【.com快译】不可否认,任何企业一旦遭遇数据泄露事件,在企业形象、财务收入、市场份额、用户等方面都会造成巨大的损失相信。事实上,一些重大安全事件往往是多个不同安全级别的小漏洞叠加累积造成的。不幸的是,即使是世界上最大和最知名的公司也不能幸免。在本文中,我将为大家精选并解读9起业界知名的数据泄露和网络安全事件,让您的企业“有则改,无则励”。1.ClearviewAIClearviewAI是一家颇具争议的初创公司,它直接收集数十亿张公开可用的照片来为其面部识别平台提供数据。2020年2月,入侵者在发现其平台漏洞后获得了对该公司客户名单的访问权限。虽然与下文讨论的其他数据泄露事件相比,该公司泄露的2200名客户名单很小,但BuzzFeedNews发现,ClearviewAI的客户群包括百思买等大型零售商,而其个人签约客户遍布全球27个国家。因此,执法部门还是进行了处罚。事后,公司及时修复了被攻击系统及相关漏洞。2、第一美国金融公司第一美国金融公司(FirstAmericanFinancialCorporation)是美国500强中的大型房地产保险公司。由于房地产交易的性质,FirstAmericanFinancial网站上的文件包括驾照、电汇交易、社会安全号码和银行账户,以及其他高度敏感的信息。由于该网站不需要任何身份验证即可查看相关数据,因此知道其文档URL的人只需更改链接的数字部分即可跳转到其他文档。自2003年以来,攻击者已通过此漏洞成功访问了超过8.85亿条敏感数据记录。2019年5月,房地产开发商BenShoval发现了这个问题。由于无法从公司得到回应,他转向KrebsOnSecurity寻求帮助。FirstAmericanFinancial随后禁用了文档站点并解决了设计缺陷。3.Facebook众所周知,Facebook经历了几轮数据泄露事件。在这里,我们重点关注由第三方Facebook应用程序触发的一系列事件。媒体组织CultureColectiva有一个可公开访问的AmazonS3存储桶,可用于访问各种信息,包括FacebookID、用户名和评论等社交媒体活动。然而,在最近的一次大规模违规中,他们暴露了5.4亿条数据记录,体积为146GB。另一个类似的数据泄露事件:一款名为“AtthePool”的应用程序泄露了22,000名用户的用户名、密码和其他登录信息。该应用程序还依赖于可公开访问的AmazonS3Bucket来备份数据,其存储区域中的数据以纯文本形式存储(https://www.xplenty.com/blog/why-pseudonymization-is-critical-for-大型企业/)。除了用户在该应用程序中注册的详细信息外,该数据库还包含Facebook用户ID、偏好、兴趣、群组和其他社交活动。CultureColectiva的反应相对滞后。他们花了四个月的时间来加强S3Bucket的安全性。并且“AtthePool”能够在任何安全组发出警告之前悄悄解决其漏洞。4.MongoDB数据库2019年5月,由于缺乏保护,MongoDB拥有的未指定所有者的数据库泄露了超过10亿条数据记录。SecurityDiscovery研究员BobDiachenko是第一个发现包含超过2.75亿条记录的数据库之一的人。这些数据主要涉及印度公民的姓名、电子邮件、工作经历、出生日期以及各种专业的详细信息。由于MongoDB的数据库由亚马逊AWS托管,这种状态持续了两周多。黑客组织Unistellar发现数据库后立即对其发起攻击,并删除了相关记录。通过不断排查,Diachenko先后发现了另外四个存在大规模数据泄露威胁的MongoDB数据库。这些数据库包含超过8.08亿封电子邮件、2亿份简历和7700万条个人信息记录。由于数据库管理员的失误(不是技术本身),这些MongoDB实例没有设置密码,也没有保护配置选项来防止此类攻击。可见,遵守数据库管理的相关最佳实践对数据安全至关重要。5.EquifaxEquifax是世界领先的消费者信用报告机构之一,收集数百万美国公民和企业的敏感信息。在2017年9月的数据泄露事件中,近一半的美国公民以及一些加拿大和英国公民的记录被盗。具体内容涉及社保号、驾照号、信用卡号、住址等个人信息。美国国会、联邦贸易委员会和美国证券交易委员会联合对此次攻击展开调查。据悉,黑客利用ApacheStrutsCVE-2017-5638漏洞访问Equifax信用纠纷应用近两个月。虽然该漏洞在Equifax上一轮黑客攻击后得到了修补,但该公司未能强化其所有应用程序。值得一提的是,这种数据泄露给消费者带来的后果是非常严重的。他们不仅会失去工作机会,也可能无法获得贷款产品和信用卡,甚至信用报告会出现负分。消费者只能通过冻结其信用报告并积极监控其信用变化来发现任何盗用行为。6.CapitalOne作为最大的信用卡发行商之一,CapitalOne记录了1.06亿客户违约。但在2019年7月,其前软件工程师PaigeThompson利用她的AWS专业知识,使用不匹配的应用程序级防火墙访问了CapitalOne服务器。该服务器包含来自信用卡应用程序的大量美国和加拿大客户的社会安全号码、银行帐号、信用评分和个人信息。这些数据跨越了十几年的信息记录,可谓价值连城。Paige在GitHub、Twitter和Slack上发布了详细说明她是如何获得服务器访问权限的。虽然她散布社会安全号码和个人信息的真正动机尚不清楚,但她最终承认使用CapitalOne漏洞窃取信息并因此被捕。7、美国人事管理办公室2015年,美国人事管理办公室(OPM,USOfficeofPersonnelManagement)服务器上的2000万个人数据被盗。虽然与其他大规模泄露事件相比,此次暴露的记录数量较少,但就数据内容的重要性而言,这是一次严重的事件。其中,泄露的文件主要是那些用于获得联邦政府安全许可的SF-86表格,其中包含大量申请人指纹等敏感信息。OPM的IT部门早在2014年3月就注意到了一些异常迹象。但是,由于他们无法确定攻击者如何侵入系统以及涉及哪些人,因此他们只能持续监控黑客的活动。不幸的是,这种方法适得其反。攻击者迅速建立了后门,即使在系统重置后该后门仍然存在。2013年11月至2015年4月期间,攻击蔓延到从内政部服务器窃取数据。这次袭击的后果包括国会调查、工会诉讼和OPM领导层的辞职。中央情报局最终确定缺乏双因素身份验证是该漏洞利用的罪魁祸首。8.Uber2016年,一个由两名黑客组成的团队攻击了Uber。通过访问包含优步用户数据的第三方服务器,他们导致优步泄露了5700万条客户和司机记录,包括60万份驾驶执照。值得注意的是,Uber的前首席安全官选择通过该组织的漏洞赏金计划向黑客支付100,000美元的赎金。据称,他还阻挠联邦贸易委员会的调查以掩盖他的违规行为。他目前因妨碍调查而受审。9、雅虎2013年雅虎数据泄露事件,曝光的记录量之大,至今仍让人记忆犹新。该公司300万个账户数据,包括生日、姓名和电子邮件地址等散列信息,在此次攻击中受到的打击最为严重。雅虎直到2016年才披露其漏洞,直到2017年才披露其受影响用户的范围。雅虎认为,国家支持的黑客利用现有数据创建了Webcookie。因此,他们可以在没有密码的情况下访问用户的帐户。攻击发生两年后,直到部分数据在暗网上兜售时,雅虎才发现这一事件。解决您的网络安全漏洞综上所述,如果不遵循网络安全的各种最佳实践,不全面实施数据安全计划,不主动提供多重保护,即使是知名的大公司也很难防范黑客攻击。保护层。如果你在互联网的隐蔽攻击中幸存下来,你就无法避免数据泄露事件的发生。不知贵单位目前的系统及网络安全状况如何?从以上九个事件中,你能找到信息保护的思路吗?原标题:大公司Top9MostDamagingDataBreaches,作者:AbeDearmer合作站点转载请注明原译者及来源为.com]
