2011年上半年五大臭名昭著的資料庫洩密事件

 

    在如今重大資料洩密事件層出不窮的年代，2011年似乎完全延續了這個趨勢：大大小小的企業在遭到資料庫洩密事件的重創。據隱私權資訊交流中心(Privacy Rights Clearinghouse)聲稱，單單2011年上半年就發生了234起洩密事件，受影響的人成千上萬。

下面看看今年到目前為止影響最大的幾起資料庫洩密事件，IT安全專業人員應該引以為戒：

1、受害者：HBGary Federal公司

失竊/受影響的資產：60000封機密電子郵件、公司主管的社交媒體帳戶和客戶資訊。

    安全公司HBGary Federal宣佈打算披露關於離經叛道的Anonymous黑客組織的資訊後不久，這家公司就遭到了Anonymous組織成員的攻擊。Anonymous成員通過一個不堪一擊的前端Web應用程式，攻入了HBGary的內容管理系統(CMS)資料庫，竊取了大量登入資訊。之後，他們得以利用這些登入資訊，闖入了這家公司的多位主管的電子郵件、Twitter和LinkedIn帳戶。他們還完全通過HBGary Federal的安全漏洞，得以進入HBGary的電子郵件目錄，隨後公開拋售郵件資訊。

    汲取的經驗教訓：這次攻擊事件再一次證明，SQL注入攻擊仍是黑客潛入資料庫系統的首要手段;Anonymous成員最初正是採用了這種方法，得以闖入HBGary Federal的系統。但要是儲存在受影響的資料庫裡面的登入資訊使用比MD5更強大的方法生成雜湊，這起攻擊的後果恐怕也不至於這麼嚴重。不過更令人窘迫的是這個事實：公司主管們使用的密碼很簡單，登入資訊重複使用於許多帳戶。

2、受害者：RSA公司

失竊/受影響的資產：關於RSA的SecurID認證令牌的專有資訊。

    RSA的一名員工從垃圾郵箱資料夾收取了一封魚叉式網路釣魚的電子郵件，隨後開啟了裡面含有的一個受感染的附件;結果，這起洩密事件背後的黑客潛入到了RSA網路內部很深的地方，找到了含有與RSA的SecurID認證令牌有關的敏感資訊的資料庫。雖然RSA從來沒有證實到底丟失了什麼資訊，但是本週又傳出訊息，稱一家使用SecurID的美國國防承包商遭到了黑客攻擊，這證實了這個傳聞：RSA攻擊者已獲得了至關重要的SecurID種子(SecurID seed)。

    汲取的經驗教訓：對於黑客們來說，沒有哪個目標是神聖不可侵犯的，連RSA這家世界上領先的安全公司之一也不例外。RSA洩密事件表明了對員工進行培訓有多麼重要;如果笨手笨腳的內部員工為黑客完全敞開了大門，一些最安全的網路和資料庫照樣能夠長驅直入。安全專家們還認為，這起洩密事件表明業界想獲得行之有效的實時監控，以防止諸如此類的深層攻擊偷偷獲取像從RSA竊取的專有資訊這麼敏感的資料，仍然任重而道遠。

3、受害者：Epsilon

失竊的資產：這家公司2500名企業客戶中2%的電子郵件資料庫。

    營銷公司Epsilon從來沒有證實它所儲存的大量消費者聯絡人資訊當中到底多少電子郵件地址被偷，這些聯絡人資訊被Epsilon用來代表JP摩根大通、雜貨零售商克羅格(Kroger)和TiVo這些大客戶傳送郵件。但是從這家公司的多個客戶透露出來的洩密事件通知表明，這起洩密事件肯定影響了數以百萬計的客戶，使得他們在將來面臨網路釣魚和垃圾郵件攻擊的風險更大。

    汲取的經驗教訓：Epsilon也沒有證實這起攻擊的技術細節，但是許多人指明，針對電子郵件營銷行業策劃的狡猾的魚叉式網路釣魚攻擊活動可能是造成這次攻擊的一個根源，再次強調了對普通員工進行安全意識教育的重要性。不過對於企業來說可能更重要的是這個教訓：貴企業在外包時，仍然保留這樣的風險和責任：保護承包商監控的資料。由於Epsilon這個合作伙伴引起的這起洩密事件，Epsilon的每個客戶仍要自行承擔披露和相關成本。

4、受害者：索尼

失竊的資產：超過1億個客戶帳戶的詳細資料和1200萬個沒有加密的信用卡號碼。

    攻擊者得以闖入三個不同的資料庫--這些資料庫含有敏感的客戶資訊，包括姓名、出生日期以及一部分索尼擁有的信用卡號碼，這影響了PlayStation網路(PSN)、Qriocity音樂視訊服務以及索尼線上娛樂公司的廣大客戶。到目前為止，索尼旗下大約九個服務網站因最初的洩密事件而被黑客攻破。

    據備受尊崇的安全專家、普渡大學的Gene Spafford博士所作的證詞表明，索尼在使用一臺過時的Apache伺服器，既沒有打上補丁，又沒有裝防火牆--其實早在發生洩密事件的幾個月前，索尼就知道了這件事。上週，黑客又往索尼的傷口上灑了把鹽：他們再度開始鑽PSN的空子，因為索尼明知道黑客已弄到了電子郵件地址和出生日期，還是沒有加強密碼重置系統。在索尼再次關閉PSN以解決問題之前，不法分子改掉了沒有更改與PSN帳戶有關聯的電子郵件的使用者的密碼。

    汲取的經驗教訓：在當前這個時代，不重視安全的企業檔案會讓企業蒙受慘重損失。據本週的傳聞聲稱，索尼到目前為止已花掉了1.71億美元用於洩密事件之後的客戶挽救、法律成本和技術改進--這筆損失只會有增無減。想盡快走出如此嚴重的洩密事件的陰影，不但需要高昂成本，而且讓企業很尷尬、有損形象。

5、受害者：得克薩斯州審計辦公室

失竊的資產：350萬人的姓名、社會安全號碼和郵寄地址，另外還有一些人的出生日期和駕駛執照號碼。

    正是由於得克薩斯州審計辦公室的一臺沒有加密的誰都可以訪問的伺服器，得克薩斯州三個政府機構的資料庫所收集的敏感資訊被洩密了將近整整一年，這三個政府機構是得克薩斯州教師退休中心、得克薩斯州勞動力委員會和得克薩斯州僱員退休系統。據稱負責把資料釋出到網上的幾個員工違反了部門的工作程式，這起洩密事件披露後已被開除。

    汲取的經驗教訓：要是不安裝技術性的控制和監管解決方案來認真落實政策和程式，那麼政策和程式就沒有太大意義。員工能夠將資料庫資訊置於如此不堪一擊的險境，證明要是政策不採取"強制實施的有效手段"，會給企業帶來多大的風險。得克薩斯州現在因這起洩密事件而面臨兩起集體訴訟，其中一起要求對該州判以向每個受影響的人賠償1000美元的法定處罰--考慮到這起事件影響到數百萬人，這筆費用無疑如同天文數字。