2019年度重大信息安全事件,網絡信息安全不容樂觀(下)

美國電信巨頭 Verizon 每年都會發布年度數據洩露報告（DBIR）。Verizon 不僅綜合了多個合作夥伴的數據分析，而且還採用了嚴格的數據驅動方法來分析安全漏洞和事件。連續發布10年來，DBIR 報告已經成為安全行業的重量級調查報告，值得安全從業者仔細研讀。

由於報告本身描述眾多，本文選取了其中最後的部分——年度信息安全事件，進行解讀、匯總，以供各位讀者參考。

之前已經給大家總結了上半年的每月重大信息安全漏洞事件，接下來給大家介紹下半年的。

2019年度重大信息安全事件

七月重大信息安全事件：影響1億美國公民和600萬加拿大人的數據洩露事件。

7月29日，美國第一資本投資國際集團（Capital One）披露其數據遭洩露，影響了1億美國人和600萬加拿大人。

Capital One表示，2005年至2019年，用於申請信用卡的個人信息被洩露，包括客戶姓名、地址、郵政編碼、電話號碼、電子郵件地址、出生日期和收入。但實際上，除信用卡申請信息外，部分信用卡客戶的數據也被洩露，包括客戶信用評分、信用額度、餘額、付款歷史、聯繫方式等。大約100萬個加拿大社會保險號碼、14萬個美國社會保險號碼和8萬個銀行帳號也可以被訪問。

該公司表示，此次數據洩露是由配置出現漏洞引起、由外部安全研究人員向其披露的。該公司已在7月19日獲悉並立即修復了配置漏洞。訪問這些數據的人現在已經被捕並拘留。

2019年度重大信息安全事件

八月重大信息安全事件：英國生物特徵資料庫洩露了數百萬條記錄。

英國廣播公司（BBC）8月14日報導稱，研究人員在Suprema的Biostar 2生物識別鎖定系統中發現了一個安全漏洞，該系統允許他們訪問超過100萬個身份驗證數據。

這些數據包括指紋和面部識別數據，未加密的用戶名和密碼，甚至是員工個人信息。 Suprema生物識別認證系統擁有許多公司和公共機構客戶，包括英國大都會警察局，國防承包商和銀行，還有美國、巴基斯坦、芬蘭和印度尼西亞的跨國公司。

以色列研究人員Noam Rotem，Ran Locar和vpnmentor在Suprema中發現了一個安全漏洞，並獲得了訪問Biostar 2資料庫的權限。

最令人震驚的是，在獲得訪問權限後，安全研究人員發現資料庫缺乏應有的保護，並且大多數據處於未加密的存儲狀態，因此可以輕鬆訪問總數超過2780萬（超過23GB的數據）記錄。

除敏感信息外，安全研究人員還可以輕鬆監控存儲的生物識別數據的實際使用情況。例如，要實時查看哪個用戶通過特定安全門進入任何設施，甚至查看管理員帳戶的密碼。此外，研究人員可以編輯某人的帳戶並添加他們自己的指紋。

因此從理論上講，攻擊者可以突破所有需要被授權進入的地方。

2019年度重大信息安全事件

九月重大信息安全事件：近500萬DoorDash用戶在數據洩露中受到影響

DoorDash今天宣布，其安全漏洞影響了490萬用戶。據該公司稱，2019年5月4日，一個未經授權的第三方獲取了2018年4月5日之前加入該平臺的DoorDash用戶的信息，包括消費者、送貨司機和商家。

黑客可訪問的信息包括姓名、電子郵件地址、用於送貨的物理地址、訂單歷史記錄、電話號碼和密碼，這些本來都是使用哈希和鹽析技術加密的。該公司建議用戶重置密碼，並聲明沒有任何密碼被洩露。

DoorDash透露，一些消費者支付卡的後四位數字也受到了攻擊，但沒有訪問完整的支付信息，包括完整的卡號或CVV安全代碼。但是，大約10萬名DoorDash司機的完整駕照號碼被洩露。

DoorDash聲稱，為了應對這一事件，它增加了許多額外的安全層來保護用戶數據，並改進了允許訪問其系統的安全協議。該公司正在尋找受此次洩露影響的個人用戶，但該公司尚未披露受影響用戶目前需要採取的任何額外行動。

2019年度重大信息安全事件

十月重大信息安全事件：2000萬俄羅斯人的稅收和個人身份信息可公開訪問

8月據外媒報導，有研究人員披露，一個存有2000萬條俄羅斯公民納稅記錄的數據集群並未設置任何安全措施，所用訪問者均可通過公共網絡查看這些信息。此次事件中被暴露的信息包括納稅人姓名、地址、居留身份、護照號碼、電話號碼、稅號、僱主姓名及其電話號，以及納稅額等。

據了解，這個AWS Elasticsearch數據集群由多個資料庫組成，其中兩個資料庫存有俄羅斯公民的稅務及個人信息：一個資料庫存有2010年至2016年間的1400萬條納稅記錄，另一個則存有2009年至2015年間的600萬條納稅記錄。受影響的俄羅斯公民多居住在莫斯科及周邊地區。

2019年度重大信息安全事件

十一月重大信息安全事件：英國工黨系統遭受大規模DDoS網絡攻擊

11月12日，據報導，英國工黨系統遭受大規模分布式拒絕服務（DDoS）網絡攻擊。工黨發言人稱，網絡攻擊影響了其網站以及在線競選平臺。

該攻擊使用受感染計算機殭屍網絡向伺服器發送請求，並使伺服器不堪重負。

網絡記錄顯示，工黨是Cloudflare公司的客戶，Cloudflare公司為工黨的大部分網絡提供了DDoS保護服務。該公司通過提供所需的額外容量、過濾流量以僅處理合法請求，並將網站的「緩存」版本存儲在自己的伺服器上，從而保護客戶免受DDoS攻擊。該事件已上報至英國國家網絡安全中心。

2019年度重大信息安全事件

十二月重大信息安全事件：2100 萬 Mixcloud 用戶數據在暗網出售

在線音樂流媒體服務 Mixcloud 最近遭到黑客的攻擊，用戶數據在暗網上出售。超過 2000 萬個用戶帳戶的數據遭到曝光。這些數據包括用戶名，電子郵件地址，SHA-2 哈希密碼，帳戶註冊日期和國家 / 地區，最近一次登錄日期，IP 地址以及個人資料照片的連結。

黑客以 0.27 比特幣（約合 2,000 美元）的價格出售這些數據。Mixcloud 目前正在積極調查此事件，並且建議用戶將密碼重置。

2019年度重大信息安全事件

總結

政府行業數據洩漏事件、勒索病毒事件，幾乎每月、每周、每天都有發生，數據安全的重要性不言而喻。但是究竟如何體系化、系統化進行數據安全防護建設？

這是每個政府行業信息安全從業者都在思索和探究的問題。