导语:由于长期接触企业重要信息且对安全投入不足,事务所早已变成企业保护内部敏感信息的最薄弱环节。

经过几周发酵,相信嘶吼读者对上月底发生的德勤被黑事件具体细节已经有所了解。

目前德勤被黑事件的信息披露,主要来自卫报Krebs on SecurityThe Register三家报道,包括嘶吼在内的国内安全媒体都编译了相关内容。The Register汇总事后安全研究员们对德勤安全状况的分析,比如VPN、代理账号长期放在GitHub和Google+上共享,内部关键系统的远程桌面管理端口对互联网开放,没有使用双因素验证防护…可谓是触目惊心。

作为全球四大会计事务所之一、全球收入第一的安全咨询公司,德勤当然不会不懂安全。但这家公司现在被曝光的各种低级错误和失误,将使它长期处于“无能”、“讲一套做一套”等负面评价困扰当中。

德勤被黑后不到两周,全球最大的管理咨询公司埃森哲也爆出数据泄漏事件,这家公司部分机密业务数据毫无防范地存储在亚马逊云上,任何人都可以随时下载查阅,直到安全研究员发现后通知,埃森哲才知晓内部数据可能泄漏了。

吐槽大家都吐过了,嘶吼编辑想讲点具体的:黑进德勤的攻击者有什么目的?这件事对德勤客户有什么影响?

攻击者长期潜伏内网窥探邮件

通过外媒报道梳理此次德勤被黑事件,可以发现德勤不仅安全措施不到位,内部应急响应能力也很是不足。

据卫报和Krebs on Security报道,攻击者在去年10月左右进入德勤网络,10月13日德勤安全团队向美国所有员工发送邮件要求全体修改个人账号密码和PINs(个人识别码),但数据已经泄漏

deloittepwdreset.png

一位直接了解事件进展的人透露,攻击者访问了整个电子邮件数据库和所有管理账号,调查人员确定至少有数GB数据被传输到一台英国服务器上

该匿名人士还表示,公司实际上并不知晓攻击者具体入侵时间、入侵了多久,甚至调查人员现在仍无法肯定攻击者是否被完全赶出去

谁会关注事务所的邮件?

攻击者窃取德勤内部邮件做什么用?这要从这家公司的业务说起。

作为会计事务所和咨询公司,德勤主要向客户提供审计、税务、咨询、风险管理等服务。它的大客户主要是各国证券市场的蓝筹股企业,比如美国的微软、波音、摩根斯坦利、通用汽车,中国的中国电信、中海油、农业银行、华润集团等。英国FTSE 250指数、印度五百强里边许多企业都使用德勤的服务。

当这些企业进行重大交易、年报季报等影响股价的事项时,德勤活儿就来了。它的邮件系统里,也数这部分信息最有价值。

如果攻击者能拿到“微软正在洽谈收购LinkedIn”的消息,显然可以提前布局获利一笔。而往坏处想,16年前的安然丑闻案并未远去(审计公司公然做假账),假设有类似事件被攻击者发现,是否会变成又一桩世界级丑闻呢?

谁来保卫事务所?

由于长期接触企业重要信息且对安全投入不足,事务所和咨询机构早已变成企业保护内部敏感信息的最薄弱环节。

FireEye在2014年发布行业预警,自2013年中期开始,有伙人盯上医药和金融领域的上市公司或咨询机构,通过钓鱼邮件黑进高管邮箱,去窃取报告、内部调查、审计文件等信息。FireEye当时未能找出攻击者,但确定那伙人很熟悉投资银行界的行话,可以凭借相关信息获利。

2016年纽约曼哈顿检察官起诉三位黑客,三人从纽约最大的几家律师事务所窃取信息,利用有关信息进行股票交易,获利逾400万美元。起诉书提到,他们当时获取了罗氏公司(Roche)收购因特姆尔制药公司(Intermune)、英特尔收购拓朗半导体(Altera)、必能宝(Pitney Bowes)收购无国界电子商务公司(Borderfree)等多桩大宗收购案的信息,并实时监控着具体交易过程。

同年曝光的莫萨克丰塞卡律师事务所被黑事件更为惊人。《连线》杂志称,这家公司因为基本不做安全检查和补丁,网站积累了大量严重级别的历史漏洞,被攻击者盗取多达2.6TB的数据。由于数据太过敏感,曝光后引发动荡极大,本文就不细说了。

最后

德勤全球的首席安全官Ted Almay先生,在德勤工作十年,此前曾是20年经验的老刑警,现在快到退休年龄却碰上“背黑锅”事件,也是相当不走运了。

希望这位老刑警能发挥经验,和安全公司通力合作把这次事件对客户的坏影响消除,把德勤的安全改进下。

当然,口碑算是砸了,也不知道最后担责该怎么算。

源链接

Hacking more

...