雖然外部黑客對企業(yè)環(huán)境構成的威脅永遠存在，但有時最大的風險來自內(nèi)部。波耐蒙研究所的調(diào)查數(shù)據(jù)顯示，內(nèi)部人威脅導致大型企業(yè)平均每年損失1792萬美元。由可信員工和合作伙伴導致的這些事件，往往不僅涉及個人身份信息(PII)，還涉及企業(yè)產(chǎn)生和處理的一些最敏感的數(shù)據(jù)——秘密配方、敏感財務信息和任務關鍵基礎設施的訪問權限。下面我們就列舉幾個近期此類風險導致的重大事件案例，按行業(yè)劃分。

[[428469]]

醫(yī)療行業(yè)：未披露名稱的醫(yī)藥包裝公司

• 公司：未披露名稱的醫(yī)藥包裝公司
• 事件類型：破壞
• 事件發(fā)生時間：2020年
• 公開披露時間：2020年

去年，一家醫(yī)療器械包裝公司的一名前雇員因計算機輔助破壞行為而被聯(lián)邦檢察官判定有罪：該員工的行為導致新冠病毒最初響應高峰期間個人防護設備(PPE)發(fā)貨延誤。

美國佐治亞州北區(qū)檢察官辦公室稱，在被這家未披露名稱的公司解雇后，Christopher Dobbins利用他在職期間以管理員權限創(chuàng)建的虛假賬戶訪問了公司的裝運系統(tǒng)，中斷并延遲了公司的PPE發(fā)貨流程。然后他創(chuàng)建了第二個假賬戶，并使用該訪問權限編輯或刪除了118,000多條公司記錄，造成進一步延誤和超過20萬美元的損失。

制造業(yè)：通用電氣(GE)

• 公司：通用電氣公司
• 事件類型：知識產(chǎn)權盜竊，詐騙
• 事件發(fā)生時間：2011年–2012年
• 公開披露時間：2019年

經(jīng)過長達數(shù)年的調(diào)查和冗長的法庭訴訟程序，美國聯(lián)邦調(diào)查局(FBI)去年揭露了兩位前通用電氣員工Miguel Sernas和Jean Patrice Delia公然竊取知識產(chǎn)權和商業(yè)機密的行為。Delia在2011年實施了最初的盜竊，當時他在通用電氣擔任性能工程師，支持客戶操作該公司制造的高度復雜的渦輪機。

Delia不僅下載了如何以其現(xiàn)有賬戶權限運行這些渦輪機的商業(yè)機密文件，還說服IT部門的一名員工授權他訪問關于該性能咨詢的成本模型、提案及合同的文件。利用這些信息，他和Sernas成立了一家競爭公司，以低價競爭策略損害通用電氣的利益，并在FBI暗中調(diào)查此案期間運營多年。FBI的調(diào)查涉及傳喚出示電子郵件和云存儲賬戶，并最終趁Sernas在美國旅行逗留途中搜查了一臺筆記本。

制造業(yè)：豐田

• 公司：豐田
• 事件類型：商務電郵入侵，3700萬美元詐騙
• 事件發(fā)生時間：2011年–2012年
• 公開披露時間：2019年

一名BEC騙子成功誘使豐田某歐洲子公司財務團隊成員將3700萬美元劃轉至外國賬戶。正如BEC攻擊者一貫所為，這名騙子偽裝成該公司業(yè)務合作伙伴，用以假亂真的騙術拿下了這筆巨款。

BEC騙局通常針對此類粗心大意的內(nèi)部人員長期作戰(zhàn)，攻擊者以此悄悄獲得目標公司的網(wǎng)絡訪問權限，進行深入偵察，并觀察內(nèi)部員工或員工與合作伙伴之間的通信模式，從而在詐騙時機成熟時完美模仿目標公司的可信實體。

電信行業(yè)：AT&T

• 公司：AT&T
• 事件類型：賄賂助長的惡意軟件安裝，2億美元欺詐
• 事件發(fā)生時間：2012年–2017年
• 公開披露時間：2019年

因握有該公司系統(tǒng)訪問權的員工被賄賂解鎖價格昂貴的iPhone供在AT&T網(wǎng)絡之外使用，電信供應商AT&T遭受長期犯罪活動侵害。攻擊者的主要策略是買通呼叫中心員工，讓他們在AT&T系統(tǒng)上安裝惡意軟件，從而獲得立足點，并最終入侵該公司基礎設施，實現(xiàn)按需自動解鎖AT&T電話。該事件使AT&T損失了200萬部未鎖定手機的訂閱費用，共2億美元。2018年，巴基斯坦居民Muhammad Fahd因此項犯罪活動而被捕，并于本月早些時候被美國地方法院判處12年監(jiān)禁。

金融行業(yè)：Capital One

• 公司：Capital One
• 事件類型：1億信用卡申請及賬戶數(shù)據(jù)泄露
• 事件發(fā)生時間：2019年
• 公開披露時間：2019年

據(jù)稱，AWS一名前軟件工程師能夠濫用她在職期間獲得的有關客戶云部署缺陷的行業(yè)知識，導致AWS客戶Capital One發(fā)生重大數(shù)據(jù)泄露。今年夏天，美國司法部針對這起2019年的事件提起七項指控，涉及計算機欺詐與濫用以及訪問設備欺詐，聲稱Thompson利用Capital One錯誤配置的防火墻提取特權賬戶憑證，并竊取和傳播來自1億信用卡申請人和賬戶持有人的信息。

金融行業(yè)：未披露名稱的紐約信用合作社

• 公司：未披露名稱的紐約信用合作社
• 事件類型：通過保留賬戶權限進行破壞
• 事件發(fā)生時間：2021年
• 公開披露時間：2021年

這是一起典型的權限撤銷失敗案例，紐約一家信用合作社的前雇員在被解雇幾天后仍然能夠登錄公司系統(tǒng)。該公司的IT支持公司沒有按照信用合作社的要求禁用這名員工的賬戶，于是她得以保留賬戶訪問權。美國檢察官辦公室稱，Juliana Barile在40分鐘的暴行中刪除了21.3 GB的公司數(shù)據(jù)，其中包括2萬個文件和3500個目錄。被刪除的文件包括按揭申請及反勒索軟件。此外，她還讀取了包括董事會會議記錄在內(nèi)的敏感文檔。

科技行業(yè)：Vertafore

• 公司：Vertafore
• 事件類型：暴露2770萬條PII記錄
• 事件發(fā)生時間：2020年
• 公開披露時間：2020年

因公司員工無意中將數(shù)據(jù)文件存儲在不安全的外部存儲服務上，保險軟件開發(fā)商Vertafore致使2770萬得克薩斯州駕駛員敏感信息泄露。這些文件包含數(shù)百萬個駕駛執(zhí)照的信息，用于該公司為其軟件創(chuàng)建保險評級功能。這是云時代人為錯誤風險的一個典型例子，而像這家公司一樣粗心大意的機構仍在蒙受存儲失誤的暴露風險。雖然財務信息和社會安全號并未牽涉其中，但Vertafore仍必須承擔數(shù)據(jù)泄露響應的所有費用。由于這起事件，該公司可能面臨集體訴訟。

科技行業(yè)：亞馬遜

• 公司：亞馬遜
• 事件類型：利用機密信息進行內(nèi)幕交易
• 事件發(fā)生時間：2016年–2018年
• 公開披露時間：2020年

據(jù)稱，亞馬遜稅務部門的一名高級經(jīng)理利用財務信息訪問權限為其家人準備季度報表，幫助她的家人通過內(nèi)幕交易獲利。根據(jù)美國檢察官辦公室的說法，Laksha Bohra向她的丈夫Viky提供了公司收入和收益信息，供其連續(xù)11次在亞馬遜發(fā)布收益公告之前使用這些信息進行非法股票和期權交易。在此過程中，這家人獲利140萬美元。不過，今年夏天敲定的認罪協(xié)議中，Viky被判入獄26個月并處罰款260多萬美元。

零售業(yè)：Garrett Popcorn Shop

• 公司：Garrett Popcorn Shop
• 事件類型：竊取商業(yè)秘密
• 事件發(fā)生時間：2019年
• 公開披露時間：2019年

根據(jù)2019年向美國伊利諾伊州北區(qū)地方法院提起的訴訟，芝加哥零售爆米花標桿企業(yè)Garrett Popcorn Shops指控前研發(fā)總監(jiān)Aisha Putnam通過將公司數(shù)據(jù)復制到U盤并向自己個人郵箱發(fā)送郵件的方式，從該公司竊取了5000多份文件，包括成分、食譜、配方和制作方法等。

去年，Putnam反訴該公司，聲稱她被解雇和此前的訴訟是為了報復她向主管提出健康和安全投訴。無論真相如何，該事件都表明了訪問和處理敏感知識產(chǎn)權所固有的風險。

政府：達拉斯市政府

• 機構：達拉斯市政府
• 事件類型：意外刪除敏感數(shù)據(jù)
• 事件發(fā)生時間：2018年–2021年
• 公開披露時間：2021年

有時，疏忽的內(nèi)部人員對技術基礎設施造成的破壞堪比意圖報復的惡意黑客。達拉斯市政府一名前IT員工就犯了這方面的錯誤?！哆_拉斯晨報》報道，通過該市發(fā)言人所謂的“錯誤模式”，這名員工刪除了大量重要的警方和市政記錄，而在內(nèi)部審查暴露出這一事實后，這名員工也被解雇了。自2018年以來，該工作人員至少在三種不同情況下設法刪除了超過22 TB的信息，其中包括13 TB的警方文件(內(nèi)含照片、視頻和案件記錄)。達拉斯市仍在調(diào)查，但似乎這些事件可能涉及在傳輸重大文件傳輸時未能遵守流程。