美国向谷歌、微软、雅虎要个人敏感信息,他们真给了 - 网络·安全技术周刊第507期
【责任编辑:贺鑫 TEL:(010)68476606】
虽然外部黑客对企业环境构成的威胁永远存在,但有时最大的风险来自内部。波耐蒙研究所的调查数据显示,内部人威胁导致大型企业平均每年损失1792万美元。由可信员工和合作伙伴导致的这些事件,往往不仅涉及个人身份信息(PII),还涉及企业产生和处理的一些最敏感的数据——秘密配方、敏感财务信息和任务关键基础设施的访问权限。下面我们就列举几个近期此类风险导致的重大事件案例,按行业划分。
去年,一家医疗器械包装公司的一名前雇员因计算机辅助破坏行为而被联邦检察官判定有罪:该员工的行为导致新冠病毒最初响应高峰期间个人防护设备(PPE)发货延误。
美国佐治亚州北区检察官办公室称,在被这家未披露名称的公司解雇后,Christopher Dobbins利用他在职期间以管理员权限创建的虚假账户访问了公司的装运系统,中断并延迟了公司的PPE发货流程。然后他创建了第二个假账户,并使用该访问权限编辑或删除了118,000多条公司记录,造成进一步延误和超过20万美元的损失。
经过长达数年的调查和冗长的法庭诉讼程序,美国联邦调查局(FBI)去年揭露了两位前通用电气员工Miguel Sernas和Jean Patrice Delia公然窃取知识产权和商业机密的行为。Delia在2011年实施了最初的盗窃,当时他在通用电气担任性能工程师,支持客户操作该公司制造的高度复杂的涡轮机。
Delia不仅下载了如何以其现有账户权限运行这些涡轮机的商业机密文件,还说服IT部门的一名员工授权他访问关于该性能咨询的成本模型、提案及合同的文件。利用这些信息,他和Sernas成立了一家竞争公司,以低价竞争策略损害通用电气的利益,并在FBI暗中调查此案期间运营多年。FBI的调查涉及传唤出示电子邮件和云存储账户,并最终趁Sernas在美国旅行逗留途中搜查了一台笔记本。
一名BEC骗子成功诱使丰田某欧洲子公司财务团队成员将3700万美元划转至外国账户。正如BEC攻击者一贯所为,这名骗子伪装成该公司业务合作伙伴,用以假乱真的骗术拿下了这笔巨款。
BEC骗局通常针对此类粗心大意的内部人员长期作战,攻击者以此悄悄获得目标公司的网络访问权限,进行深入侦察,并观察内部员工或员工与合作伙伴之间的通信模式,从而在诈骗时机成熟时完美模仿目标公司的可信实体。
因握有该公司系统访问权的员工被贿赂解锁价格昂贵的iPhone供在AT&T网络之外使用,电信供应商AT&T遭受长期犯罪活动侵害。攻击者的主要策略是买通呼叫中心员工,让他们在AT&T系统上安装恶意软件,从而获得立足点,并最终入侵该公司基础设施,实现按需自动解锁AT&T电话。该事件使AT&T损失了200万部未锁定手机的订阅费用,共2亿美元。2018年,巴基斯坦居民Muhammad Fahd因此项犯罪活动而被捕,并于本月早些时候被美国地方法院判处12年监禁。
据称,AWS一名前软件工程师能够滥用她在职期间获得的有关客户云部署缺陷的行业知识,导致AWS客户Capital One发生重大数据泄露。今年夏天,美国司法部针对这起2019年的事件提起七项指控,涉及计算机欺诈与滥用以及访问设备欺诈,声称Thompson利用Capital One错误配置的防火墙提取特权账户凭证,并窃取和传播来自1亿信用卡申请人和账户持有人的信息。
这是一起典型的权限撤销失败案例,纽约一家信用合作社的前雇员在被解雇几天后仍然能够登录公司系统。该公司的IT支持公司没有按照信用合作社的要求禁用这名员工的账户,于是她得以保留账户访问权。美国检察官办公室称,Juliana Barile在40分钟的暴行中删除了21.3 GB的公司数据,其中包括2万个文件和3500个目录。被删除的文件包括按揭申请及反勒索软件。此外,她还读取了包括董事会会议记录在内的敏感文档。
因公司员工无意中将数据文件存储在不安全的外部存储服务上,保险软件开发商Vertafore致使2770万得克萨斯州驾驶员敏感信息泄露。这些文件包含数百万个驾驶执照的信息,用于该公司为其软件创建保险评级功能。这是云时代人为错误风险的一个典型例子,而像这家公司一样粗心大意的机构仍在蒙受存储失误的暴露风险。虽然财务信息和社会安全号并未牵涉其中,但Vertafore仍必须承担数据泄露响应的所有费用。由于这起事件,该公司可能面临集体诉讼。
据称,亚马逊税务部门的一名高级经理利用财务信息访问权限为其家人准备季度报表,帮助她的家人通过内幕交易获利。根据美国检察官办公室的说法,Laksha Bohra向她的丈夫Viky提供了公司收入和收益信息,供其连续11次在亚马逊发布收益公告之前使用这些信息进行非法股票和期权交易。在此过程中,这家人获利140万美元。不过,今年夏天敲定的认罪协议中,Viky被判入狱26个月并处罚款260多万美元。
根据2019年向美国伊利诺伊州北区地方法院提起的诉讼,芝加哥零售爆米花标杆企业Garrett Popcorn Shops指控前研发总监Aisha Putnam通过将公司数据复制到U盘并向自己个人邮箱发送邮件的方式,从该公司窃取了5000多份文件,包括成分、食谱、配方和制作方法等。
去年,Putnam反诉该公司,声称她被解雇和此前的诉讼是为了报复她向主管提出健康和安全投诉。无论真相如何,该事件都表明了访问和处理敏感知识产权所固有的风险。
有时,疏忽的内部人员对技术基础设施造成的破坏堪比意图报复的恶意黑客。达拉斯市政府一名前IT员工就犯了这方面的错误。《达拉斯晨报》报道,通过该市发言人所谓的“错误模式”,这名员工删除了大量重要的警方和市政记录,而在内部审查暴露出这一事实后,这名员工也被解雇了。自2018年以来,该工作人员至少在三种不同情况下设法删除了超过22 TB的信息,其中包括13 TB的警方文件(内含照片、视频和案件记录)。达拉斯市仍在调查,但似乎这些事件可能涉及在传输重大文件传输时未能遵守流程。
微信关注我们
转载内容版权归作者及来源网站所有!
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
近一个月的开发和优化,本站点的第一个app全新上线。该app采用极致压缩,本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。
为解决软件依赖安装时官方源访问速度慢的问题,腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构,目前腾讯云软件源站支持公网访问和内网访问。
Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称,一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。
Spring框架(Spring Framework)是由Rod Johnson于2002年提出的开源Java企业级应用框架,旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念,提供核心容器、应用上下文、数据访问集成等模块,支持整合Hibernate、Struts等第三方框架,其适用范围不仅限于服务器端开发,绝大多数Java应用均可从中受益。