几乎所有网络安全公司都在泄露敏感数据
网络安全公司是网络空间最安全的公司吗?这个问题似乎有些多余,谁会请一个经常被人劫道殴打的镖局呢?
前不久SANS在线安全教育平台的数据泄露也许只是一个“意外”,但下面这个报告也许会惊掉你的下巴。根据ImmuniWeb的一项新研究,几乎所有网络安全公司都在线暴露了包括PII(个人隐私信息)和密码在内的敏感数据。员工安全意识薄弱是造成这种糟糕局面的主要原因。
报告调查了全球398个顶级安全供应商,然后检索了暗网、深网网站,包括黑客论坛和市场、WhatsApp群组、公共代码存储库以及社交网络等。
报告声称,已发现经过验证的(来自网络安全公司的)敏感数据泄露事件超过63.1万次,其中这些“事件”中有17%具有重大风险。这意味着泄露数据包括使用纯文本密码的登录名,或者包括最近和/或唯一的数据泄漏(例如PII和财务记录)。
图表1:网络安全公司敏感数据泄露全球统计,泄露事件数量前三名分别为美国、英国和加拿大,中国排名15
总体而言,研究表明,PII和公司数据占所有泄露事件的一半(50%),其中账户凭据占30%,备份和转储占15%。
同样令人担忧的是,泄露的密码中有29%是“弱密码”,即密码的字符数少于8个,没有大写字母,没有数字和特殊字符。接受调查的网络安全公司中,有41%的员工已在不同的被入侵系统上重复使用了密码,这使他们供职的企业面临进一步的潜在入侵风险。
图表2:全球顶级网络安全公司员工最常用的弱密码
该报告还显示,超过5100个账户出现在成人内容网站的数据泄露中,这意味着不少网络安全公司的员工堂而皇之地使用工作电子邮件在“P站”上进行了注册。
总体而言,报告中研究的网络安全公司中有 97%被发现有敏感数据在线暴露,一些数据可以追溯到2012年,不过让人略感欣慰的是大多数事件的风险被分类为低(25%)或中(49%)。
低风险是指“在组织中,其IT资产或员工在数据泄漏、样本或转储中没有附带敏感或机密信息的情况”,而中度风险可能包括加密密码或“中等”敏感数据,例如源代码或内部文档。
除了数据泄露外,全球顶级网络安全公司自身的安全合规和web安全现状也让人揪心:
- 超过一半的公司(63%)的主要网站未能满足这些PCI DSS要求,这意味着他们使用的是易受攻击或过时的软件(包括JS库和框架)或者没有启用WAF。
- 191个网络安全公司网站(占48%)不符合GDPR要求,原因是软件易受攻击,缺少明显可见的隐私政策或Cookie包含PII或可追溯标识符时缺少cookie免责声明。
- 最后,有91家网络安全公司网站发现了279个XSS漏洞,截至报告发表之日,已报告的漏洞中仍有26%尚未修复。
ImmuniWeb首席执行官Ilia Kolochenko警告说:
网络安全供应商这样的第三方越来越多地成为网络攻击的目标。 |
2020年,攻击者也许不必花费高昂的零日漏洞费用,而是找到几个“狗洞”打开的网络安全供应商,轻松获得特权账户,并迅速攻破目标企业最薄弱的环节。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
9 Game被列为最危险的第三方应用下载商店
在下载应用程序和游戏时,Android迷一直处于一种困境中。虽然Google Play通常是下载应用程序和游戏的首选之处,但出于对安全性的担忧,使许多人厌倦了从此处下载应用。 uTorrent uTorrent是用于在网络上下载文件的最受欢迎的软件之一。每天有超过1百万的活跃用户在使用uTorrent,因此就其安全性是一个重要的问题。 (1) 什么是uTorrent? uTorrent是一款免费软件,是2005年发布的免费BitTorrent客户端,拥有超过1亿用户。它提供了其他BitTorrent客户端独特的服务和功能,这些客户端和客户端使用一些广告和关闭源支持的资源。uTorrent支持通过Internet的对等文件共享协议来分发大量数据。此外,它允许用户或客户端用户接收大量数据而不会对其小工具造成压力,因此成为标准的Internet托管。 自从第一个版本发布以来,BitTorrent在此期间发布了不同的版本,并在整个过程中重新命名。借助新代码,uTorrent提供了与BitComet之类的BitTorrent客户类似的不同功能,市场上还有其他功能。 (2) uTorrent安全吗...
- 下一篇
新鲜出炉:Dark Web中网络安全行业泄露状况
和通常的开放互联网相反,还有一个充斥犯罪和地下交易的封闭Dark Web,那么这个封闭的Web下实际情况是怎么样的呢?immuniweb对该Web下的网络安全行业泄露状况进行了专门研究: 截止到2020年,有97%的领先网络安全公司的数据在Dark Web被公开过,超过160,000起高级别或严重事件可能危及客户。 概述 鉴于在过去12个月中针对受信任的第三方的网络攻击的复杂性和数量迅速增长,immuniweb决定对全球网络安全行业进行探索性研究并衡量其在2020年在Dark Web上的曝光度。 Ponemon Institute的一项调查显示,有59%的公司由于包括网络安全供应商在内的第三方入侵而造成数据泄露。 Digital Shadows 2020年7月发布的最新研究估计,目前可供出售的100,000多个数据泄露中有超过150亿条被盗记录。 几周前,来自Malwarebytes的一份报告显示,WFH(在家工作)会导致大量安全漏洞。 为了更好地理解多方面的挑战,Forrester提供了有关内部人员如何使用Dark Web出售公司数据的有见地的报告。 研究旨在帮助从定性和定性两个方面...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Linux系统CentOS6、CentOS7手动修改IP地址
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装