2017年上半年數(shù)據(jù)泄露持續(xù)加速,根據(jù)來自Identity Theft Resource Center和CyberScout的報告,數(shù)據(jù)泄露事件的數(shù)量增加了29%達到791個。今年我們不僅看到了一些熟悉的泄露目標,其中就包括信用卡和社會保障號碼,而且還有一些攻擊是針對第三方數(shù)據(jù)聚合商和可能為第二波攻擊提供信息的公司。本文中,我們列出了一些重大數(shù)據(jù)泄露事件,在2017年誤配置或者安全性不夠的云服務(wù)器(甚至都不明確數(shù)據(jù)是否真的發(fā)生了泄露)導(dǎo)致大規(guī)模安全事件數(shù)量的增加導(dǎo)致。當我們步入2017年下半年的時候,先來看看上半年發(fā)生了哪些重大的數(shù)據(jù)泄露和安全事件。
10、Arby's
快餐巨頭Arby's在今年2月宣布早于安全漏洞的打擊,主要是由于安裝在該公司POS系統(tǒng)上的惡意軟件。Arby's公司表示,該事件影響到全美3300個地點中的大約1000個,主要是公司門店(特許經(jīng)營點似乎沒有受到影響)。被盜的信息包括從2015年10月26日到2017年1月19日在門店使用的信用卡和借記卡數(shù)據(jù)。Arby's公司表示,他們已經(jīng)從POS系統(tǒng)中刪除了惡意軟件,并聘請了Mandiant等安全專家調(diào)查該事件。
9、OneLogin
OneLogin是一家單一登錄、身份和訪問管理公司,該公司在6月宣布發(fā)生數(shù)據(jù)泄露事件。OneLogin表示,有一個黑客獲得了一組AWS密鑰,這些密鑰允許黑客通過AWS API訪問OneLogin公司基礎(chǔ)設(shè)施的多個實例。OneLogin表示,他們已經(jīng)停止數(shù)據(jù)庫活動和密鑰,建議客戶除了常規(guī)的重設(shè)密碼之外,還需要采取其他措施,包括生成新的API密鑰、OAuth令牌、安全證書和憑證,并讓最終用戶更新密碼。
8、電子競技娛樂協(xié)會(ESEA)
電子競技娛樂協(xié)會(ESEA)曾在去年12月宣布被黑客入侵,隨后視頻游戲玩家的信息在1月泄露。這次黑客攻擊涉及到的數(shù)據(jù)庫中包括有150萬訂購了這家視頻游戲公司游戲的玩家信息,包括注冊日期、地點、最近一次登錄、用戶名、姓名、電子郵件地址、出生日期、郵政編碼、電話號碼、網(wǎng)站鏈接、Steam ID、Xbox ID和PSN ID。據(jù)報告,黑客要求至少支付5萬美元的贖金才能對這次攻擊事件保持沉默。該公司拒絕了這些要求。
7、道瓊斯公司
道瓊斯公司在7月表示,在一臺AWS S3服務(wù)器上近220萬名訂閱者的記錄被盜取。道瓊斯公司擁有多個知名出版物,包括華爾街日報、巴倫雜志和道瓊斯新聞等。有安全研究人員表示,泄露的記錄數(shù)量可能會多達400萬訂閱者。雖然還不清楚黑客是否已經(jīng)訪問了這些記錄,但是任何AWS認證用戶已經(jīng)可以公開查看這些記錄。該數(shù)據(jù)庫中包含客戶姓名、道瓊斯內(nèi)部客戶ID、家庭和公司地址、客戶信用卡的后四位數(shù)字、電子郵件地址。
6、世界摔跤協(xié)會(WWE)
摔跤迷們的個人信息在7月被泄露,因為一個包含有多達300萬用戶信息的數(shù)據(jù)庫保存在了一個為受保護的AWS S3服務(wù)器上。雖然還沒有明確證據(jù)表明黑客已經(jīng)訪問了這些數(shù)據(jù),但這些數(shù)據(jù)是以明文形式保存的,沒有用戶名或者密碼,任何訪問該站點的人都可以訪問這些數(shù)據(jù)。可能泄露的數(shù)據(jù)包括姓名、教育背景、收入、種族、家庭、電子郵件地址以及使用者子女的年齡范圍。安全研究人員還發(fā)現(xiàn)了另一個WWE數(shù)據(jù)庫的安全性堪憂,其中保存在歐洲摔跤迷們的信息,因此WWE就遷移到了這個安全措施不當?shù)腁WS S3服務(wù)器上。
5、America's JobLink
America's JobLink在3月宣布有大約480萬個帳戶遭遇黑客入侵影響,求職者們的信息發(fā)生泄露。該公司表示,黑客獲得了關(guān)于用戶的個人信息,包括全名、出生日期和社會保障號碼。受影響的用戶覆蓋阿拉巴馬州、阿肯色州、亞利桑那州、特拉華州、愛達荷州、伊利諾伊州、堪薩斯州、緬因州、俄克拉荷馬州和佛蒙特州。America's JobLink公司還表示,2016年10月的一次代碼誤配置導(dǎo)致這次泄露事件的發(fā)生,該配置錯誤已經(jīng)得到了修正。
4、堪薩斯州商務(wù)部
堪薩斯州商務(wù)部的數(shù)據(jù)庫遭遇黑客入侵,有超過550萬人的個人信息發(fā)生泄露。該數(shù)據(jù)庫被多個網(wǎng)站用來幫助人們求職,其中包含有超過16個州的人員信息。泄露的數(shù)據(jù)包括社會保障號碼、以及沒有包含在SSN中85萬個額外帳號的個人信息。
3、Verizon
7月份,有報道稱1400萬Verizon客戶的個人數(shù)據(jù)發(fā)生泄露,這個事件讓遷移數(shù)據(jù)保護措施到云中的重要性變得更加突顯出來。該事件最早被研究公司UpGuard發(fā)現(xiàn),涉及到技術(shù)提供商Nice Systems,讓Verizon客戶數(shù)據(jù)在AWS S3存儲實例中沒有得到充分的保護。泄露數(shù)據(jù)涉及姓名、電話號碼和可能用于訪問Verizon帳戶的PIN。報告并沒有提到黑客是否訪問了這些數(shù)據(jù),只是說數(shù)據(jù)曝光,跳轉(zhuǎn)到未恰當配置的云驅(qū)動器的簡單URL可訪問這些數(shù)據(jù)。報告稱,受影響的訂閱帳戶占到了Verizon公司1.08億總訂閱用戶中的大約10%,主要是那些在過去6個月中調(diào)用Verizon客戶服務(wù)線的訂閱者。
2、鄧白氏(Dun & Bradstreet)
3月,一個商業(yè)企業(yè)數(shù)據(jù)庫的泄露事件引發(fā)了人們對第三方廠商風(fēng)險的關(guān)注。鄧白氏公司的一個大約52GB的數(shù)據(jù)庫發(fā)生泄露,有將近3370萬獨有電子郵件地址和聯(lián)系信息曝光。該數(shù)據(jù)庫中還包含姓名、職稱、工作職能、工作電子郵件、手機號以及常見公司信息。該數(shù)據(jù)庫匯集了公司及其員工的信息,然后大量或者部分售賣給營銷人員或者其他企業(yè)用于有針對性的銷售活動。報道指出,這個泄露的數(shù)據(jù)庫中包含了AT&T、波音、戴爾、聯(lián)邦快遞、IBM和施樂等大公司的數(shù)萬名員工信息,此外還有各種政府機構(gòu)雇員的廣泛記錄,其中就有美國國防部的10萬多雇員。
1、美國共和黨全國委員會承包商
6月,安全研究人員發(fā)現(xiàn)有將近2億人的投票信息泄露,主要是由于美國共和黨全國委員會的承包商Deep Robot Analytics誤配置數(shù)據(jù)庫所導(dǎo)致,這些數(shù)據(jù)保存在了一個可公開訪問的云服務(wù)器上,托管在AWS S3中。泄露的1.1TB數(shù)據(jù)包含超過1.98億美國選民的個人信息,姓名、出生日期、家庭地址、電話號碼、選民登記詳情等。UpGuard表示,這個數(shù)據(jù)存儲庫“缺乏任何數(shù)據(jù)訪問保護”,任何可以訪問互聯(lián)網(wǎng)的人都可以下載這些數(shù)據(jù)。雖然還不清楚是否有人不當?shù)厥褂昧诉@些數(shù)據(jù),但是當時的合作伙伴表示,該事件顯示了有徹底云安全防護措施的重要性。