美国电信巨头 Verizon 每年都会发布年度数据泄露报告(DBIR)。Verizon 不仅综合了多个合作伙伴的数据分析,而且还采用了严格的数据驱动方法来分析安全漏洞和事件。连续发布10年来,DBIR 报告已经成为安全行业的重量级调查报告,值得安全从业者仔细研读。
由于报告本身描述众多,本文选取了其中最后的部分——年度信息安全事件,进行解读、汇总,以供各位读者参考。
之前已经给大家总结了上半年的每月重大信息安全漏洞事件,接下来给大家介绍下半年的。
七月重大信息安全事件:Capital One披露了一个数据泄露事件,影响1亿美国公民和600万加拿大个人。
7月29日,美国第一资本投资国际集团(Capital One)披露其数据遭泄露,影响了1亿美国人和600万加拿大人。
Capital One表示,2005年至2019年,用于申请Credit Card的个人信息被泄露,包括客户姓名、地址、邮政编码、电话号码、电子邮件地址、出生日期和收入。但实际上,除Credit Card申请信息外,部分客户的数据也被泄露,包括客户信用评分、信用额度、余额、付款历史、联系方式等。大约100万个加拿大社会保险号码、14万个美国社会保险号码和8万个银行帐号也可以被访问。
该公司表示,此次数据泄露是由配置出现漏洞引起、由外部安全研究人员向其披露的。该公司已在7月19日获悉并立即修复了配置漏洞。访问这些数据的人现在已经被捕并拘留。
八月重大信息安全事件:英国大都会警察局、银行和企业公司使用的生物特征数据库泄露了数百万条记录。
英国广播公司(BBC)8月14日报道称,研究人员在Suprema的Biostar 2生物识别锁定系统中发现了一个安全漏洞,该系统允许他们访问超过100万个身份验证数据。
这些数据包括指纹和面部识别数据,未加密的用户名和密码,甚至是员工个人信息。 Suprema生物识别认证系统拥有许多公司和公共机构客户,包括英国大都会警察局,国防承包商和银行,还有美国、巴基斯坦、芬兰和印度尼西亚的跨国公司。
以色列研究人员Noam Rotem,Ran Locar和vpnmentor在Suprema中发现了一个安全漏洞,并获得了访问Biostar 2数据库的权限。
最令人震惊的是,在获得访问权限后,安全研究人员发现数据库缺乏应有的保护,并且大多数据处于未加密的存储状态,因此可以轻松访问总数超过2780万(超过23GB的数据)记录。
除敏感信息外,安全研究人员还可以轻松监控存储的生物识别数据的实际使用情况。例如,要实时查看哪个用户通过特定安全门进入任何设施,甚至查看管理员帐户的密码。此外,研究人员可以编辑某人的帐户并添加他们自己的指纹。
因此从理论上讲,攻击者可以突破所有需要被授权进入的地方。
九月重大信息安全事件:近500万DoorDash用户在数据泄露中受到影响
DoorDash今天宣布,其安全漏洞影响了490万用户。据该公司称,2019年5月4日,一个未经授权的第三方获取了2018年4月5日之前加入该平台的DoorDash用户的信息,包括消费者、送货司机和商家。
黑客可访问的信息包括姓名、电子邮件地址、用于送货的物理地址、订单历史记录、电话号码和密码,这些本来都是使用哈希和盐析技术加密的。该公司建议用户重置密码,并声明没有任何密码被泄露。
DoorDash透露,一些消费者支付卡的后四位数字也受到了攻击,但没有访问完整的支付信息,包括完整的卡号或CVV安全代码。但是,大约10万名DoorDash司机的完整驾驶号码被泄露。
DoorDash声称,为了应对这一事件,它增加了许多额外的安全层来保护用户数据,并改进了允许访问其系统的安全协议。该公司正在寻找受此次泄露影响的个人用户,但该公司尚未披露受影响用户目前需要采取的任何额外行动。
十月重大信息安全事件:2000万俄罗斯人的税收和个人身份信息可公开访问
8月据外媒报道,有研究人员披露,一个存有2000万条俄罗斯公民纳税记录的数据集群并未设置任何安全措施,所用访问者均可通过公共网络查看这些信息。此次事件中被暴露的信息包括纳税人姓名、地址、居留身份、passport、电话号码、税号、雇主姓名及其电话号,以及纳税额等。
据了解,这个AWS Elasticsearch数据集群由多个数据库组成,其中两个数据库存有俄罗斯公民的税务及个人信息:一个数据库存有2010年至2016年间的1400万条纳税记录,另一个则存有2009年至2015年间的600万条纳税记录。受影响的俄罗斯公民多居住在莫斯科及周边地区。
十一月重大信息安全事件:英国工党系统遭受大规模DDoS网络攻击
11月12日,据报道,英国工党系统遭受大规模分布式拒绝服务(DDoS)网络攻击。工党发言人称,网络攻击影响了其网站以及在线竞选平台。
该攻击使用受感染计算机僵尸网络向服务器发送请求,并使服务器不堪重负。
网络记录显示,工党是Cloudflare公司的客户,Cloudflare公司为工党的大部分网络提供了DDoS保护服务。该公司通过提供所需的额外容量、过滤流量以仅处理合法请求,并将网站的“缓存”版本存储在自己的服务器上,从而保护客户免受DDoS攻击。该事件已上报至英国国家网络安全中心。
十二月重大信息安全事件:2100 万 Mixcloud 用户数据在暗网出售
在线音乐流媒体服务 Mixcloud 最近遭到黑客的攻击,用户数据在暗网上出售。超过 2000 万个用户帐户的数据遭到曝光。这些数据包括用户名,电子邮件地址,SHA-2 哈希密码,帐户注册日期和国家 / 地区,最近一次登录日期,IP 地址以及个人资料照片的链接。
黑客以 0.27 比特币(约合 2,000 美元)的价格出售这些数据。Mixcloud 目前正在积极调查此事件,并且建议用户将密码重置。
总结
政府行业数据泄漏事件、勒索病毒事件,几乎每月、每周、每天都有发生,数据安全的重要性不言而喻。但是究竟如何体系化、系统化进行数据安全防护建设?
这是每个政府行业信息安全从业者都在思索和探究的问题。
中科信安有多年对政府部门信息安全提供专业、高效的数据处理解决方案的经验!
来源:freebuf.com 2020-09-03 13:53:41 by: 中科信安信息技术
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册