比较年初至今的数据,泄露的信息量大幅下降了61.7%,而报告的数据泄露事故数量减少了约24.2%。这表明数据泄露事故依然广泛存在,只是现在盗窃和泄露已经扩散。泄露事故规模变得更小,根据安全业内人士表示,攻击者现在更加有针对性。并且,现在的盗窃通常涉及IP或者其他数字财产,这可能比客户个人信息记录更具破坏性,但这种数据更难以量化,也没有出现在头条新闻中。
深入分析今年发生的数据泄露事故会发现,我们仍然有很多工作要做。从2013年的事故证据来看,有价值的数据库仍然没有得到妥善的保护和加密,应用程序仍然充满漏洞,用户仍然被允许从敏感数据库中下载大量信息,并将这些信息存储在缺乏保护的终端。为了改善这种局面,下面让我们看看2013年发生的四起数据泄露事故,希望企业能够从这些事故中吸取宝贵的经验教训。
No.1: CorporateCarOnline.com 850000条记录被盗。
详细信息:这家公司为全国各地豪华轿车服务开发了SaaS数据库解决方案,攻击者攻击了这个纯文本存储的解决方案,导致很多职业体育、娱乐、财富五百强企业的个人资料、信用卡号码和其他个人身份信息被盗。其中涉及的名人包括汤姆·汉克斯,参议员汤姆·达施勒和唐纳德·川普。
经验教训: 一个主要教训是聪明的攻击者甚至能够攻击最有价值的财务信息和社会工程信息。根据KrebsOnSecurity.com表示,在泄露的银行卡号码中,有四分之一是高级或者没有限制的美国Express卡,其他信息也非常有价值。与此同时,该公司并没有完全考虑信息的安全性,甚至没有试图采取最基本的加密措施来保护这些信息。
No.2:Adobe将近300万条PII记录、超过1.5亿用户名/密码组合,以及来自Adobe Acrobat、ColdFusion、ColdFusion Builder和其他产品的源代码被盗。
详细信息:虽然只有300万条PII记录,但显而易见的是,Adobe现在正在头痛如何应对大量登录凭据被盗的损失,更严重的是其源代码。
经验教训:这起泄露事故不仅表明攻击者在企业网络内站稳脚跟后,整个企业网络都将在其掌握中,而且这也说明,整个企业生态系统对其软件安全性的依赖性。这次泄露事故带来的影响可能会波及很长一段时间。
No.3:美国能源部53000前任和现任美国能源部员工个人信息被盗。
详细信息: 攻击者攻击了DOEInfo,这是美国能源部为其首席财务官办公室构建的基于ColdFusion的公开访问系统,这个系统已经非常过时。能源部官员称这次泄露事故只是泄露了员工的个人身份信息。
经验教训:这里有两个经验教训。首先,漏洞修复一直是而且将永远是最重要的工作。其次,企业必须重新思考连接到其敏感数据库的哪些系统允许面向公众的网站访问,以帮助减少其攻击面。
No.4:Advocate Medical Group 四百万条病人记录被盗。
详细信息:这家医疗公司的四台电脑被盗,这导致400多万病人记录被泄露,这是2009年医疗与公共服务部的通知实行以来,第二大医疗信息泄露事故。
经验教训:医疗记录泄露事故占据着2013年的泄露名单,但这个泄露事故可能是最恶劣的。由于一台计算机被盗,追溯到20世纪90年代的病人记录都被泄露,很显然,医疗机构缺乏基本的物理安全、端点安全、加密和数据保护。在医疗机构,似乎反复出现终端盗窃和丢失的情况。现在这些机构是时候重新考虑应该允许多少终端设备从中央数据库下载和存储数据。