在如今重大数据泄密事件层出不穷的年代,2011年似乎完全延续了这个趋势:大大小小的企业在遭到数据库泄密事件的重创。据隐私权信息交流中心(Privacy Rights Clearinghouse)声称,单单2011年上半年就发生了234起泄密事件,受影响的人成千上万。
下面看看今年到目前为止影响最大的几起数据库泄密事件,IT安全专业人员应该引以为戒:
1、受害者:HBGary Federal公司
失窃/受影响的资产:60000封机密电子邮件、公司主管的社交媒体帐户和客户信息。
安全公司HBGary Federal宣布打算披露关于离经叛道的Anonymous黑客组织的信息后不久,这家公司就遭到了Anonymous组织成员的攻击。Anonymous成员通过一个不堪一击的前端Web应用程序,攻入了HBGary的内容管理系统(CMS)数据库,窃取了大量登录信息。之后,他们得以利用这些登录信息,闯入了这家公司的多位主管的电子邮件、Twitter和LinkedIn帐户。他们还完全通过HBGary Federal的安全漏洞,得以进入HBGary的电子邮件目录,随后公开抛售邮件信息。
汲取的经验教训:这次攻击事件再一次证明,SQL注入攻击仍是黑客潜入数据库系统的首要手段;Anonymous成员最初正是采用了这种方法,得以闯入HBGary Federal的系统。但要是存储在受影响的数据库里面的登录信息使用比MD5更强大的方法生成散列,这起攻击的后果恐怕也不至于这么严重。不过更令人窘迫的是这个事实:公司主管们使用的密码很简单,登录信息重复使用于许多帐户。
2、受害者:RSA公司
失窃/受影响的资产:关于RSA的SecurID认证令牌的专有信息。
RSA的一名员工从垃圾邮箱文件夹收取了一封鱼叉式网络钓鱼的电子邮件,随后打开了里面含有的一个受感染的附件;结果,这起泄密事件背后的黑客潜入到了RSA网络内部很深的地方,找到了含有与RSA的SecurID认证令牌有关的敏感信息的数据库。虽然RSA从来没有证实到底丢失了什么信息,但是本周又传出消息,称一家使用SecurID的美国国防承包商遭到了黑客攻击,这证实了这个传闻:RSA攻击者已获得了至关重要的SecurID种子(SecurID seed)。
汲取的经验教训:对于黑客们来说,没有哪个目标是神圣不可侵犯的,连RSA这家世界上领先的安全公司之一也不例外。RSA泄密事件表明了对员工进行培训有多么重要;如果笨手笨脚的内部员工为黑客完全敞开了大门,一些最安全的网络和数据库照样能够长驱直入。安全专家们还认为,这起泄密事件表明业界想获得行之有效的实时监控,以防止诸如此类的深层攻击偷偷获取像从RSA窃取的专有信息这么敏感的数据,仍然任重而道远。
3、受害者:Epsilon
失窃的资产:这家公司2500名企业客户中2%的电子邮件数据库。
营销公司Epsilon从来没有证实它所存储的大量消费者联系人信息当中到底多少电子邮件地址被偷,这些联系人信息被Epsilon用来代表JP摩根大通、杂货零售商克罗格(Kroger)和TiVo这些大客户发送邮件。但是从这家公司的多个客户透露出来的泄密事件通知表明,这起泄密事件肯定影响了数以百万计的客户,使得他们在将来面临网络钓鱼和垃圾邮件攻击的风险更大。
汲取的经验教训:Epsilon也没有证实这起攻击的技术细节,但是许多人指明,针对电子邮件营销行业策划的狡猾的鱼叉式网络钓鱼攻击活动可能是造成这次攻击的一个根源,再次强调了对普通员工进行安全意识教育的重要性。不过对于企业来说可能更重要的是这个教训:贵企业在外包时,仍然保留这样的风险和责任:保护承包商监控的数据。由于Epsilon这个合作伙伴引起的这起泄密事件,Epsilon的每个客户仍要自行承担披露和相关成本。
4、受害者:索尼
失窃的资产:超过1亿个客户帐户的详细资料和1200万个没有加密的信用卡号码。
攻击者得以闯入三个不同的数据库--这些数据库含有敏感的客户信息,包括姓名、出生日期以及一部分索尼拥有的信用卡号码,这影响了PlayStation网络(PSN)、Qriocity音乐视频服务以及索尼在线娱乐公司的广大客户。到目前为止,索尼旗下大约九个服务网站因最初的泄密事件而被黑客攻破。
据备受尊崇的安全专家、普渡大学的Gene Spafford博士所作的证词表明,索尼在使用一台过时的Apache服务器,既没有打上补丁,又没有装防火墙--其实早在发生泄密事件的几个月前,索尼就知道了这件事。上周,黑客又往索尼的伤口上洒了把盐:他们再度开始钻PSN的空子,因为索尼明知道黑客已弄到了电子邮件地址和出生日期,还是没有加强密码重置系统。在索尼再次关闭PSN以解决问题之前,不法分子改掉了没有更改与PSN帐户有关联的电子邮件的用户的密码。
汲取的经验教训:在当前这个时代,不重视安全的企业文件会让企业蒙受惨重损失。据本周的传闻声称,索尼到目前为止已花掉了1.71亿美元用于泄密事件之后的客户挽救、法律成本和技术改进--这笔损失只会有增无减。想尽快走出如此严重的泄密事件的阴影,不但需要高昂成本,而且让企业很尴尬、有损形象。
5、受害者:得克萨斯州审计办公室
失窃的资产:350万人的姓名、社会安全号码和邮寄地址,另外还有一些人的出生日期和驾驶执照号码。
正是由于得克萨斯州审计办公室的一台没有加密的谁都可以访问的服务器,得克萨斯州三个政府机构的数据库所收集的敏感信息被泄密了将近整整一年,这三个政府机构是得克萨斯州教师退休中心、得克萨斯州劳动力委员会和得克萨斯州雇员退休系统。据称负责把数据发布到网上的几个员工违反了部门的工作程序,这起泄密事件披露后已被开除。
汲取的经验教训:要是不安装技术性的控制和监管解决方案来认真落实政策和程序,那么政策和程序就没有太大意义。员工能够将数据库信息置于如此不堪一击的险境,证明要是政策不采取"强制实施的有效手段",会给企业带来多大的风险。得克萨斯州现在因这起泄密事件而面临两起集体诉讼,其中一起要求对该州判以向每个受影响的人赔偿1000美元的法定处罚--考虑到这起事件影响到数百万人,这笔费用无疑如同天文数字。