您所在的位置: 首頁(yè) >
新聞資訊 >
威脅情報(bào) >
史上十大數(shù)據(jù)泄露事件及其教訓(xùn)
數(shù)據(jù)泄露等重大網(wǎng)絡(luò)安全事件往往是不斷重復(fù)錯(cuò)誤的過(guò)程。因此,以史為鑒,可以幫助我們從過(guò)去的數(shù)據(jù)泄露事件中吸取寶貴經(jīng)驗(yàn)教訓(xùn)。事實(shí)上,如果企業(yè)遵循簡(jiǎn)單的網(wǎng)絡(luò)安全最佳實(shí)踐,本文列舉的大規(guī)模數(shù)據(jù)泄露事件完全可以避免。
以下,我們根據(jù)數(shù)據(jù)泄露規(guī)模和影響力整理了史上十大數(shù)據(jù)泄露事件,同時(shí)給出了如何防止發(fā)生類(lèi)似泄露事件的建議。
1 雅虎
泄露數(shù)據(jù):30億賬戶
泄露日期:2013年8月
披露日期:2016年12月
雅虎最初在2016年宣布,其2013年的泄露事件僅影響了10億個(gè)賬戶。但在2017年Verizon收購(gòu)雅虎后,有消息稱這個(gè)數(shù)字實(shí)際上是30億。該事件影響了雅虎電子郵件賬戶和其他公司服務(wù),包括Tumblr、Flickr、雅虎夢(mèng)幻體育和雅虎財(cái)經(jīng)。
黑客獲取了雅虎用戶的姓名、出生日期、電話號(hào)碼和密碼,以及用于重置密碼的安全問(wèn)題和電子郵件地址,但沒(méi)有任何財(cái)務(wù)數(shù)據(jù)(例如信用卡號(hào)碼或銀行賬戶詳細(xì)信息)被公開(kāi)。雅虎在最初的披露中宣布,它強(qiáng)制對(duì)所有自2013年以來(lái)更改過(guò)的賬戶進(jìn)行了密碼重置。迄今為止,雅虎尚未披露違規(guī)原因。
如何防止此類(lèi)攻擊:
進(jìn)行持續(xù)的安全監(jiān)控和測(cè)試。
定期執(zhí)行漏洞和滲透測(cè)試,使安全團(tuán)隊(duì)能夠在網(wǎng)絡(luò)犯罪分子利用漏洞之前修復(fù)漏洞。
2 印度政府?dāng)?shù)據(jù)庫(kù)Aadhaar
泄露數(shù)據(jù):11億
泄露日期:未知
披露日期:2018年1月
在印度政府身份數(shù)據(jù)庫(kù)Aadhaar遭到入侵后,11億印度公民的記錄被曝光。雖然印度政府沒(méi)有強(qiáng)制公民在數(shù)據(jù)庫(kù)中注冊(cè),但對(duì)于那些想要訪問(wèn)某些政府資源或援助的人來(lái)說(shuō)是必需的。
《論壇報(bào)》記者僅向黑客支付了500印度盧比(2018年匯率換算約為8美元)就獲得了訪問(wèn)數(shù)據(jù)庫(kù)的賬號(hào)密碼,并報(bào)道了這一泄露事件??晌唇?jīng)授權(quán)訪問(wèn)的數(shù)據(jù)庫(kù)信息包括:姓名、生日、電子郵件地址、電話號(hào)碼和郵政編碼。賣(mài)家向記者提供了一個(gè)軟件(僅需300盧比),可以打印唯一的印度居民身份證。
據(jù)《論壇報(bào)》報(bào)道,賣(mài)方是通過(guò)前Aadhaar員工訪問(wèn)數(shù)據(jù)庫(kù)的犯罪組織成員。ZDNet后來(lái)報(bào)道說(shuō),泄漏發(fā)生在一家國(guó)有公用事業(yè)公司運(yùn)行的系統(tǒng)上,該公司可以通過(guò)用于驗(yàn)證客戶身份的不安全API訪問(wèn)數(shù)據(jù)庫(kù)。
如何防止此類(lèi)攻擊:
遵循API安全測(cè)試最佳實(shí)踐。
使用API安全工具來(lái)降低風(fēng)險(xiǎn)。
堅(jiān)持身份和訪問(wèn)管理最佳實(shí)踐。
執(zhí)行政策以檢測(cè)和防止內(nèi)部威脅。
3 第一美國(guó)金融
(First American Financials)
泄露數(shù)據(jù):8.85億
泄露日期:未知
披露日期:2019年5月
2019年5月,安全研究員布賴恩·克雷布斯(Brian Krebs)報(bào)告稱,保險(xiǎn)公司First American Financials的8.85億份文件在其官方網(wǎng)站上被泄露。這些記錄可以追溯到2003年,包括銀行賬戶信息、社會(huì)安全號(hào)碼、抵押貸款記錄、稅務(wù)文件和駕照復(fù)印件。該網(wǎng)站不需要密碼即可訪問(wèn)這些文件。
First American表示,它“了解到一個(gè)應(yīng)用程序存在設(shè)計(jì)缺陷,可能導(dǎo)致未經(jīng)授權(quán)訪問(wèn)客戶數(shù)據(jù)。”這個(gè)所謂設(shè)計(jì)錯(cuò)誤是不安全的直接對(duì)象引用(IDOR),是一種訪問(wèn)控制漏洞,其中為特定查看者創(chuàng)建了鏈接,但在訪問(wèn)前未驗(yàn)證查看者的身份。
如何防止這種攻擊:
在保護(hù)API時(shí),請(qǐng)牢記IDOR和統(tǒng)一資源標(biāo)識(shí)符。
遵循API安全測(cè)試指南。
4 在線垃圾郵件機(jī)器人
(Onliner Spambot)
泄露數(shù)據(jù):7.11億
泄露日期:未知
披露日期:2017年8月
2017年,安全研究員Troy Hunt報(bào)告稱,總部位于巴黎的安全研究員Benkow發(fā)現(xiàn)了一個(gè)暴露的垃圾郵件服務(wù)器,名為Onliner。Benkow向Hunt提供了垃圾郵件機(jī)器人的7.11億條暴露記錄列表,其中包括電子郵件地址和密碼。
在被發(fā)現(xiàn)之前,Onliner通過(guò)竊取數(shù)據(jù)的特洛伊木馬傳播了至少一年。
如何防止這種攻擊:
要求員工在涉嫌違規(guī)后更改密碼。
強(qiáng)制執(zhí)行企業(yè)密碼策略。
避免重復(fù)使用密碼。
遵循密碼安全衛(wèi)生最佳做法。
5 Facebook
泄露數(shù)據(jù):5.33億
泄露日期:未知
披露日期:2021年4月
2021年,隨著黑客在黑客論壇上發(fā)布了一個(gè)包含5.33億用戶敏感數(shù)據(jù)的泄露數(shù)據(jù)庫(kù),F(xiàn)acebook特大數(shù)據(jù)泄露事件浮出水面。Facebook表示,惡意行為者通過(guò)抓取而不是入侵其系統(tǒng)來(lái)獲取其用戶的電話號(hào)碼、姓名、位置和電子郵件地址。抓取是一個(gè)使用戶和機(jī)器人能夠從公開(kāi)可用的網(wǎng)站中提取數(shù)據(jù)的過(guò)程。
Facebook表示,它認(rèn)為攻擊者使用旨在幫助用戶通過(guò)將帳戶與聯(lián)系人列表關(guān)聯(lián)起來(lái)來(lái)找到朋友的功能來(lái)抓取數(shù)據(jù)。該公司在發(fā)現(xiàn)該功能被惡意使用后于2019年9月更改了該功能,以防止將來(lái)被抓取。
如何防止這種攻擊:
降低與抓取相關(guān)的風(fēng)險(xiǎn)。
實(shí)施DevSecOps策略。
6 雅虎
泄露數(shù)據(jù):5億
泄露日期:2014年11月/12月
披露日期:2016年9月
雅虎的獨(dú)特之處在于,它不僅在大規(guī)模數(shù)據(jù)泄露榜單獨(dú)占鰲頭,而且還是唯一占據(jù)兩個(gè)席位的公司。
雅虎在2016年宣布,其5億賬戶在2014年的國(guó)家黑客攻擊中遭到入侵。雅虎表示,被盜信息可能包括姓名、電子郵件地址、生日、電話號(hào)碼和散列密碼。2018年,卡里姆·巴拉托夫(Karim Baratov)因幫助俄羅斯情報(bào)人員訪問(wèn)“相關(guān)個(gè)人”賬戶而被判五年徒刑。
雅虎在內(nèi)部調(diào)查后將這次攻擊歸因于魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件。
如何防止這種攻擊:
遵循最佳實(shí)踐來(lái)準(zhǔn)備網(wǎng)絡(luò)釣魚(yú)攻擊。
制訂網(wǎng)絡(luò)安全意識(shí)培訓(xùn)計(jì)劃。
7 FriendFinder
泄露數(shù)據(jù):4.12億
泄露日期:未知
披露日期:2016年11月
2016年的一次泄露暴露了成人數(shù)據(jù)和娛樂(lè)公司FriendFinder Networks的4.12億用戶帳戶。泄露的內(nèi)容包括20年來(lái)的用戶名、電子郵件地址、密碼和其他敏感信息,以及仍在其系統(tǒng)中的1500萬(wàn)個(gè)已刪除帳戶。
研究人員從公司的生產(chǎn)環(huán)境中找到了源代碼,以及在網(wǎng)上泄露了的公鑰和私鑰對(duì)。該公司向ZDNet證實(shí),它修復(fù)了一個(gè)可以訪問(wèn)源代碼的注入漏洞。
如何防止這種攻擊:
使用源代碼最佳實(shí)踐。
保護(hù)您的公鑰基礎(chǔ)設(shè)施。
測(cè)試Web應(yīng)用程序和注入漏洞。
8 萬(wàn)豪國(guó)際
泄露數(shù)據(jù):3.83億
泄露日期:2014
披露日期:2018年11月
酒店供應(yīng)商萬(wàn)豪國(guó)際集團(tuán)已經(jīng)多次被黑客光顧,但規(guī)模最大的一次數(shù)據(jù)泄露發(fā)生在2018年,攻擊者從四年前開(kāi)始訪問(wèn)其喜達(dá)屋賓客數(shù)據(jù)庫(kù)。暴露的記錄包括姓名、電話號(hào)碼、護(hù)照詳細(xì)信息、郵寄和電子郵件地址、客人的抵達(dá)和離開(kāi)信息(在某些情況下,還包括加密的信用卡號(hào)碼)。
該漏洞是在其內(nèi)部安全系統(tǒng)發(fā)出警報(bào)后發(fā)現(xiàn)的。攻擊者已入侵?jǐn)?shù)據(jù)庫(kù)并加密和泄露敏感數(shù)據(jù)。萬(wàn)豪最初認(rèn)為該漏洞泄露了5億客人的信息,但經(jīng)過(guò)進(jìn)一步內(nèi)部調(diào)查,該公司宣布該漏洞影響了約3.83億客人。然而,泄露的原因仍然未知。萬(wàn)豪在2016年收購(gòu)了喜達(dá)屋,但截至2018年尚未將其遷移到萬(wàn)豪的系統(tǒng);喜達(dá)屋數(shù)據(jù)庫(kù)繼續(xù)使用遺留的IT基礎(chǔ)設(shè)施。
如何防止這種攻擊:
定期更新IT基礎(chǔ)架構(gòu)。
實(shí)施補(bǔ)丁管理程序。
讓CISO參與并購(gòu)規(guī)劃。
9 Twitter
泄露數(shù)據(jù):3.3億
泄露日期:未知
披露日期:2018年5月
2018年Twitter建議其超過(guò)3.3億用戶更改密碼,據(jù)稱是因?yàn)槁┒磳?dǎo)致一些密碼以明文形式存儲(chǔ)在內(nèi)部日志系統(tǒng)中。該公司表示自己發(fā)現(xiàn)了這個(gè)漏洞,并且已經(jīng)刪除了未經(jīng)哈希處理的密碼,并采取了措施防止未來(lái)出現(xiàn)故障。
目前尚不清楚密碼暴露了多長(zhǎng)時(shí)間以及有多少用戶受到影響。該社交網(wǎng)絡(luò)表示,沒(méi)有證據(jù)表明密碼被惡意訪問(wèn)。
如何防止這種攻擊:
遵循補(bǔ)丁管理最佳實(shí)踐。
考慮創(chuàng)建一個(gè)企業(yè)漏洞賞金計(jì)劃。
10 微軟
泄露數(shù)據(jù):2.5億
泄露日期:2019年12月
披露日期:2020年1月
微軟在2020年披露,時(shí)間跨度長(zhǎng)達(dá)14年的2.5億條客戶服務(wù)和支持記錄在網(wǎng)上泄露。該公司表示,個(gè)人數(shù)據(jù)在存儲(chǔ)之前已從記錄中刪除,但一些明文電子郵件和IP地址被暴露。微軟表示,它沒(méi)有發(fā)現(xiàn)惡意使用這些記錄的跡象,這些記錄暴露了不到一個(gè)月。
微軟將此次違規(guī)歸因于內(nèi)部數(shù)據(jù)庫(kù)安全規(guī)則的錯(cuò)誤配置。
如何防止這種攻擊:
遵循企業(yè)數(shù)據(jù)庫(kù)安全最佳實(shí)踐。
采用零信任模式。
來(lái)源:GoUpSec