美国信用服务公司Equifax的数据库遭到黑客攻击并泄露
上周,美国信用服务公司Equifax的数据库遭到黑客攻击并泄露,危及美国1.43亿用户敏感数据安全,引发社会一片混乱、恐慌和愤怒。
据悉,此次数据泄漏事件的起因与此前无数次泄漏事件一样,都是由于Web应用程序再次出现安全漏洞,致使攻击者有机会入侵大型公司的系统,并在两个多月的时间内渗透出大量数据,而没有触发任何安全警报。
近年来,这种形式的入侵事件非常普遍,至少从安全防范的角度来说,真的无法从这些泄漏事件中吸取什么其他新的教训了。
此外,Equifax泄漏数据的规模也引发了社会极大的关注。泄漏行为可能危及美国近一半人口的社会保障号码、驾驶证号码以及其他个人数据的安全。
不久的将来,这些受害者或将面临身份盗用以及财务欺诈的可能性。
而引起民众愤怒的原因又是什么呢?正是Equifax公司存在明显的安全失误才最终导致如此大规模的数据泄漏案发生。
很多人认为,Equifax公司作为美国处理重要个人隐私信息的大型企业,应该要特别小心地存储和保护这些数据。
但是,现实是,正是由于它未能解决本该知晓并解决的Apache Struts安全漏洞,才致使此次泄漏事件出现。
目前,很多文章都已经提及“威胁行为者正在开发利用更为致命的攻击武器,着手部署日益复杂的攻击行为”。
然而,令人沮丧的现实是,攻击者只需要部署一些基础工具或技术,就能够成功实施破坏力极强的攻击活动。
正如SentinelOne公司安全策略主管Jeremiah Grossman所说的那样,“其实这些安全事故我们都是有能力阻止的如果我们回顾一些数据泄漏历史的话会发现,几乎所有泄漏事件都是借助了漏洞或攻击技术。
而关于这些被攻击者成功利用的漏洞的所有信息我们其实都知道——包括如何防止他们以及如何检测并修复它们。但是了解一切的我们却并没有付之行动,致使攻击者有机可乘。”
下面我们就总结了Equifax数据泄漏事件引发的7点思考,希望大家引以为戒:
近年来,应用程序级漏洞造成的数据泄漏事件远远超过其他任何向量。Equifax公司也是将其遭到黑客入侵的责任归咎于应用程序的安全问题,但该公司尚未指明究竟是哪款应用程序的具体什么问题。
但是,Baird Equity研究人员认为,这个问题就是Java应用程序的开源Apache Struts框架中已知的安全漏洞。
如果这一说法准确的话,那么正如大多数安全分析人员所说的一样,该应用程序漏洞是Equifax公司本该知道并可以解决的问题。
错误的Web应用程序构成的威胁,以及易受攻击的应用程序的数量都是众所周知的事实。
开放Web应用程序安全项目(OWASP)的“Top Web应用程序安全漏洞列表”在过去几年中已经包含了或多或少相同的问题——这意味着人们有足够的时间来解决这些问题。
然而,正如像Equifax这样的大规模数据泄漏案一样,过去几年已经有无数次类似的违规行为在向我们敲响警钟,但是我们许多人都选择了忽略、遗忘,于是,历史开始一遍遍重演。
2. Equifax公司将为应用安全问题付出沉重代价
近年来,已经有无数组织为发生数据泄漏事件付出了惨重的代价。
重大数据泄漏带来的直接和间接成本包括,安全通知、修复、信贷监控、法律诉讼、罚款以及生产力下降等问题,造成的损失共计约数千万甚至数十亿美元。
近年来的那些数据泄漏案及损失成本:
2014-2015年,美国人事管理局发生两次数据泄漏,造成现任和退休联邦雇员超过2210万相关个人信息和560万指纹数据遭到泄露,预计损失达到10亿美元;
2013年的Target数据泄漏事件,超过1亿用户的信用卡、卡号、户主、地址、邮件地址以及电话被曝光,预计损失成本为2.92亿美元;
2014年,美国最大的家庭装饰品与建材零售商家得宝(Home Depot)遭遇数据泄漏,损失成本为1.98亿美元;
2015年,美国国家第二大医疗保险公司Anthem遭遇攻击,泄漏8000万客户个人信息,损失成本达1.15亿美元;
TJX 和Heartland支付系统,多年来遭遇多次支付卡信息泄漏事件,最终分别支付了2.5亿美元以及1.4亿美元才平息这些事件造成的后果。
相比之下,Equifax公司1.43亿的数据泄漏事件有可能助其成为“有史以来泄漏数据规模最大的公司”,所有潜在的损失成本可能会远远高出上述的任何数字。
3. 是时候停止使用SSN(社会保障号码)作为标识符了
为什么会发生如此多类似的泄漏事件的一个重要原因就是,绝大多数私营和公共部门组织正在继续使用“社会保障号码”(Social Security Numbers,简称SSN)作为身份标识符。
尽管大家都知道,被盗的社会保障号码可以广泛地运用于身份盗用和财务欺诈目的,但是这串数字还是始终用于几乎所有可以想到的地方,包括医疗保健、交通、社会保障福利、金融服务以及抵押贷款有关的身份认证等域。
这些社会保障号码对个人而言都是独一无二的,这就意味着,一旦发生泄漏,随之而来就是发生针对受害者的身份盗用以及财务欺诈行为。
过去几年,试图消除政府机构过多收集以及滥用SSN的努力一直没有停止过,甚至有人试图通过法律法规来要求政府实体采用其他替代标识符。
但是,根据美国政府问责局(GAO)今年早些时候的研究发现,即便斗争了10年之后,SSN仍然在政府机构内广泛应用,甚至包括私营部门的情况也是一样。
对于遭受数据泄漏的企业来说,为受害者提供为期一年的免费信用监控服务仿佛已经成为一个约定俗成的标准。Equifax公司也已经这么做了。
虽然说提供这样的监控服务比什么都没有好,但是,说到底,它其实并不能起到多少作用。
像你的社会保障号码以及出生日期等数据并不会随着时间发生变化。只要它暴露在外,只要有组织机构继续使用它们作为身份标识符,那么,无论在数据泄漏时间发生多久后,它都能够被滥用。
绝对不可能说,经过一年后,你的数据被滥用/盗用的风险会突然停止。这就意味着,一旦为期一年的免费服务终止后,你就需要冻结自己的信用或是自己花钱继续信用监控服务,来尽可能的保障自身安全。
最重要的是,事实上,信用监控服务对于防止身份窃贼盗取你的身份基本起不了什么作用。你可以从这些服务中获得最多的希望是:一旦有人窃取你的身份,你可以收到通知。此外,这些服务还可以帮助受害者从身份盗用中恢复。
攻击者利用窃取的个人身份信息(PII),例如社会保障号码、出生日期以及驾驶证 数据来实施身份盗窃或财务欺诈等行为,对于违规行为的受害者而言,可能会造成非常沉重的代价,正如我们在第2条中所讨论过的。
但是,根据Secureworks的研究结果显示,目前,在地下黑市上,包含全套个人信息的档案——即黑话所说的Fullzinfo(指包含了所有的信息:全名、账单地址、支付卡号、有效期、PIN码、社保号、母亲姓、出生日期、CVV2)比其他类别的信用卡数据更便宜。
根据出售者、受害者国家不同,一般而言,一个Fullzinfo可以卖到大约10美元,而每张信用卡或高额余额的借记卡在暗网上大约可以卖到20美元。
尽管从欺诈者的角度来看,个人信息记录的上涨空间更大,但是它之所以更便宜的一个原因,可能是因为身份冒用欺诈比信用卡欺诈更难奏效。
6. 为期40天的披露滞后将不再试用GDPR最新规定
Equifax公司于7月29日首次发现了入侵行为,但是直至9月7日才正式对外披露。这意味着,在这为期40天的周期内,该公司知道数千万社会保障号码以及其他敏感个人数据存在被盗用的可能性,但是却没有通知受害者知晓。
泄漏事件披露法通常要求尽快通知受害者知晓,除非数据受到了良好的保护(例如有强大的加密保护),或是披露会影响正在进行的调查等类似有限的原因下可以延迟通知受害者。
但是明年5月将正式启动的《欧盟一般数据保护法案》(GDPR)中引入了一条强制数据泄露通告:要求遭受安全事件并导致个人身份信息泄露的公司,需要在事件发现后72小时内,将事件报告给他们指定的数据保护机构。
到时候,像Equifax这样的公司如果恰好有处理数据欧盟居民的数据,就无法在实行为期40天的披露延缓计划,而必须在72小时内将有关事件上报相关的数据保护机构。
对于许多企业来说,这一法案的实施将意味着,他们必须大幅调整和更新现存的违规响应和通知流程。
Zenedge公司创始人兼首席运营官Alp Hug表示,像最近的Equifax攻击事件以及去年针对DNS服务提供商Dyn的DDoS攻击事件,都造成了许多重要站点的服务中断。这表明,威胁行为者已经将焦点转向更大更有影响力的目标之上。
赛门铁克最近发布的关于“蜻蜓”(Dragonfly)APT组织的分析结果显示,他们现在已经具备篡改控制美国电网的系统的能力,而这无疑是加剧了我们对于网络安全现状的担忧。
Hug指出,“越来越多的攻击者将把目标瞄准更强大、更具挑战性以及影响力的企业!当你可以关闭整个大陆的网络,谁还会单单去攻击一个核电站的系统?当你能够从制造商入手控制所有的物联网设备,你还会去入侵一家医院以及设备吗?”
对于Hug的问题,答案是很显然的,也是非常令人惊恐的!威胁行为者正在强化自身能力,而正是我们对安全问题的忽视和“侥幸心理”,一点点喂大了他们极具膨胀的野心,使其成为不断威胁我们人身、财产安全的“恶魔”!
变身安全“超人”,对战威胁“小怪兽”你准备好了吗?一天进步一点点,现在就从设置一个强大的密码开始做起吧~~~
- 推荐阅读 -
☞【安在专访】做一件事要多久?张耀疆说,十年
