2013年最为严重的十大数据泄露事件

来源:互联网  
2014/1/6 19:34:06
在今天的文章中,我们汇总了2013年最为严重的十大数据泄露事件,旨在向大家解释攻击者如何利用多种行之有效的手段成功实现企业环境渗透。

本文关键字: 大数据 安全 WEB

 7. Drupal.Org数据泄露


    人气开源内容管理系统Drupal在发现自身服务器存在数据安全违规状况后,决定对其Drupal.org网站全体用户的密码加以重置。Drupal作为一套后端平台支持着成千上万的博客与网站。


    根据该公司的说法,攻击者针对的是安装在Drupal.org服务器基础设施内的第三方软件所存在的安全漏洞。此次泄露的数据包括用户名、电子邮件地址、国家信息以及散列密码。事故于去年五月公布,受到影响的账户持有者数量可能高达百万。该公司表示自身已经在事故发生后更新了安全措施并改进了其Apache Web服务器的保护力度。


    6. LivingSocial数据泄露


    作为一家电子商务新兴企业,LivingSocial于去年四月宣布遭遇数据泄露事故、其旗下的五千万用户受到影响。攻击者得以访问用户名、密码、电子邮件地址以及账户持有者生日等数据。


    安全专家们提醒称,这一次LivingSocial数据泄露事故的出现为整个业界敲响了警钟——新兴企业由于资金有限往往无力组织起有效的防御机制,而由此带来的潜在风险已经成为安全人员们的共识。大部分企业的运营优先级依次为核心产品开发、营销活动投入,最后才是解决安全方面可能存在的差距或者短板。幸运的是,该公司始终坚持PCI合规性,同时利用隔离网络支撑用于处理信用卡数据的交易支付系统。


    5. Evernote数据泄露


    移动数据存储企业Evernote于去年三月发现其系统遭遇入侵后,旋即对五千万名用户的密码进行了重置。该公司还着手引入双因素验证支持方案,旨在帮助用户在高强度密码之外利用其它机制验证自己的身份。


    该公司表示安全团队检测到的攻击活动利用综合性手段尝试访问其受限企业网络。安全专家们指出,Evernote强大的事故响应能力证明该公司始终为泄露状况做好了充分准备。幸运的是,Evernote利用单向加密、散列与salt等机制对密码进行保护,从而使其内容更加难于破解。


    安全专家们提醒称,企业应该更多地将密码泄露作为可能发生的潜在状况,鼓励用户采用高强度密码并考虑使用密码管理方案。


    4. MongoHQ数据泄露


    MongoHQ数据安全违规事件给数百位云用户带来直接影响,受到间接影响的用户数量则可能成千上万。该公司专门出售针对MongoDB NoSQL数据库管理系统的数据库即平台服务。此次泄露的数据包括电子邮件地址、散列密码以及其它一些客户账户信息。


    但此次泄露事故的核心在于,攻击者已经有能力入侵受害者的Amazon Web Services S3存储账户并获取对一部分MongoHQ客户数据库的访问权。这次数据泄露于去年十月被正式发现,发生原因是与该公司内部支持应用程序相关的安全控制机制失效。该公司表示,某位员工在已被攻破的个人账户中输入了密码,问题由此产生。正如安全专家们一再提醒的,安全设备配置失当以及基础性安全机制失效很可能引发严重的违规情况。


    3. Target Corp.信用卡数据泄露


    调查人员们目前仍然在努力确定Target Corp.信用卡数据泄露事故的实际影响范围。该系统在遭遇违规状况后至少导致四千万张信用卡与借记卡信息外流。攻击者们自假日购物季开始便着手发动攻势,其实施手段不禁让我们想起以往曾经出现过的信用卡违规事故——钖007年的TJX违规、哈特兰支付系统以及汉纳福德兄弟连锁超市等数据泄露事故。而作为每一次违规事故的核心,攻击者利用的其实都是最为基本的安全漏洞。


    尽管目前我们还没有足够的细节来推断攻击者是如何获取访问权的,但这次事故再次将我们的注意力集中到了支付卡行业及其数据安全标准身上。安全专家们指出,PCI-DSS已经成为引导某个行业有效进行自身调整的标准化模式。这套标准强调了一系列必须遵循的最低执行步骤,旨在保护敏感支付系统。它由各个支付品牌以多种方式加以强制执行。此次违规事故是否会促使立法者考虑更为严格的实施标准以及违规惩罚尚有待观察。


    2. 《纽约时报》数据泄露


    去年《纽约时报》的内部系统遭遇入侵、黑客们掌握了其持续访问权,这一问题直到几个月后才被披露给其它媒体。计算机取证调查员们在接受采访时表示,网络犯罪分子利用自定义工具实施了这一轮攻击。目前调查人员将主要注意力集中在了两位记者身上——因为他们曾经撰写了一篇批评中国政府的报道。


    此次事故正式揭开了由政府推动的网络间谍活动的神秘面纱,黑客集团背后的资源供给也因此变得更加复杂。除此之外,这一事故也帮助我们更为直接地关注部分关键性安全最佳实践,包括对主动网络监控的需求、高强度密码的重要性以及利用隔离系统保存敏感数据的价值等。攻击者们利用数十种自定义恶意软件实施综合性入侵,并将这些软件推向保存每一位《纽约时报》员工散列密码数据库的域控制器当中。


    1.博思艾伦咨询公司——美国国家安全局数据泄露


    安全专家们表示,前政府事务承包商雇员爱德华·斯诺登泄露国家安全局监控程序信息的事件证明,对负责维护关键性系统及流程的员工进行严格审查是保障数据安全的重要组成部分。斯诺登是参与高度机密安全审查工作的近五十万名承包商雇员之一。尽管在个人简历当中存在一些问题,他最终仍然被博思艾伦咨询公司聘用。他在夏威夷帮助国家安全局打理相关工作,并获得了12.2万美元的年薪。


    此次国安局数据流露事故据称是由于其他雇员利用U盘及账户凭证获得了对关键性系统的访问权。根据报道,斯诺登从国安局处取得了数十万份文件,并随后将这些资料提供给媒体记者,从而证明了国安局在国内外确实展开了大量监控活动、试图分析监控对象的网络通信以及手机记录。斯诺登的行为引发了广泛的讨论热潮,全世界都开始认真思考政府到底能够在怎样的程度范围内进行情报搜集活动。除了潜在的加密缺陷以及实施失误之外,斯诺登事件还大大提高了组织机构对于内部威胁防御的关注程度。另外,他的行动还让更多普通民众意识到美国各大技术供应商与政府之间的密切协作。总而言之,这次曝光的数据泄露很可能对今后互联网通信底层系统的完整性与弹性以及用于为用户提供隐私级别保障的机制产生重大影响。

共2页: [1]2 下一页
责编:王雅京
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918