数据泄露等重大网络安全事件往往是不断重复错误的过程。因此,以史为鉴,可以帮助我们从过去的数据泄露事件中吸取宝贵经验教训。事实上,如果企业遵循简单的网络安全最佳实践,本文列举的大规模数据泄露事件完全可以避免。
以下,我们根据数据泄露规模和影响力整理了史上十大数据泄露事件,同时给出了如何防止发生类似泄露事件的建议。
1、雅虎
泄露数据:30亿账户
泄露日期:2013年8月
披露日期:2016年12月
雅虎最初在2016年宣布,其2013年的泄露事件仅影响了10亿个账户。但在2017年Verizon收购雅虎后,有消息称这个数字实际上是30亿。该事件影响了雅虎电子邮件账户和其他公司服务,包括Tumblr、Flickr、雅虎梦幻体育和雅虎财经。
黑客获取了雅虎用户的姓名、出生日期、电话号码和密码,以及用于重置密码的安全问题和电子邮件地址,但没有任何财务数据(例如信用卡号码或银行账户详细信息)被公开。雅虎在最初的披露中宣布,它强制对所有自2013年以来更改过的账户进行了密码重置。迄今为止,雅虎尚未披露违规原因。
如何防止此类攻击:
进行持续的安全监控和测试。
定期执行漏洞和渗透测试,使安全团队能够在网络犯罪分子利用漏洞之前修复漏洞。
2、印度政府数据库Aadhaar
泄露数据:11亿
泄露日期:未知
披露日期:2018年1月
在印度政府身份数据库Aadhaar遭到入侵后,11亿印度公民的记录被曝光。虽然印度政府没有强制公民在数据库中注册,但对于那些想要访问某些政府资源或援助的人来说是必需的。
《论坛报》记者仅向黑客支付了500印度卢比(2018年汇率换算约为8美元)就获得了访问数据库的账号密码,并报道了这一泄露事件。可未经授权访问的数据库信息包括:姓名、生日、电子邮件地址、电话号码和邮政编码。卖家向记者提供了一个软件(仅需300卢比),可以打印唯一的印度居民身份证。
据《论坛报》报道,卖方是通过前Aadhaar员工访问数据库的犯罪组织成员。ZDNet后来报道说,泄漏发生在一家国有公用事业公司运行的系统上,该公司可以通过用于验证客户身份的不安全API访问数据库。
如何防止此类攻击:
遵循API安全测试最佳实践。
使用API安全工具来降低风险。
坚持身份和访问管理最佳实践。
执行政策以检测和防止内部威胁。
3、第一美国金融
(First American Financials)
泄露数据:8.85亿
泄露日期:未知
披露日期:2019年5月
2019年5月,安全研究员布赖恩·克雷布斯(Brian Krebs)报告称,保险公司First American Financials的8.85亿份文件在其官方网站上被泄露。这些记录可以追溯到2003年,包括银行账户信息、社会安全号码、抵押贷款记录、税务文件和驾照复印件。该网站不需要密码即可访问这些文件。
First American表示,它“了解到一个应用程序存在设计缺陷,可能导致未经授权访问客户数据。”这个所谓设计错误是不安全的直接对象引用(IDOR),是一种访问控制漏洞,其中为特定查看者创建了链接,但在访问前未验证查看者的身份。
如何防止这种攻击:
在保护API时,请牢记IDOR和统一资源标识符。
遵循API安全测试指南。
4、 在线垃圾邮件机器人
(Onliner Spambot)
泄露数据:7.11亿
泄露日期:未知
披露日期:2017年8月
2017年,安全研究员Troy Hunt报告称,总部位于巴黎的安全研究员Benkow发现了一个暴露的垃圾邮件服务器,名为Onliner。Benkow向Hunt提供了垃圾邮件机器人的7.11亿条暴露记录列表,其中包括电子邮件地址和密码。
在被发现之前,Onliner通过窃取数据的特洛伊木马传播了至少一年。
如何防止这种攻击:
要求员工在涉嫌违规后更改密码。
强制执行企业密码策略。
避免重复使用密码。
遵循密码安全卫生最佳做法。
5、Facebook
泄露数据:5.33亿
泄露日期:未知
披露日期:2021年4月
2021年,随着黑客在黑客论坛上发布了一个包含5.33亿用户敏感数据的泄露数据库,Facebook特大数据泄露事件浮出水面。Facebook表示,恶意行为者通过抓取而不是入侵其系统来获取其用户的电话号码、姓名、位置和电子邮件地址。抓取是一个使用户和机器人能够从公开可用的网站中提取数据的过程。
Facebook表示,它认为攻击者使用旨在帮助用户通过将帐户与联系人列表关联起来来找到朋友的功能来抓取数据。该公司在发现该功能被恶意使用后于2019年9月更改了该功能,以防止将来被抓取。
如何防止这种攻击:
降低与抓取相关的风险。
实施DevSecOps策略。
6、雅虎
泄露数据:5亿
泄露日期:2014年11月/12月
披露日期:2016年9月
雅虎的独特之处在于,它不仅在大规模数据泄露榜单独占鳌头,而且还是唯一占据两个席位的公司。
雅虎在2016年宣布,其5亿账户在2014年的国家黑客攻击中遭到入侵。雅虎表示,被盗信息可能包括姓名、电子邮件地址、生日、电话号码和散列密码。2018年,卡里姆·巴拉托夫(Karim Baratov)因帮助俄罗斯情报人员访问“相关个人”账户而被判五年徒刑。
雅虎在内部调查后将这次攻击归因于鱼叉式网络钓鱼电子邮件。
如何防止这种攻击:
遵循最佳实践来准备网络钓鱼攻击。
制订网络安全意识培训计划。
7、FriendFinder
泄露数据:4.12亿
泄露日期:未知
披露日期:2016年11月
2016年的一次泄露暴露了成人数据和娱乐公司FriendFinder Networks的4.12亿用户帐户。泄露的内容包括20年来的用户名、电子邮件地址、密码和其他敏感信息,以及仍在其系统中的1500万个已删除帐户。
研究人员从公司的生产环境中找到了源代码,以及在网上泄露了的公钥和私钥对。该公司向ZDNet证实,它修复了一个可以访问源代码的注入漏洞。
如何防止这种攻击:
使用源代码最佳实践。
保护您的公钥基础设施。
测试Web应用程序和注入漏洞。
8、万豪国际
泄露数据:3.83亿
泄露日期:2014
披露日期:2018年11月
酒店供应商万豪国际集团已经多次被黑客光顾,但规模最大的一次数据泄露发生在2018年,攻击者从四年前开始访问其喜达屋宾客数据库。暴露的记录包括姓名、电话号码、护照详细信息、邮寄和电子邮件地址、客人的抵达和离开信息(在某些情况下,还包括加密的信用卡号码)。
该漏洞是在其内部安全系统发出警报后发现的。攻击者已入侵数据库并加密和泄露敏感数据。万豪最初认为该漏洞泄露了5亿客人的信息,但经过进一步内部调查,该公司宣布该漏洞影响了约3.83亿客人。然而,泄露的原因仍然未知。万豪在2016年收购了喜达屋,但截至2018年尚未将其迁移到万豪的系统;喜达屋数据库继续使用遗留的IT基础设施。
如何防止这种攻击:
定期更新IT基础架构。
实施补丁管理程序。
让CISO参与并购规划。
9、Twitter
泄露数据:3.3亿
泄露日期:未知
披露日期:2018年5月
2018年Twitter建议其超过3.3亿用户更改密码,据称是因为漏洞导致一些密码以明文形式存储在内部日志系统中。该公司表示自己发现了这个漏洞,并且已经删除了未经哈希处理的密码,并采取了措施防止未来出现故障。
目前尚不清楚密码暴露了多长时间以及有多少用户受到影响。该社交网络表示,没有证据表明密码被恶意访问。
如何防止这种攻击:
遵循补丁管理最佳实践。
考虑创建一个企业漏洞赏金计划。
10、微软
泄露数据:2.5亿
泄露日期:2019年12月
披露日期:2020年1月
微软在2020年披露,时间跨度长达14年的2.5亿条客户服务和支持记录在网上泄露。该公司表示,个人数据在存储之前已从记录中删除,但一些明文电子邮件和IP地址被暴露。微软表示,它没有发现恶意使用这些记录的迹象,这些记录暴露了不到一个月。
微软将此次违规归因于内部数据库安全规则的错误配置。
如何防止这种攻击:
遵循企业数据库安全最佳实践。
采用零信任模式。
*文章来源于GoUpSec