数据泄露。 该术语本身可以在大多数组织中敲响警钟,并且有充分的理由。 数据泄露通常意味着数千美元用于补救措施、数百万美元的监管罚款以及客户信任和信心的巨大损失。
现代有许多数据泄露事件,迫使其他组织采取足够的数据隐私和保护措施。
以下是 10 大此类违规行为,以及如何防止您的组织登上这样的名单:
1. 雅虎 (2013)
真的没有其他方法可以开始列出有史以来最大的数据泄露事件,而不是 2013 年雅虎数据泄露事件,该事件影响了近 30 亿用户。
此次违规的影响是雅虎的市值迅速缩水 3.5 亿美元——而当时雅虎正在收购 Verizon。 网络攻击的肇事者从未被确认,但雅虎发表声明称,它相信“国家支持的行为者”可能对此负责。
几乎所有雅虎用户的真实姓名、电子邮件地址、出生日期、电话号码、身份验证问题和其他敏感信息都被泄露,这仍被认为是有史以来最大的数据泄露事件。
2. 第一美国金融公司(2019)
当第一美国金融公司面临数据泄露导致银行帐号、抵押贷款和税务记录、社会安全号码、电汇收据和债券交易收据被泄露时,近十亿条记录被泄露。
使此违规行为与此列表中的其他违规行为不同的是,它不是传统意义上的违规行为。 First American Financial Corporation 没有实施安全身份验证协议,而不是黑客闯入数据库,这意味着没有人必须证明自己的身份才能查看上述文件。 一旦他们访问了这些文件,黑客就会使用高级持久机器人 (APB) 来收集、编目和复制他们有权访问的所有数据。
这个明显的错误多年来一直没有引起注意。 纽约州金融服务部 (NYDFS) 声称,第一美国金融公司几乎没有采取任何措施来确保其采取适当的安全措施来保护其关键数据。
3. 万豪酒店 (2018)
万豪不是典型的数字服务提供商,这使它有别于此列表中的其他一些名称。 然而,这家国际连锁酒店在 2018 年遭遇数据泄露,影响了超过 5 亿用户。
受影响用户的联系信息、护照号码、旅行历史、信用卡信息、社会保险详细信息和喜达屋优先顾客号码都是被泄露的敏感数据。
万豪面临一场公关灾难,因为它在英国被处以 2400 万美元的罚款,数百起集体诉讼,并要求其高级管理人员辞职。
经过内部审计,万豪使用过时的加密协议来存储和保护其数据库是造成违规的主要原因。 审计得出的结论是,违规行为是使用远程访问木马 (RAT) 和 Mimikatz 实施的。 (另请阅读:仅仅加密是不够的:关于数据安全的关键事实。)
4. 我的空间 (2016)
MySpace 在 2016 年可能不像其他一些社交网站那样受欢迎,但当该公司向其用户宣布他们的旧信息可能会在网上出售时——或者更准确地说, 它已经在网上出售至少三个月了。
收购 MySpace 的时代公司报告称,数据泄露导致 3.6 亿个帐户遭到泄露,这些帐户的用户名和密码可用于访问其他网站上的用户信息。 数据泄露背后的黑客被认为应对 Tumblr 和 LinkedIn 的类似数据泄露事件负责。
5. 成人交友 (2016)
当 Adult FriendFinder 遭遇数据泄露时,周围一片混乱。 这是由于数据泄露的性质,有关用户的随意连接和其他成人内容的信息被公开。
超过 400 名用户的姓名、电子邮件地址、密码、图片和其他个人详细信息在线泄露,并可在 leaksource.com 上免费获取。 受损的数据库拥有 20 年的信息价值,用户的凭据也可以在线获得。 该网站使用 SHA-1 散列算法——按照现代标准是一种脆弱的协议——是数据库如此容易被破坏的主要原因。
6. 推特 (2018)
像 Twitter 这样规模的公司是如何犯下这样的错误的,这将永远是个谜。 2018 年 5 月,该公司向其 3.3 亿用户发送了一封电子邮件,敦促他们更改密码,因为其中一些密码以可读文本格式存储在其内部计算机系统中。
推特向其用户保证,在任何数据泄露之前就已经发现了故障,因此他们的任何信息都没有受到损害。 然而,2010 年联邦贸易委员会的一项调查显示,Twitter 至少发生过两起数据泄露事件,由于 Twitter 的安全协议存在漏洞,用户的私人数据遭到泄露。 (另请阅读:揭露安全漏洞。)
7. 艾奎法克斯 (2017)
与此列表中的其他一些相比,Equifax 数据泄露事件相当轻微。 然而,该组织不得不花费超过 7 亿美元采取补救措施来帮助受影响的用户,这一事实使它成为其他组织的警示。
大约 1.5 亿用户的社会安全号码、出生日期、家庭住址、驾照号码和信用卡信息被盗。 即使在国会进行了长时间的调查之后,也从未查明应对违规行为负责的人。
然而,调查确实发现,Equifax 网站中的一个漏洞已被负责违规行为的人利用了数月之久。 其他不充分的措施,例如缺乏数据库系统分段,使得攻击更容易进行。
8. 脸书 (2019)
当 2019 年数据泄露事件的消息传出时,Facebook 在 2019 年已经因其数据保护措施不够充分而面临公关噩梦。 它过去是,现在仍然是公司历史上最重大的数据泄露事件,影响了全球多达 5.4 亿用户。 肇事者从未被发现或被捕,但它确实揭示了 Facebook 的数据库是多么脆弱。
这是怎么发生的? Facebook 未能通过适当的加密级别充分保护其全球数据库,因此这些数据库很容易在线搜索。 英国、美国和越南数据库中用户的电话号码、性别和地理位置特别容易受到攻击。 这正是为什么无法确定肇事者的原因,因为这些数据库实际上可以通过简单的谷歌搜索获得,而没有适当的安全措施来保护它们。
9. 易趣 (2014)
eBay 泄露事件发生在雅虎事件发生几个月后,也出现了类似的用户数据泄露事件。 虽然 145 名受影响的用户(根据一些估计)与雅虎的数字相去甚远,但影响并不小。 内部调查显示,eBay 的三名员工受到了社会工程攻击,他们被泄露的凭证被用来访问 eBay 主数据库。
该公司通知所有受影响的用户并建议他们更改密码,因为攻击者也访问了加密密码。 这导致纽约总检察长呼吁 eBay 向用户提供免费的信用监控服务,但该公司拒绝了,理由是没有金融欺诈行为。
10. 太阳风 (2020)
作为最近发生的重大数据泄露事件之一,SolarWinds 数据泄露事件之所以臭名昭著,是因为目前还没有可靠的数据表明有多少记录可能已被泄露。 然而,据说全球有超过 18,000 个组织和政府机构受到影响。 美国司法部长当时表示,这次袭击可能得到了俄罗斯的支持。
攻击者获得了对 SolarWinds 更新包的内部访问权限,并将恶意软件放入下一个计划更新中。 这些更新包含必要的电子签名,因此无论哪个网络接受更新都会受到损害。 隐藏的恶意软件遍布整个 SolarWinds 供应链,自从攻击者在其网络中站稳脚跟以来,至少有 50 个美国政府机构面临“严重影响”。
数据泄露预防:五个最佳实践
上述列表应该足以让大多数组织考虑建立一个强大的数据保护和治理框架,以最大限度地减少发生数据泄露的可能性。
以下是大多数组织可以采取的五个步骤:
1.实施访问治理
到目前为止,组织可以采取的将数据泄露风险降至最低的最基本措施是首先限制有权访问数据的人数——这被称为访问治理。 不乏可以帮助组织解决此问题的有效解决方案。
例如,Securiti 通过其统一数据控制的访问智能允许组织确定哪些员工需要访问哪些数据,并在严格“基于需求”的基础上授予他们权限,同时还保留详细记录以帮助在必要时进行未来评估。
2. 进行意识培训
这似乎很明显,但许多组织都犯了一个错误,即没有对员工进行适当的培训,让他们了解黑客通过利用员工粗心的在线行为是多么容易获得对公司数据库的访问权限。
定期的研讨会和培训可以对您的团队进行最佳实践教育,以确保他们遵守适当的在线安全协议。 这还可能包括反网络钓鱼培训,内容涉及通过网络安全工具(例如防病毒软件、VPN 或 IPRoyal 和 Avast 等代理)充分保护其在线足迹。 (另请阅读:VPN 与代理:什么最适合企业。)
3.定期更新
另一个可能导致重大损失的相对较小错误的示例:黑客经常利用软件中的故障。
如果一个组织不定期更新其软件,则故障可能会在整个持续时间内都存在,并且可以更容易地被利用。
4. 有一个积极的应对计划
通常,如果组织确实发现自己是数据泄露的受害者,他们就会过于慌乱和混乱。 值得一提的是,如果在数据泄露后立即采取适当的措施,则可以大大降低泄露的影响。
您应该有适当的协议,可以实时了解究竟有哪些数据受到损害,如何限制损害以及最必要的补救措施。
5.加密,加密,加密
最后但可能也是最重要的一点是,准确了解如何利用加密技术为您带来好处。 采用老式加密方法的组织无法最大限度地提高加密必须提供的安全性。
随着基于格的加密和量子计算的兴起,组织有能力确保为其所有数据提供最好的保护。 这样做可以保证,如果所有其他方法都失败了,您的数据将得到很好的保护,以至于黑客侵入公司的内部数据库时一无所获。
结论
数据泄露可能发生在任何人身上——即使是最大、最完善的组织。 通常,它们是简单、易于解决的数据管理错误的结果。 通过事先实施适当的数据泄露预防实践,您可以大大降低您的组织遭受数据泄露的可能性,并在最坏的情况下更有效地恢复。
