湯姆資料庫
Ⅰ 最近幾年資料庫泄漏事件
泄露事故統計數字正在逐步下降,但數據仍然面臨著由資料庫、應用以及終端保護不當所引發的嚴重風險。
從多個角度來看,2013年的數據泄露趨勢已經得到有效扼制,這對於安全行業來說當然是個好消息。不同於過去四到五年,今年的記錄當中不再充斥著大型資料庫泄露所導致的數以千萬計個人身份信息的外流。根據隱私權信息交流中心的調查,本年度公開報道的泄露事故數量及記錄在案的泄露事故數量雙雙呈下降趨勢。去年同期,得到確切統計的記錄泄露數量已經達到約278萬條,漏洞報告則為637份。而在今年,目前為止記錄在案的泄露事故約為107萬條,漏洞報告則為483份。這充分證明整個安全行業在合規性與安全最佳實踐方面所迎來的進步——然而這樣的戰績與理想目標相比仍然相去甚遠。
在對年初至今的數字進行比較時,我們發現記錄在案的泄露事故數量大幅降低了61.7%,然而報告提及的泄露事故數量則僅降低了24.2%。這表明泄露事故仍然快速發生——只不過如今的犯罪活動及違規事件開始逐步擴散而非集中於一點。泄露事件影響范圍更小,而且根據安全業內人士的說法,此類惡意活動的目標也更為廣泛。現在犯罪分子開始更多地竊取IP或者其它數字資產,由此引發的損失可能比客戶記錄本身更為嚴重——同時這也更加難以量化,無法提供頭條新聞所必需的統計結果。
通過對今年發生的泄露事故的深入鑽研,我們發現安全行業明顯仍有大量工作要做。2013年的追蹤記錄證明,有價值資料庫仍然沒有受到嚴格保護與加密、應用程序仍然存在大量安全漏洞、用戶們則仍然能夠從敏感資料庫中下載大量信息並將其保存在缺乏保護的終端當中。為了幫助大家更好地理解當前安全形勢,我們選取了幾項最具代表意義的實例,希望各位能夠從中吸取可資借鑒的教訓。
當事企業: CorporateCarOnline.com
泄露統計: 850,000份記錄被盜
事故細節:作為全美最具知名度的專業體育、娛樂外加五百強企業,CorporateCarOnline.com擁有大量用戶個人資料、信用卡號碼以及其它個人身份信息,然而由於其開發出的全球豪車租賃SaaS資料庫解決方案將全部信息以純文本形式儲存,最終導致這一切成為犯罪分子的囊中之物。名單中涉及不少大牌,包括湯姆·漢克斯、湯姆·達施勒以及唐納德·特朗普等。
經驗教訓:最重要的教訓在於認清這樣一個現實:面對極具價值的財務與社會工程信息,攻擊者們會爆發出極為可怕的技術能量。根據KrebsOnSecurity.com網站的調查,目前遭遇過違規活動的美國運通卡當中有四分之一為高額度甚至無限額度卡片,而且企業間諜分子或者娛樂小報記者也希望通過這類個人信息挖掘到有價值結論。與此同時,該公司在管理收支賬目時完全沒有考慮過信息安全性,甚至從未嘗試採取任何最基本的加密措施。
當事企業: Adobe
泄露統計: 約三百萬個人身份信息、超過1.5億用戶名/密碼組合以及來自Adobe Acrobat、ColdFusion、ColdFusion Builder外加其它未說明產品的源代碼慘遭竊取。
事故細節: 自最初的違規事件發生之後,接踵而來的更多攻擊活動持續了一個多月之久,並最終導致了此次重大事故的發生。目前情況已經明確,Adobe正在努力恢復其失竊的大量登錄憑證信息——更令人驚訝的是,連其產品源代碼也一並泄露。
經驗教訓: 通過Adobe遭遇的這一輪震驚世界的攻擊活動,我們不僅切身感受到攻擊者在企業網路中建立根據地並奪取了整套業務儲備控制權後所能帶來的損害,同時也應學會在考慮將供應商引入軟體供應鏈之前、考察對方在安全領域營造出了怎樣的企業生態。作為此次泄露事故的後續影響,其潛在後果恐怕在很長一段時間內都無法徹底消除。
當事企業: 美國能源部
泄露統計: 53000位前任及現任能源部員工的個人身份信息遭到竊取
事故細節: 攻擊者將矛頭指向了DOEInfo——該機構利用ColdFusion所打造的、已經棄之不用的CFO辦公室公開訪問系統。能源部官員表示,此次泄露事故只限於內部員工的個人身份信息。
經驗教訓: 我們從中應該吸取兩大教訓。首先,安裝補丁過去是、現在是、未來也將一直是最為重要的安全任務。其次,各機構必須通過重新審視與敏感資料庫相對接的系統最大程度減少攻擊面,保證只向公眾開放必要的網站。
當事企業: Advocate Medical Group
泄露統計: 四百萬病人記錄遭到竊取
事故細節: 僅僅由於犯罪分子從辦公室里偷走了四台由該公司擁有的計算機,最終導致了這起四百萬病人記錄丟失的事故——公司官方將此稱為自2009年衛生部強制要求通告安全事故以來、美國發生過的第二大醫療信息泄露案件。
經驗教訓: 醫療行業的數據泄露事故在2013年的違規披露名單當中一直占據主導,但這一次的案件造成的影響顯然特別惡劣。僅僅由於一台物理計算設備失竊就最終導致從上世紀九十年代至今的病人記錄泄露,這充分暴露了該公司在物理安全、終端安全、加密以及數據保護等各個方面的全線失誤。需要強調的是,終端設備被盜與丟失在醫療行業中已經屢見不鮮。現在這些機構可能需要盡快思考終端設備到底能夠下載並保存多少來自中央資料庫的信息。