蘋果公司、Anthem公司和五角大樓已成為資料洩漏重災區
金秋伊始,一份天價罰款和兩個資訊洩漏事件開啟了今年秋季資料洩漏的局面。
就好像南瓜香料和變黃的樹葉一樣,資料洩漏也成了秋季的代表主題之一。今年也不例外,Anthem公司、蘋果公司以及更令人擔憂的五角大樓的資訊保安問題在過去幾天連續霸佔著新聞的頭條。
當然,資訊洩漏早已不是什麼新鮮事了,網路攻擊者們在持續磨練著攻破技術、拓寬著他們的攻擊目標。 根據ITRC的統計,去年美國的資料洩漏事件有1,579,達到了創紀錄的新高,比2016年增加了44.7%。
雲安全供應商CipherCloud執行長Pravin Kothari在電子郵件中寫道,
資料洩漏永遠不會停止。事實上,如果不加以控制,它將變得更糟。當前局面促使人們意識到,一些涉及到資訊保安的重要場景,應當使用諸如端對端加密(雲端和內部端都需要部署)、雙因素身份驗證、網路分段等當前一些最優的安全手段。
Anthem
以美國第二大醫療保險公司Anthem為例,由於2015年的資料洩露事件,該公司必須向政府支付1600萬美元的罰款,此次罰款數額創下了歷史新高,此次事件也是美國曆史上最大的醫療保健資料洩漏事件。
此次資料洩漏事件的源頭是攻擊者利用了“魚叉式網路釣魚郵件”的攻擊手段,讓其有數週的時間訪問這些敏感資料,該事件影響到了數千萬美國民眾,洩漏的資料包括:社保卡號、姓名、生日、醫療ID、街道地址、電子郵件地址和就業資訊,其中就業資訊中又包括了收入資料(信用卡和醫療資訊,但像索賠、測試結果或診斷程式碼都不在其中)。據統計,該公司總共有近7900萬過往和現今客戶受到了影響。
就像同在2015年發生的人事管理局資訊洩漏事件一樣,此事件導致美國2150萬聯邦僱員和承包商資訊外洩——安全研究人員懷疑這可能也是由某個國家暗地裡支援的APT操作的。
Anthem公司當前覆蓋了近4000萬的客戶群體,這是相當大的一個數量。歷經約三年,Anthem也終於到了兌現罰款的時刻,罰款用於解決衛生和公共服務部可能發生的隱私侵權行為; DHHS表示,Anthem錯在未能制定適當的網路安全政策和程式,並且連識別/躲避網路攻擊的“最低限度的訪問控制”都沒有。
除罰款外,Anthem也同意由政府介入監管,但它並未承認對此事件的責任。
這筆罰款是DHHS在所有醫療保健資料洩露事件中所處罰的最大款項(是第二名的三倍),但與Anthem已經支付用於理賠善後的款項相比,這個數字還是相形見絀了。
去年6月,Anthem為了應對100多起訴訟,同意向受此事件影響的客戶支付1.15億美元,並且還支付了超過2.6億美元用於補救和善後。
Anthem本週一(10月15號)通過一家媒體宣告,
Anthem非常重視其資料的安全性和消費者的個人資訊。我們在整個審查期間都配合(政府的)工作,現在達成了雙方都能接受的解決方案。
蘋果公司
在同一時間段,蘋果公司發表宣告,對黑客入侵中國客戶Apple ID的行為“感到非常抱歉”——網路犯罪分子利用Apple ID支付商品和服務,導致使用者被迫支付各種莫須有的款項。
蘋果公司於本週二通過華爾街日報宣告,此次攻擊事件是通過網路釣魚騙局發生的,但沒有進一步詳細說明黑客是如何獲取使用者的Apple ID和密碼。
Apple表示,
我們發現一小部分使用者的帳戶有黑客入侵過的痕跡。我們對這些受網路釣魚騙局影響的客戶表示深深的歉意。
蘋果表示,如果使用者在其裝置上實施了雙重身份驗證,則可能會免於掉入網路釣魚的陷阱裡,但如果客戶已經支付了,他們會向用戶補償這些欺詐性款項。
此次事件發生於上週,中國的移動的支付使用者經常將他們的Apple帳戶連結到支付寶或微信平臺,支付寶和微信是中國兩家頂級移動支付服務提供商,他們的部分使用者發現他們在App Store上產生了自己也不知情的消費,由此曝光了此次黑客攻擊行為。
五角大樓
在同一時間段,上週五(10月12號),美國國防部發表宣告稱至少有30,000名美國軍方和文職人員的個人資訊和信用卡資料遭到洩漏,隨著調查的深入,可能會發現更多的受害者。
這一訊息傳出之際,美國政府責任署(GOA)也評估出五角大樓先進的武器系統中存在著“任務關鍵型網路漏洞”。
據一位官員的說法,此次事件於10月4日被發現,但在此之前漏洞可能已經存在了數週。五角大樓發言人Joseph Buccino中校表示,當前狀況顯示沒有任何機密資訊遭到洩漏和損害,但五角大樓仍會盡力調查黑客和事件背後的人。
Buccino中校透露,
我們需要明白的是,這次事件的導火索是由於第三方供應商的資料洩漏造成的(目前尚未透露供應商名字),我們有非常多的供應商,其中一個供應商違背了服務準則,該供應商提供的服務佔比僅是很小一個部分。國防部已採取措施讓供應商停止履行合同。
國防部在一份媒體宣告中補充稱,該部門正在繼續評估傷害風險並會向受影響的人員發出通知,以及後續將為受害者提供欺詐保護服務。
OneSpan全球法規與標準主管Michael Magrath表示,在過去幾年中,受國防部資訊洩漏事件的影響,許多人可能已成為其他各類大小型違規事件的受害者,其中就包括上述的2015年人事管理局的資訊洩漏事件。
Magrath說,
暗網上,涉及到個人資訊的資料正在不斷增長,欺詐者通過對這些資訊進行整合能夠建立新的身份,例如,從國防部資料洩漏行為中獲得的信用卡資訊,可以與從OPM違規行為或上述公司資料洩露事件中獲得的資料進行交叉比對、參考。
GAO在報告中指出:隨著網路威脅演變得越來越複雜,其在武器系統的保護上也面臨著越來越大的挑戰。通過對最近國防部正在開發的關鍵武器系統的網路安全測試發現,扮演攻擊者角色的測試人員較容易就能控制系統並有很大的概率不會被發現。國防部的武器比以往任何時候都更加計算機化和網路化,因此面臨著更多被攻擊的風險也就不足為奇了。在過去幾年中,國防部已採取措施改進,例如更新政策和增加測試,但在此之前,國防部並未將武器網路安全作為優先事項。
雖然國防部在過去幾個季度推出了一系列漏洞賞金計劃,但這些計劃針對的是國防部的非機密網路而並非武器系統。
此外,第三方帶來的擔憂也持續存在。今年6月就有報道稱,有民族國家攻擊者暴露了多件美國海軍軍事機密,其中包括“2020年美國潛艇的超音速反艦導彈開發的祕密計劃”。該報道同時稱,黑客在破壞了為羅德島海軍海底戰爭中心工作的承包商的網路後,能夠發動橫向攻擊。