在今天的文章中,我们汇总了2013年最为严重的十大年夜数据泄漏事务,旨在向大年夜家诠释报复打击者若何操纵多种行之有效的手段成功实现企业环境渗入。如许的状况很可能催生出与之相对抗的安然防驭手艺,同时也使得新型报复打击路子需要更高的成本才能成功抵抗。
10. Zendesk数据泄漏
Zendesk是一家专门为各类在线企业供给客户撑持门户网站的公司。按照该公司的说法,此次安然背规导致数千位Twitter、Tumblr和Pinterest的用户遭受邮件地址及撑持信息外泄。
据称,此次变乱产生于往年二月,最初由某家第三方供给商的掉误所激发、但旋即产生连锁效应,并最终导致该公司向用户发出警告、提示称其电子邮件地址和某些小我资料面对暗藏风险。安然专家们指出,这些数据很可能被歹意人士们用于组织防不堪防的收集垂钓报复打击。
9. CorporateCarOnline背规变乱
作为一家豪华轿车租赁预约软件制造商,CorporateCarOnline往年九月遭受严重的系统粉碎,是以产生小我信息泄漏的客户数量超越八十五万名。此次背规变乱还导致不计其数诺言卡信息暴光,此中不乏一些名人。别的,这一变乱还凸显出某些非布局化数据的敏感特点,警省我们客户的小我行动与平常工作都可能成为报复打击者可资操纵的素材。
报复打击者们操纵一项Adobe ColdFusion傍边存在的安然缝隙获得了对数据的拜候权。此次变乱明示了与第三方供给商合作措置敏感数据所带来的暗藏风险,同时也提示我们需要不竭保护系统并更新最新安然补丁。
8. Facebook数据泄漏
往年六月,Facebook透露约有六百万名用户因为某种软件缝隙而在不经意间遭受电子邮件地址与小我德律风号码外泄。该公司传播鼓吹从信息泄漏状况产生到最终软件代码弊端获得修复,中间的距离时候长达一年之久。
Facebook用户鄙人载老友列表中的联系人数据时会获得到本来不该该存在的额外信息,该公司诠释道。当发现这一安然标题问题后,Facebook方面在24小时以内就完成了修复工作。
该公司还遭受过内部安然变乱。就在往年二月,Facebook曾检测到几位员工的笔记本电脑遭到歹意软件传染,这一偷渡式报复打击专门针对那些拜候过某家已被攻破的移动开辟者网站的软件开辟人员。
7. Drupal.Org数据泄漏
人气开源内容治理系统Drupal在发现本身办事器存在数据安然背规状况后,决定对其Drupal.org网站全部用户的暗码加以重置。Drupal作为一套后端平台撑持着不计其数的博客与网站。
按照该公司的说法,报复打击者针对的是安装在Drupal.org办事器根本举措措施内的第三方软件所存在的安然缝隙。此次泄漏的数据包含用户名、电子邮件地址、***和散列暗码。变乱于往年蒲月发布,遭到影响的账户持有者数量可能高达百万。该公司暗示本身已在变乱产生后更新了安然办法并改进了其Apache Web办事器的呵护力度。
6. LivingSocial数据泄漏
作为一家电子商务新兴企业,LivingSocial于往年四月发布遭受数据泄漏变乱、其旗下的五千万用户遭到影响。报复打击者得以拜候用户名、暗码、电子邮件地址和账户持有者生日等数据。
安然专家们提示称,这一次LivingSocial数据泄漏变乱的呈现为全部业界敲响了警钟——新兴企业因为资金有限常常无力组织起有效的防御机制,而由此带来的暗藏风险已成为安然人员们的共叫。大年夜部门企业的运营优先级顺次为核心产品开辟、营销勾当投进,最后才是解决安然方面可能存在的差距或短板。荣幸的是,该公司始终对峙PCI合规性,同时操纵隔离收集撑持用于措置诺言卡数据的生意付出系统。
5. Evernote数据泄漏
移动数据存储企业Evernote于往年三月发现其系统遭受进侵后,旋即对五千万名用户的暗码进行了重置。该公司还着手引进双身分验证撑持方案,旨在帮忙用户在高强度暗码以外操纵其它机制验证本身的身份。
该公司暗示安然团队检测到的报复打击勾当操纵综合性手段测验测验拜候其受限企业收集。安然专家们指出,Evernote强大年夜的变乱响应能力证实该公司始终为泄漏状况做好了充分预备。荣幸的是,Evernote操纵单向加密、散列与salt等机制对暗码进行呵护,从而使其内容加倍难于破解。
安然专家们提示称,企业应当更多地将暗码泄漏作为可能产生的暗藏状况,鼓动鼓励用户采取高强度暗码并考虑利用暗码治理方案。
4. MongoHQ数据泄漏
MongoHQ数据安然背规事务给数百位云用户带来直接影响,遭到间接影响的用户数量则可能不计其数。该公司专门出售针对MongoDB NoSQL数据库治理系统的数据库即平台办事。此次泄漏的数据包含电子邮件地址、散列暗码和其它一些客户账户信息。
但此次泄漏变乱的核心在于,报复打击者已有能力进侵受害者的Amazon Web Services S3存储账户并获得对一部门MongoHQ客户数据库的拜候权。此次数据泄漏于往年十月被正式发现,产生启事是与该公司内部撑持利用法度相干的安然节制机制掉效。该公司暗示,某位员工在已被攻破的小我账户中输进了暗码,标题问题由此产生。正如安然专家们几回再三提示的,安然设备建设掉当和根本性安然机制掉效很可能激发严重的背规环境。
3. Target Corp.诺言卡数据泄漏
查询拜访人员们今朝仍然在尽力肯定Target Corp.诺言卡数据泄漏变乱的实际影响范围。该系统在遭受背规状况后起码导致四千万张诺言卡与借记卡信息外流。报复打击者们自假日购物季开端便着手策动攻势,其实施手段不由让我们想起以往曾呈现过的诺言卡背规变乱——钖007年的TJX背规、哈特兰付出系统和汉纳福德兄弟连锁超市等数据泄漏变乱。而作为每次背规变乱的核心,报复打击者操纵的其实都是最为根基的安然缝隙。
虽然今朝我们还没有足够的细节来揣度报复打击者是若何获得拜候权的,但此次变乱再次将我们的寄望力集中到了付出卡行业及其数据安然尺度身上。安然专家们指出,PCI-DSS已成为指导某个行业有效进行本身调剂的尺度化模式。这套尺度夸大年夜了一系列必需遵守的最低履行步调,旨在呵护敏感付出系统。它由各个付出品牌以多种编制加以强迫履行。此次背规变乱是不是会促使立法者考虑更加严格的实施尺度和背规奖惩另有待不雅察。
2. 《纽约时报》数据泄漏
往年《纽约时报》的内部系统遭受进侵、黑客们掌控了其延续拜候权,这一标题问题直到几个月后才被透露给其它媒体。计较机取证查询拜访员们在接管采访时暗示,收集犯法分子操纵自定义东西实施了这一***击。今朝查询拜访人员将首要寄望力集中在了两位记者身上——因为他们曾撰写了一篇攻讦中国当局的报导。
此次变乱正式揭开了由当局鞭策的收集间谍勾当的神秘面纱,黑客集体背后的资本供给也是以变得加倍复杂。除此以外,这一变乱也帮忙我们更加直接地存眷部门关头性安然最好实践,包含对主动收集监控的需求、高强度暗码的首要性和操纵隔离系统保留敏感数据的价值等。报复打击者们操纵数十种自定义歹意软件实施综合性进侵,并将这些软件推向保留每位《纽约时报》员工散列暗码数据库的域节制器傍边。
1.博思艾伦咨询公司——美国***局数据泄漏
安然专家们暗示,前当局事务承包商雇员爱德华·***登泄漏***局监控法度信息的事务证实,对负责保护关头性系统及流程的员工进行严格审查是保障数据安然的首要构成部门。***登是介入高度奥秘安然审查工作的近五十万名承包商雇员之一。虽然在小我简历傍边存在一些标题问题,他最终仍然被博思艾伦咨询公司聘请。他在夏威夷帮忙***局打理相干工作,并获得了12.2万美元的年薪。
此次国安局数据透露变乱据称是因为其他雇员操纵U盘及账户凭证获得了对关头性系统的拜候权。按照报导,***登从国安局处获得了数十万份文件,并随后将这些资料供给给媒体记者,从而证实了国安局在国表里确切展开了大年夜量监控勾当、试图阐发监控对象的收集通信和手机记实。***登的行动激发了遍及的会商***,全球都开端当真思虑当局到底可以或许在如何的程度范围内进行谍报汇集勾当。除暗藏的加密缺点和实施掉误以外,***登事务还大年夜大年夜进步了组织机构对内部威胁防御的存眷程度。别的,他的步履还让更多通俗平易近众意想到美国各大年夜手艺供给商与当局之间的紧密密切协作。总而言之,此次暴光的数据泄漏很可能对此后互联网通信底层系统的完全性与弹性和用于为用户供给隐私级别保障的机制产生重大年夜影响。