【51CTO.com不可否认,一旦任何公司遭遇数据泄露事件,都将涉及到公司形象、财务收入、市场份额和用户信任的巨大损失。事实上,一些重大的安全事故往往是由许多不同安全水平的微妙漏洞组成的。不幸的是,即使是世界上那些著名的大公司也不能孤单。在本文中,我将为您选择和解释行业九大知名数据泄露和 *** 安全事件,以方便您的企业“有则改之,无则加勉”。
1. Clearview AI
Clearview AI它是一家有争议的初创公司,直接收集了数十亿张公共和可用的照片,为其面部识别平台提供材料。2020年2月,入侵者在发现平台漏洞后获得了客户列表访问权。虽然与下面提到的其他数据泄露事件相比,公司泄露的2200名客户名单很小,但BuzzFeed新闻发现,Clearview AI客户群包括百思买等大型零售商,其个人签约客户遍布全球27个国家。因此,执法机构仍受到处罚。后来,公司及时修复了攻击系统和相关漏洞。
2. First American Financial Corporation
First American Financial Corporation(之一美国金融公司)是美国财富500强中的大型房地产保险公司。由于房地产交易的性质,First American Financial存储在其网站上的文件包括大量高度敏感的信息,如驾照、电汇交易、社会保障号码和银行账户。
因为网站不需要任何身份验证来查看相关数据,所以知道它的文档URL人们可以通过简单地更改链接中的数字部分来跳转访问其他文档。自2003年以来,攻击者已经这个漏洞成功访问了超过8.85记录敏感数据1亿条。
20195月,一名房地产开发商Ben Shoval发现了这个问题。由于无法得到公司的回应,他问KrebsOnSecurity寻求帮助。First American Financial文档网站随后被禁用,设计缺陷得到了解决。
3. Facebook
众所周知,Facebook经历了几轮数据泄露。在这里,我们关注第三方Facebook一系列由应用引起的事件。
传媒组织Culture Colectiva有一个公共访问可供公众访问。Amazon S3 bucket,它可以访问包括Facebook ID、各种信息,包括用户名和社交媒体活动(如评论)。然而,在最近的一次大规模泄露中,它们暴露了146 GB体量的5.4数据记录亿条。
另一个类似的数据泄露事件是:一个名称“At the Pool”该应用程序暴露了2.2万用户的用户名、密码和其他登录信息。该应用程序也依赖于公开访问Amazon S3 Bucket备份数据,其存储区域的数据以纯文本的形式存储(https://www.xplenty.com/blog/why-pseudonymization-is-critical-for-large-enterprises/)。除了用户在该应用程序中注册的详细信息外,该数据库还包含了Facebook的用户ID、偏好、兴趣、组别等社交活动。
Culture Colectiva他们的反应滞后了四个月。S3 Bucket安全加固“At the Pool”它可以在任何安全组织发出警告之前悄悄解决漏洞。
4. MongoDB数据库
2019五月,由于缺乏保护,MongoDB该公司拥有的未指定所有者的数据库泄露了超过10亿条数据记录。Security Discovery的研究员--Bob Diachenko首先发现其中一个包含超级2.75记录了1亿个数据库。这些数据主要涉及印度公民的姓名、电子邮件、工作经验、出生日期和各种专业细节。MongoDB这些数据库使用Amazon AWS托管模式持续了两周多。黑客组织Unistellar发现后,立即攻击数据库并删除相关记录。
通过持续调查,Diachenko另外四个发现了大规模数据泄漏的威胁MongoDB数据库。这些数据库存储超过8.081亿封电子邮件,2亿份简历,7700万份个人信息记录。这些都是由于数据库管理员(而不是技术本身)的错误造成的MongoDB例子没有设置密码,也没有通过保护性配置选项来阻止此类攻击。可以看出,遵循数据库管理的更佳实践对数据安全至关重要。
5. Equifax
Equifax它是世界领先的消费者信用报告机构之一,收集了数百万美国公民和企业的敏感信息。近一半的美国公民和一些加拿大和英国公民的记录在2017年9月的一次数据泄露中被盗。具体内容包括社会安全号码、驾照号码、信用卡号码、地址等个人信息。美国国会、联邦贸易委员会、SEC等部门联合调查了攻击。据报道,黑客通过使用它。Apache Struts CVE-2017-5638在过去的两个月里,Equifax信用纠纷的应用。虽然漏洞已经存在Equifax前一轮黑客攻击以补丁的形式修复,但公司未能加强所有应用系统。
值得一提的是,这些数据泄露的后果对消费者来说非常严重。他们不仅可能失去工作机会,而且不能使用贷款产品和信用卡,甚至在他们的信用报告中得到负分。消费者只能通过冻结信用报告,并积极监控其信用的变化来发现任何盗窃行为。
6. Capital One
作为更大的信用卡发行商之一,Capital One记录着1.061亿客户的违约记录。但2019年7月,前软件工程师Paige Thompson使用她的AWS专业知识,使用错配的应用级防火墙,成功访问Capital One服务器。该服务器包括来自信用卡应用程序、大量来自美国和加拿大客户的社会保险号码、银行账户、信用评分和个人信息。这些数据跨越了十多年的信息记录,非常有价值。
Paige曾在GitHub、Twitter和Slack许多其他帖子详细说明了她如何获得服务器的访问权限。虽然她不知道分发社会保险号码和个人信息的真正动机,但她最终承认使用它Capital One漏洞窃取信息的事实被捕。
7. US Office of Personnel Management
2015年,US Office of Personnel Management(OPM,服务器上2000万人的数据被盗。
虽然与其他大规模泄漏相比,曝光的记录较少,但就数据内容的重要性而言,这是一个严重的事件。其中,泄露的文件主要用于向联邦 *** 获得安全许可SF-86该表格包含大量敏感信息,如申请人指纹。
OPM的IT早在2014年3月,该部门就发现了一些异常迹象。然而,由于无法确定攻击者是如何进入系统的,以及谁参与了系统,他们只能继续监控黑客的活动。不幸的是,这种 *** 适得其反。攻击者迅速建立了后门,即使系统被重置。从2013年11月到2015年4月,内政部服务器上的数据盗窃。
攻击的影响包括:国会调查、工会诉讼和OPM领导辞职等。中情局最终认定,缺乏双因素身份验证是这次漏洞攻击的罪魁祸首。
8. Uber
2016年,一个由两名黑客组成的团队Uber进行攻击。他们通过获得一个包含Uber第三方服务器对用户数据的权限Uber客户和司机的记录泄露了5700万份,包括60万份驾照。
值得注意的是,Uber前首席安全官实际上选择通过该组织的漏洞奖励计划向黑客支付10万美元的赎金。他还阻止了联邦贸易委员会的调查,以掩盖他的违规行为。他目前被指控阻碍调查,并正在接受审判。
9. Yahoo
Yahoo2013年发生的数据泄露因其暴露的记录量而令人难忘。该公司的300万账户数据是本次攻击的重灾区,包括哈希处理的生日、姓名、电子邮件地址等信息。Yahoo漏洞直到2016年才公布,受影响的用户范围直到2017年才公布。Yahoo认为有国家资助的黑客是通过现有数据创建的Web Cookie。因此,他们可以访问用户的帐户,而无需密码。攻击发生两年后,直到一些数据在暗网上出售,Yahoo才发现事件。
解决您的 *** 安全漏洞
综上所述,即使是著名的大公司,如果他们不能遵循 *** 安全的更佳实践,不能全面实施数据安全计划,不能主动提供多层保护,就很难避免黑客的秘密攻击,也不能避免数据泄露事件的发生。你的组织当前的系统和 *** 安全状况如何?你能从上述九个事件中找到信息保护的想法吗?
原文标题:Top 9 Most Damaging Data Breaches at Major Companies,作者: Abe Dearmer
【51CTO转载合作网站时,请注明原译者和出处51CTO.com】