數(shù)據(jù)庫，并刪除了相關(guān)記錄。

通過持續(xù)調(diào)查，Diachenko相繼發(fā)現(xiàn)了另外四個(gè)具有大規(guī)模數(shù)據(jù)泄漏威脅的MongoDB數(shù)據(jù)庫。這些數(shù)據(jù)庫里存有超過8.08億封電子郵件、2億份履歷、以及7700萬條個(gè)人信息記錄。由于數(shù)據(jù)庫管理員(而不是技術(shù)本身)的失誤，導(dǎo)致了這些MongoDB實(shí)例未被設(shè)置密碼，也沒能通過保護(hù)性的配置選項(xiàng)，來阻止此類攻擊行為?？梢?，遵從數(shù)據(jù)庫管理的相關(guān)最佳實(shí)踐，對(duì)于數(shù)據(jù)的安全性來說是至關(guān)重要的。

5. Equifax

Equifax是世界領(lǐng)先的消費(fèi)者信用報(bào)告機(jī)構(gòu)之一，它收集了數(shù)百萬美國公民和企業(yè)的敏感信息。在2017年9月的一次數(shù)據(jù)泄露事件中，有近半數(shù)的美國公民、以及部分加拿大與英國公民的記錄被竊取。具體內(nèi)容涉及到社會(huì)安全號(hào)碼、駕駛執(zhí)照號(hào)碼、信用卡號(hào)碼、地址、以及其他個(gè)人信息等。美國國會(huì)、聯(lián)邦貿(mào)易委員會(huì)、SEC等部門聯(lián)合對(duì)此次攻擊展開了調(diào)查。據(jù)悉，黑客通過使用Apache Struts CVE-2017-5638漏洞，持續(xù)近兩個(gè)月訪問了Equifax的信用糾紛應(yīng)用。雖然該漏洞已在Equifax的前一輪黑客攻擊后以補(bǔ)丁的形式被修復(fù)，但是該公司未能加固所有的應(yīng)用系統(tǒng)。

值得一提的是，此類數(shù)據(jù)泄露的后果對(duì)于消費(fèi)者來說是非常嚴(yán)重的。他們不但可能由此失去工作機(jī)會(huì)，而且無法使用貸款產(chǎn)品和信用卡，他們的信用報(bào)告上甚至出現(xiàn)負(fù)評(píng)分。消費(fèi)者只有通過凍結(jié)信用報(bào)告，并主動(dòng)監(jiān)視其信用的變化情況，來發(fā)現(xiàn)任何盜用行為的發(fā)生。

6. Capital One

作為最大的信用卡發(fā)行商之一，Capital One記錄著1.06億客戶的違約記錄。不過2019年7月，其前軟件工程師Paige Thompson使用她的AWS專業(yè)知識(shí)，利用錯(cuò)配的應(yīng)用級(jí)防火墻，成功地訪問了Capital One的一臺(tái)服務(wù)器。該服務(wù)器上包含了來自信用卡應(yīng)用的、大量美國和加拿大客戶的社會(huì)保險(xiǎn)號(hào)碼、銀行帳號(hào)、信用評(píng)分、以及個(gè)人信息等。這些數(shù)據(jù)橫跨了十多年的信息記錄，可謂極具價(jià)值。

Paige曾在GitHub、Twitter和Slack等多處發(fā)帖，詳細(xì)說明了她如何獲取服務(wù)器的訪問權(quán)限。雖然尚不清楚她在各處分發(fā)社會(huì)保險(xiǎn)號(hào)碼和個(gè)人信息的真實(shí)動(dòng)機(jī)，但是，她最終承認(rèn)了其利用Capital One漏洞盜取信息的事實(shí)，并因此被捕。

7. US Office of Personnel Management

2015年，US Office of Personnel Management(OPM，美國人事管理辦公室)服務(wù)器上的2000萬個(gè)人數(shù)據(jù)遭遇盜竊。

盡管與其他大規(guī)模泄漏相比，此次暴露的記錄數(shù)較少，但是就數(shù)據(jù)內(nèi)容的重要性而言，實(shí)屬嚴(yán)重事件。其中，泄漏的文件主要是那些用于向聯(lián)邦政府取得安全許可的SF-86表格，里面包含了大量諸如申請(qǐng)人指紋等敏感信息。

OPM的IT部門早在2014年3月就發(fā)現(xiàn)了一些異常跡象。但是，由于無法確定攻擊者是如何闖入系統(tǒng)的，以及有誰參與了，因此他們只能持續(xù)監(jiān)視黑客的活動(dòng)。不幸的是，此法適得其反。攻擊者迅速建立了即使系統(tǒng)被重置，仍然存在的后門。從2013年11月到2015年4月間，攻擊對(duì)于數(shù)據(jù)的竊取蔓延到了內(nèi)政部的服務(wù)器上。

這次攻擊事件所造成的影響包括：國會(huì)調(diào)查、工會(huì)訴訟、以及OPM領(lǐng)導(dǎo)層的引咎辭職等。中情局最終認(rèn)定：缺少雙因素身份驗(yàn)證，是此次漏洞攻擊的罪魁禍?zhǔn)住?/p>

8. Uber

2016年，一個(gè)由兩名黑客組成的團(tuán)隊(duì)對(duì)Uber進(jìn)行了攻擊。他們通過獲得一臺(tái)包含了Uber用戶數(shù)據(jù)的第三方服務(wù)器的權(quán)限，導(dǎo)致Uber泄露了5700萬條客戶和駕駛員的記錄，其中包括60萬份駕駛執(zhí)照。

值得注意的是，Uber的前首席安全官居然選擇通過本組織的漏洞賞金計(jì)劃，向黑客支付了10萬美元的贖金。據(jù)稱，他還阻礙了聯(lián)邦貿(mào)易委員會(huì)的調(diào)查，以掩蓋其違規(guī)行為。目前，他被指控阻礙調(diào)查，并正在接受審理。

9. Yahoo

Yahoo在2013年發(fā)生的數(shù)據(jù)泄漏事件，因其暴露的記錄體量而讓人記憶猶新。該公司的300萬賬號(hào)數(shù)據(jù)是此次攻擊的重災(zāi)區(qū)，其中包括生日、姓名、以及電子郵件地址等經(jīng)過哈希處理的信息。Yahoo直到2016年才公開了其漏洞，而直到2017年才公布了其受到影響的用戶范圍。Yahoo認(rèn)為，一家有國家資助的黑客通過既有數(shù)據(jù)創(chuàng)建了Web Cookie。據(jù)此，他們無需密碼，即可訪問用戶的賬號(hào)。在攻擊發(fā)生的兩年后，直至部分?jǐn)?shù)據(jù)在暗網(wǎng)上被兜售，Yahoo才發(fā)現(xiàn)到該事件。

解決您的網(wǎng)絡(luò)安全漏洞

綜上所述，即便是知名的大公司，如果未能遵循網(wǎng)絡(luò)安全的各項(xiàng)最佳實(shí)踐，無法全面實(shí)施數(shù)據(jù)安全計(jì)劃，沒法主動(dòng)提供多層防護(hù)，就難以在黑客的暗中攻擊中幸免，也就不能避免數(shù)據(jù)泄露事件的發(fā)生。不知貴組織當(dāng)前的系統(tǒng)與網(wǎng)絡(luò)安全態(tài)勢如何?您是否能夠從上述九大事件中，找到信息保護(hù)的思路呢?

原文標(biāo)題：Top 9 Most Damaging Data Breaches at Major Companies，作者: Abe Dearmer

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】