摩根大通確認(rèn)泄露8300萬(wàn)用戶(hù)信息,黑客只要數(shù)據(jù)不要錢(qián)
責(zé)編:admin |2014-10-07 15:58:159月初,安全牛曾報(bào)道摩根大通發(fā)現(xiàn)數(shù)據(jù)泄露事件,F(xiàn)BI和NSA都介入調(diào)查。當(dāng)時(shí)據(jù)Bloomberg報(bào)道,數(shù)據(jù)泄露發(fā)生在8月初,黑客是利用銀行網(wǎng)站的一個(gè)0day漏洞發(fā)起的攻擊,F(xiàn)BI根據(jù)攻擊的復(fù)雜性認(rèn)為這是一個(gè)國(guó)家級(jí)黑客組織發(fā)起的攻擊(編者按:自然又是俄羅斯黑客)。
一個(gè)月后的國(guó)慶節(jié)期間,安全牛曾無(wú)意中看到摩根大通在Twitter賬號(hào)上表示將不會(huì)通知此次數(shù)據(jù)泄露事件中受影響的用戶(hù),這是一個(gè)非同尋常的信號(hào)!
果然,在上周四摩根大通向美國(guó)證券交易委員會(huì)提交的調(diào)查文件中,摩根大通確認(rèn)了有大約7600萬(wàn)家庭用戶(hù)和700萬(wàn)小企業(yè)賬戶(hù)泄露,黑客獲取的信息包括用戶(hù)聯(lián)系信息(用戶(hù)姓名、地址、電話(huà)號(hào)碼和電子郵件地址)和摩根大通用戶(hù)追蹤代碼,但是用戶(hù)賬戶(hù)號(hào)碼、密碼、用戶(hù)ID、生日和社會(huì)保險(xiǎn)碼并未泄露。
CISO是個(gè)“臨時(shí)工”
在家得寶5600萬(wàn)信用卡泄露事件問(wèn)責(zé):管理層作死一文中,我們注意到HomeDepot雇傭了一位有前科的罪犯擔(dān)任安全總管,而摩根大通的數(shù)據(jù)泄露也與其首席信息安全官(CISO)是個(gè)“臨時(shí)工”不無(wú)關(guān)系。
6月份黑客入侵摩根大通的網(wǎng)絡(luò)系統(tǒng)時(shí),正值摩根大通新任CISO——Greg Rattray剛剛走馬上任,甚至還不太熟悉自己的停車(chē)位;來(lái)到摩根大通前Rattray曾任美國(guó)空軍信息戰(zhàn)指揮官,而在Rattray到任之前,摩根大通的前任首席安全官Anthony Belfiore今年年初就已辭職加盟其他幾位摩根大通高管創(chuàng)辦的企業(yè),期間由Anish Bhimani兼任信息安全主管職位。
數(shù)據(jù)比錢(qián)值錢(qián)
據(jù)悉黑客找到摩根大通銀行計(jì)算機(jī)軟件的漏洞并加以利用,攻陷了超過(guò)90臺(tái)服務(wù)器,但調(diào)查顯示黑客對(duì)個(gè)人信息的興趣大過(guò)金錢(qián)(數(shù)據(jù)比錢(qián)值錢(qián)?)。雖然銀行賬戶(hù)密碼等關(guān)鍵信息并未泄露,但是與此前的大規(guī)模用戶(hù)數(shù)據(jù)泄露事件的影響類(lèi)似,摩根大通的用戶(hù)面臨的魚(yú)叉式釣魚(yú)和社交工程攻擊的威脅將大增,因?yàn)楹诳驼莆樟撕A坑脩?hù)極為詳細(xì)的隱私數(shù)據(jù)拼圖。
RedSeal網(wǎng)絡(luò)的首席技術(shù)官M(fèi)ik Lioyd博士認(rèn)為,摩根大通的數(shù)據(jù)泄露事件中,黑客忙于竊取用戶(hù)信息,甚至顧不上偷錢(qián),這表明當(dāng)今的網(wǎng)絡(luò)犯罪集團(tuán)極為看中用戶(hù)數(shù)據(jù)的價(jià)值(用戶(hù)數(shù)據(jù)的交易市場(chǎng)和深加工地下產(chǎn)業(yè)鏈已經(jīng)成熟),這就好比軍隊(duì)的指揮官高度重視戰(zhàn)地情報(bào),勝過(guò)對(duì)武器裝備的關(guān)注。
亡羊難補(bǔ)牢
參與調(diào)查的有關(guān)部門(mén)官員表示,摩根大通需要花費(fèi)至少數(shù)月的時(shí)間才能清查其數(shù)以千計(jì)的軟件應(yīng)用并重新與技術(shù)供應(yīng)商商議軟件授權(quán)合同。紐約時(shí)報(bào)指出,這給黑客留出了一個(gè)很長(zhǎng)的時(shí)間窗口,可以進(jìn)一步攻擊摩根大通內(nèi)部系統(tǒng)中未被發(fā)現(xiàn)(未打補(bǔ)丁)的漏洞。
摩根大通的數(shù)據(jù)泄露事件還向全球企業(yè)發(fā)出了迄今最嚴(yán)重的安全警告:即使是最頂尖的安全響應(yīng)技術(shù)和流程都不足以對(duì)付自動(dòng)化的協(xié)同攻擊。企業(yè)需要對(duì)整個(gè)端到端網(wǎng)絡(luò)的訪(fǎng)問(wèn)路徑進(jìn)行自動(dòng)化分析,使用安全工具及時(shí)發(fā)現(xiàn)錯(cuò)誤配置以及任何由于網(wǎng)絡(luò)復(fù)雜性導(dǎo)致的異常。(參考閱讀:企業(yè)滲透測(cè)試自檢的四項(xiàng)基本原則)
摩根大通方面表示將持續(xù)關(guān)注檢測(cè)與此次數(shù)據(jù)泄露事件有關(guān)的金融欺詐事件,而客戶(hù)如果能夠及時(shí)發(fā)現(xiàn)并通報(bào)賬戶(hù)的非授權(quán)交易,摩根大通將承擔(dān)用戶(hù)損失。
與Target和HomeDepot的千萬(wàn)級(jí)大規(guī)模數(shù)據(jù)泄露事件一樣,黑客對(duì)摩根大通進(jìn)行了長(zhǎng)時(shí)間攻擊(據(jù)bloomberg報(bào)道,攻擊始于6月,8月中旬才發(fā)現(xiàn)),而摩根大通毫無(wú)察覺(jué),直到安全界內(nèi)部消息人士捅到媒體。(參考閱讀:家得寶5600萬(wàn)信用卡泄露事件問(wèn)責(zé):管理層作死)
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類(lèi)別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶(hù)賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!