导语:好像南瓜香料和变黄的树叶一样,数据泄漏也成了秋季的代表主题之一。今年也不例外,Anthem公司、苹果公司以及更令人担忧的五角大楼的信息安全问题在过去几天连续霸占着新闻的头条。

金秋伊始,一份天价罚款和两个信息泄漏事件开启了今年秋季数据泄漏的局面。

就好像南瓜香料和变黄的树叶一样,数据泄漏也成了秋季的代表主题之一。今年也不例外,Anthem公司、苹果公司以及更令人担忧的五角大楼的信息安全问题在过去几天连续霸占着新闻的头条。

当然,信息泄漏早已不是什么新鲜事了,网络攻击者们在持续磨练着攻破技术、拓宽着他们的攻击目标。 根据ITRC的统计,去年美国的数据泄漏事件有1,579,达到了创纪录的新高,比2016年增加了44.7%。

云安全供应商CipherCloud首席执行官Pravin Kothari在电子邮件中写道,

数据泄漏永远不会停止。事实上,如果不加以控制,它将变得更糟。当前局面促使人们意识到,一些涉及到信息安全的重要场景,应当使用诸如端对端加密(云端和内部端都需要部署)、双因素身份验证、网络分段等当前一些最优的安全手段。

Anthem

以美国第二大医疗保险公司Anthem为例,由于2015年的数据泄露事件,该公司必须向政府支付1600万美元的罚款,此次罚款数额创下了历史新高,此次事件也是美国历史上最大的医疗保健数据泄漏事件。

此次数据泄漏事件的源头是攻击者利用了“鱼叉式网路钓鱼邮件”的攻击手段,让其有数周的时间访问这些敏感数据,该事件影响到了数千万美国民众,泄漏的数据包括:社保卡号、姓名、生日、医疗ID、街道地址、电子邮件地址和就业信息,其中就业信息中又包括了收入数据(信用卡和医疗信息,但像索赔、测试结果或诊断代码都不在其中)。据统计,该公司总共有近7900万过往和现今客户受到了影响。

就像同在2015年发生的人事管理局信息泄漏事件一样,此事件导致美国2150万联邦雇员和承包商信息外泄——安全研究人员怀疑这可能也是由某个国家暗地里支持的APT操作的。

Anthem公司当前覆盖了近4000万的客户群体,这是相当大的一个数量。历经约三年,Anthem也终于到了兑现罚款的时刻,罚款用于解决卫生和公共服务部可能发生的隐私侵权行为; DHHS表示,Anthem错在未能制定适当的网络安全政策和程序,并且连识别/躲避网络攻击的“最低限度的访问控制”都没有。

除罚款外,Anthem也同意由政府介入监管,但它并未承认对此事件的责任。

这笔罚款是DHHS在所有医疗保健数据泄露事件中所处罚的最大款项(是第二名的三倍),但与Anthem已经支付用于理赔善后的款项相比,这个数字还是相形见绌了。

去年6月,Anthem为了应对100多起诉讼,同意向受此事件影响的客户支付1.15亿美元,并且还支付了超过2.6亿美元用于补救和善后。

Anthem本周一(10月15号)通过一家媒体声明,

Anthem非常重视其数据的安全性和消费者的个人信息。我们在整个审查期间都配合(政府的)工作,现在达成了双方都能接受的解决方案。

苹果公司

在同一时间段,苹果公司发表声明,对黑客入侵中国客户Apple ID的行为“感到非常抱歉”——网络犯罪分子利用Apple ID支付商品和服务,导致用户被迫支付各种莫须有的款项。

苹果公司于本周二通过华尔街日报声明,此次攻击事件是通过网络钓鱼骗局发生的,但没有进一步详细说明黑客是如何获取用户的Apple ID和密码。

Apple表示,

我们发现一小部分用户的帐户有黑客入侵过的痕迹。我们对这些受网络钓鱼骗局影响的客户表示深深的歉意。

苹果表示,如果用户在其设备上实施了双重身份验证,则可能会免于掉入网络钓鱼的陷阱里,但如果客户已经支付了,他们会向用户补偿这些欺诈性款项。

此次事件发生于上周,中国的移动的支付用户经常将他们的Apple帐户链接到支付宝或微信平台,支付宝和微信是中国两家顶级移动支付服务提供商,他们的部分用户发现他们在App Store上产生了自己也不知情的消费,由此曝光了此次黑客攻击行为。

五角大楼

在同一时间段,上周五(10月12号),美国国防部发表声明称至少有30,000名美国军方和文职人员的个人信息和信用卡数据遭到泄漏,随着调查的深入,可能会发现更多的受害者。

这一消息传出之际,美国政府责任署(GOA)也评估出五角大楼先进的武器系统中存在着“任务关键型网络漏洞”。

据一位官员的说法,此次事件于10月4日被发现,但在此之前漏洞可能已经存在了数周。五角大楼发言人Joseph Buccino中校表示,当前状况显示没有任何机密信息遭到泄漏和损害,但五角大楼仍会尽力调查黑客和事件背后的人。

Buccino中校透露,

我们需要明白的是,这次事件的导火索是由于第三方供应商的数据泄漏造成的(目前尚未透露供应商名字),我们有非常多的供应商,其中一个供应商违背了服务准则,该供应商提供的服务占比仅是很小一个部分。国防部已采取措施让供应商停止履行合同。

国防部在一份媒体声明中补充称,该部门正在继续评估伤害风险并会向受影响的人员发出通知,以及后续将为受害者提供欺诈保护服务。

OneSpan全球法规与标准主管Michael Magrath表示,在过去几年中,受国防部信息泄漏事件的影响,许多人可能已成为其他各类大小型违规事件的受害者,其中就包括上述的2015年人事管理局的信息泄漏事件。

Magrath说,

暗网上,涉及到个人信息的数据正在不断增长,欺诈者通过对这些信息进行整合能够创建新的身份,例如,从国防部数据泄漏行为中获得的信用卡信息,可以与从OPM违规行为或上述公司数据泄露事件中获得的数据进行交叉比对、参考。

GAO在报告中指出:随着网络威胁演变得越来越复杂,其在武器系统的保护上也面临着越来越大的挑战。通过对最近国防部正在开发的关键武器系统的网络安全测试发现,扮演攻击者角色的测试人员较容易就能控制系统并有很大的概率不会被发现。国防部的武器比以往任何时候都更加计算机化和网络化,因此面临着更多被攻击的风险也就不足为奇了。在过去几年中,国防部已采取措施改进,例如更新政策和增加测试,但在此之前,国防部并未将武器网络安全作为优先事项。

虽然国防部在过去几个季度推出了一系列漏洞赏金计划,但这些计划针对的是国防部的非机密网络而并非武器系统。

此外,第三方带来的担忧也持续存在。今年6月就有报道称,有民族国家攻击者暴露了多件美国海军军事机密,其中包括“2020年美国潜艇的超音速反舰导弹开发的秘密计划”。该报道同时称,黑客在破坏了为罗德岛海军海底战争中心工作的承包商的网络后,能够发动横向攻击。

源链接

Hacking more

...