盤點2011年上半年5大泄密事件

在如今重大數據泄密事件層出不窮的年代，2011年似乎完全延續了這個趨勢：大大小小的企業在遭到數據庫泄密事件的重創。據隱私權信息交流中心 (Privacy Rights Clearinghouse)聲稱，單單2011年上半年就發生了234起泄密事件，受影響的人成千上萬。下面看看今年到目前為止影響最大的幾起數據庫泄密事件，IT安全專業人員應該引以為戒：
　　1、受害者：HBGary Federal公司
　　  失竊/受影響的資產：60000封機密電子郵件、公司主管的社交媒體帳戶和客戶信息。
　　  安全公司HBGary Federal宣布打算披露關于離經叛道的Anonymous黑客組織的信息后不久，這家公司就遭到了Anonymous組織成員的攻擊。 Anonymous成員通過一個不堪一擊的前端Web應用程序，攻入了HBGary的內容管理系統(CMS)數據庫，竊取了大量登錄信息。之后，他們得以利用這些登錄信息，闖入了這家公司的多位主管的電子郵件、Twitter和LinkedIn帳戶。他們還完全通過HBGary Federal的安全漏洞，得以進入HBGary的電子郵件目錄，隨后公開拋售郵件信息。
　　 汲取的經驗教訓：這次攻擊事件再一次證明，SQL注入攻擊仍是黑客潛入數據庫系統的首要手段;Anonymous成員最初正是采用了這種方法，得以闖入HBGary Federal的系統。但要是存儲在受影響的數據庫里面的登錄信息使用比MD5更強大的方法生成散列，這起攻擊的后果恐怕也不至于這么嚴重。不過更令人窘迫的是這個事實：公司主管們使用的密碼很簡單，登錄信息重復使用于許多帳戶。
　　2、受害者：RSA公司
　　  失竊/受影響的資產：關于RSA的SecurID認證令牌的專有信息。
　　  RSA的一名員工從垃圾郵箱文件夾收取了一封魚叉式網絡釣魚的電子郵件，隨后打開了里面含有的一個受感染的附件;結果，這起泄密事件背后的黑客潛入到了 RSA網絡內部很深的地方，找到了含有與RSA的SecurID認證令牌有關的敏感信息的數據庫。雖然RSA從來沒有證實到底丟失了什么信息，但是本周又傳出消息，稱一家使用SecurID的美國國防承包商遭到了黑客攻擊，這證實了這個傳聞：RSA攻擊者已獲得了至關重要的SecurID種子 (SecurID seed)。
　　  汲取的經驗教訓：對于黑客們來說，沒有哪個目標是神圣不可侵犯的，連RSA這家世界上領先的安全公司之一也不例外。RSA泄密事件表明了對員工進行培訓有多么重要;如果笨手笨腳的內部員工為黑客完全敞開了大門，一些最安全的網絡和數據庫照樣能夠長驅直入。安全專家們還認為，這起泄密事件表明業界想獲得行之有效的實時監控，以防止諸如此類的深層攻擊偷偷獲取像從RSA竊取的專有信息這么敏感的數據，仍然任重而道遠。
　　3、受害者：Epsilon
　　  失竊的資產：這家公司2500名企業客戶中2%的電子郵件數據庫。
　　  營銷公司Epsilon從來沒有證實它所存儲的大量消費者聯系人信息當中到底多少電子郵件地址被偷，這些聯系人信息被Epsilon用來代表 JP摩根大通、雜貨零售商克羅格(Kroger)和TiVo這些大客戶發送郵件。但是從這家公司的多個客戶透露出來的泄密事件通知表明，這起泄密事件肯定影響了數以百萬計的客戶，使得他們在將來面臨網絡釣魚和垃圾郵件攻擊的風險更大。
　　  汲取的經驗教訓：Epsilon也沒有證實這起攻擊的技術細節，但是許多人指明，針對電子郵件營銷行業策劃的狡猾的魚叉式網絡釣魚攻擊活動可能是造成這次攻擊的一個根源，再次強調了對普通員工進行安全意識教育的重要性。不過對于企業來說可能更重要的是這個教訓：貴企業在外包時，仍然保留這樣的風險和責任：保護承包商監控的數據。由于Epsilon這個合作伙伴引起的這起泄密事件，Epsilon的每個客戶仍要自行承擔披露和相關成本。
　　4、受害者：索尼
　　  失竊的資產：超過1億個客戶帳戶的詳細資料和1200萬個沒有加密的信用卡號碼。
　　  攻擊者得以闖入三個不同的數據庫這些數據庫含有敏感的客戶信息，包括姓名、出生日期以及一部分索尼擁有的信用卡號碼，這影響了 PlayStation網絡(PSN)、Qriocity音樂視頻服務以及索尼在線娛樂公司的廣大客戶。到目前為止，索尼旗下大約九個服務網站因最初的泄密事件而被黑客攻破。
　　  據備受尊崇的安全專家、普渡大學的Gene Spafford博士所作的證詞表明，索尼在使用一臺過時的Apache服務器，既沒有打上補丁，又沒有裝防火墻其實早在發生泄密事件的幾個月前，索尼就知道了這件事。上周，黑客又往索尼的傷口上灑了把鹽：他們再度開始鉆PSN的空子，因為索尼明知道黑客已弄到了電子郵件地址和出生日期，還是沒有加強密碼重置系統。在索尼再次關閉PSN以解決問題之前，不法分子改掉了沒有更改與PSN帳戶有關聯的電子郵件的用戶的密碼。
　　  汲取的經驗教訓：在當前這個時代，不重視安全的企業文件會讓企業蒙受慘重損失。據本周的傳聞聲稱，索尼到目前為止已花掉了1.71億美元用于泄密事件之后的客戶挽救、法律成本和技術改進這筆損失只會有增無減。想盡快走出如此嚴重的泄密事件的陰影，不但需要高昂成本，而且讓企業很尷尬、有損形象。
　　5、受害者：得克薩斯州審計辦公室
　　  失竊的資產：350萬人的姓名、社會安全號碼和郵寄地址，另外還有一些人的出生日期和駕駛執照號碼。
　　  正是由于得克薩斯州審計辦公室的一臺沒有加密的誰都可以訪問的服務器，得克薩斯州三個政府機構的數據庫所收集的敏感信息被泄密了將近整整一年，這三個政府機構是得克薩斯州教師退休中心、得克薩斯州勞動力委員會和得克薩斯州雇員退休系統。據稱負責把數據發布到網上的幾個員工違反了部門的工作程序，這起泄密事件披露后已被開除。
　　  慘痛的經驗教訓：要是不安裝有效的技術性的控制和監管軟件工具來認真落實保密政策和保密制度，那么保密政策和保密制度就沒有太大意義。員工能夠將數據庫信息置于如此不堪一擊的險境，證明如果保密政策不采取"強制實施的有效手段"，將會給企業帶來巨大的風險！得克薩斯州現在因這起泄密事件而面臨兩起集體訴訟，其中一起要求對該州判以向每個受影響的人賠償1000美元的法定處罰考慮到這起事件影響到數百萬人，這筆費用無疑如同天文數字！

       北京合力天下數碼信息技術有限公司技術總監王總指出：“信息安全對于哪些對商業數據依賴性很強的服務行業和技術性企業，企業核心數據一旦被泄露或技術成果被非法帶出公司，給企業帶來的損失將是巨大的，甚至是毀滅性的！盡快在公司內部部署‘合力天下防泄密系統’將是非常明智的選擇！只有及時切斷信息泄露的各種非法途徑，才能真正保證企業的健康發展！”