万测试验设备
免费服务热线

Free service

hotline

万测试验设备
热门搜索:

2011年上半年5大臭名昭著的数据库泄密事件

发布时间:2020-03-20 10:04:49阅读:来源:万测试验设备

在如今重大数据泄密事件层见叠出的年代,2011年仿佛完全延续了这个趋势:大大小小的企业在遭到数据库泄密事件的重创。据隐私权信息交流中心(Privacy Rights Clearinghouse)宣称,单单2011年上半年就产生了234起泄密事件,受影响的人不计其数。下面看看今年到目前为止影响最大的几起数据库泄密事件,IT安全专业人员应当引以为戒:

1、受害者:HBGary Federal公司   失窃/受影响的资产:60000封机密电子邮件、公司主管的社交媒体帐户和客户信息。

安全公司HBGary Federal宣布打算表露关于离经叛道的Anonymous黑客组织的信息后不久,这家公司就遭到了Anonymous组织成员的攻击。Anonymous成员通过一个不堪一击的前端Web应用程序,攻入了HBGary的内容管理系统(CMS)数据库,盗取了大量登录信息。以后,他们得以利用这些登录信息,闯入了这家公司的多位主管的电子邮件、Twitter和LinkedIn帐户。他们还完全通过HBGary Federal的安全漏洞,得以进入HBGary的电子邮件目录,随后公然兜售邮件信息。

汲取的经验教训:这次攻击事件再一次证明,SQL注入攻击仍是黑客潜入数据库系统的重要手段;Anonymous成员最初正是采取了这种方法,得以闯入HBGary Federal的系统。但要是存储在受影响的数据库里面的登录信息使用比MD5更强大的方法生成散列,这起攻击的后果恐怕也不至于这么严重。不过更使人窘迫的是这个事实:公司主管们使用的密码很简单,登录信息重复使用于许多帐户。

2、受害者:RSA公司

失窃/受影响的资产:关于RSA的SecurID认证令牌的专有信息。

RSA的1名员工从垃圾邮箱文件夹收取了1封鱼叉式网络钓鱼的电子邮件,随后打开了里面含有的一个受感染的附件;结果,这起泄密事件背后的黑客潜入到了RSA网络内部很深的地方,找到了含有与RSA的SecurID认证令牌有关的敏感信息的数据库。虽然RSA从来没有证实到底丢失了甚么信息,但是本周又传出消息,称一家使用SecurID的美国国防承包商遭到了黑客攻击,这证实了这个传闻:RSA攻击者已取得了至关重要的SecurID种子(SecurID seed)。

汲取的经验教训:对黑客们来讲,没有哪一个目标是神圣不可侵犯的,连RSA这家世界上领先的安全公司之一也不例外。RSA泄密事件表明了对员工进行培训有多么重要;如果笨手笨脚的内部员工为黑客完全敞开了大门,一些最安全的网络和数据库照样能够长驱直入。安全专家们还认为,这起泄密事件表明业界想取得行之有效的实时监控,以避免诸如此类的深层攻击偷偷获得像从RSA盗取的专有信息这么敏感的数据,依然任重而道远。

3、受害者:Epsilon

失窃的资产:这家公司2500名企业客户中2%的电子邮件数据库。

营销公司Epsilon从来没有证实它所存储的大量消费者联系人信息当中到底多少电子邮件地址被偷,这些联系人信息被Epsilon用来代表JP摩根大通、杂货零售商克罗格(Kroger)和TiVo这些大客户发送邮件。但是从这家公司的多个客户泄漏出来的泄密事件通知表明,这起泄密事件肯定影响了数以百万计的客户,使得他们在将来面临网络钓鱼和垃圾邮件攻击的风险更大。

汲取的经验教训:Epsilon也没有证实这起攻击的技术细节,但是许多人指明,针对电子邮件营销行业策划的狡猾的鱼叉式网络钓鱼攻击活动可能是造成这次攻击的一个本源,再次强调了对普通员工进行安全意识教育的重要性。不过对企业来讲可能更重要的是这个教训:贵企业在外包时,依然保存这样的风险和责任:保护承包商监控的数据。由于Epsilon这个合作伙伴引发的这起泄密事件,Epsilon的每一个客户仍要自行承当表露和相干本钱。

4、受害者:索尼

失窃的资产:超过1亿个客户帐户的详细资料和1200万个没有加密的信用卡号码。

攻击者得以闯入三个不同的数据库--这些数据库含有敏感的客户信息,包括姓名、出生日期和一部分索尼具有的信用卡号码,这影响了PlayStation网络(PSN)、Qriocity音乐视频服务和索尼在线文娱公司的广大客户。到目前为止,索尼旗下大约九个服务网站因最初的泄密事件而被黑客攻破。

据备受尊崇的安全专家、普渡大学的Gene Spafford博士所作的证词表明,索尼在使用1台过时的Apache服务器,既没有打上补钉,又没有装防火墙--其实早在产生泄密事件的几个月前,索尼就知道了这件事。上周,黑客又往索尼的伤口上洒了把盐:他们再度开始钻PSN的空子,由于索尼明知道黑客已弄到了电子邮件地址和出生日期,还是没有加强密码重置系统。在索尼再次关闭PSN以解决问题之前,不法分子改掉了没有更改与PSN帐户有关联的电子邮件的用户的密码。

汲取的经验教训:在当前这个时代,不重视安全的企业文件会让企业蒙受惨痛损失。据本周的传闻宣称,索尼到目前为止已花掉了1.71亿美元用于泄密事件以后的客户挽救、法律本钱和技术改进--这笔损失只会有增无减。想尽快走出如此严重的泄密事件的阴影,不但需要高昂本钱,而且让企业很为难、有损形象。

5、受害者:得克萨斯州审计办公室

失窃的资产:350万人的姓名、社会安全号码和邮寄地址,另外还有一些人的出生日期和驾驶执照号码。

正是由于得克萨斯州审计办公室的1台没有加密的谁都可以访问的服务器,得克萨斯州三个政府机构的数据库所搜集的敏感信息被泄密了将近整整一年,这三个政府机构是得克萨斯州教师退休中心、得克萨斯州劳动力委员会和得克萨斯州雇员退休系统。据称负责把数据发布到网上的几个员工违背了部门的工作程序,这起泄密事件表露后已被开除。

汲取的经验教训:要是不安装技术性的控制和监管解决方案来认真落实政策和程序,那末政策和程序就没有太大意义。员工能够将数据库信息置于如此不堪一击的险境,证明要是政策不采取"强迫实行的有效手段",会给企业带来多大的风险。得克萨斯州现在因这起泄密事件而面临两起集体诉讼,其中一起要求对该州判以向每一个受影响的人赔偿1000美元的法定处罚--考虑到这起事件影响到数百万人,这笔费用无疑犹如天文数字。文/51CTO

reichertm2摩擦试验机

疲劳试验机公司批发多少钱

落锤式冲击试验机批发供应商哪家好

镜架万能材料试验机