回顾2019年那些令人触目惊心的数据泄露大事件，我们从中得到哪些启示？

2019年有望成为有史以来数据泄露最严重的一年。

根据Risk Based Security发布的数据显示，仅在2019年的前九个月中，就共计发生了5,183次数据泄露，暴露了超过79亿条数据记录。与去年同期相比，2019年的数据泄露总数增长了超过33％。值得一提的是，2019年，单次暴露超过1亿条记录的违规事件就高达6起之多，而黑客入侵就是造成大多数违规事件的主要原因。
大多数违规行为涉及数据泄露，例如电子邮件帐户、帐户凭据以及受害者的姓名和电话号码等个人信息，而这些大量泄露的身份信息，例如社会保险号、银行帐户信息以及支付卡数据等均可用于身份盗窃和欺诈活动。
对于遭受攻击的企业组织（以及数亿互联网用户）而言，这些违规行为提醒我们，网络上的敏感数据仍然十分脆弱。尽管近年来，人们对网络威胁的意识日益增强，并在网络安全投资方面投入了数十亿美元，但绝大多数组织仍然像以往一样容易受到攻击。
以下是我们可以2019年的一些大规模数据泄露事件中学到的经验：

1. 收集大量数据的组织是重点攻击目标

示例组织：Verifications.io；

攻击时间：2019年2月。

泄露事件回顾：2019年2月，向企业组织提供电子邮件验证服务的公司Verifications.io暴露了其Mongo数据库，其中包含超过8.08亿条记录，这些记录可供具有网络连接能力的任何人公开访问。据悉，该数据库中包含有用户电子邮件地址、出生日期、电话号码、实际地址、雇主信息、IP地址、业务信息以及其他信息。虽然并非所有记录都包含敏感数据，但仍有数百万条记录存在敏感信息。事件发生后，这一被认为是位于Boca Raton或爱沙尼亚的Verifications.io网站便处于了脱机状态。

经验教训：收集大量数据的组织始终是攻击者的重点目标，但是这类企业组织在公众眼中可能并不显眼。Unisys首席信任官Tom Patterson表示：

“处于威胁中心的行业，包括市场营销、法律、会计、运输等领域，不能再因为觉得自己不起眼而忽略安全性。来自全球的威胁行为者已经清楚地瞄准了你，你现在就是他们的待宰羔羊。”

2. 云存储风险是真实存在的

示例组织：Capital One；

攻击时间：2019年7月。

泄漏事件回顾：2019年7月，一名未经授权的外部人员（AWS的一名前员工）通过错误配置的Web应用程序防火墙访问了Capital One数据库，导致超过1亿美国个人和600万加拿大居民的个人信息泄露。据悉，黑客访问的最大类别信息是自2005年到2019年初申请过Capital One某个信用卡产品的消费者和小企业的信息。这些信息包括Capital One在收到信用卡申请时经常收集的个人信息，包括姓名、地址、出生日期、邮政编码/邮政编码、电话号码、电子邮件地址和自报收入。除信用卡申请数据外，这名黑客还获取了80,000名信用卡客户数据，包括客户状态数据，例如信用评分、信用额度、余额、付款历史、联络信息等等，以及140,000人的社会保障号码。

经验教训：此次数据泄露事件是由错误配置的Web应用程序防火墙所致，这使得攻击者可以在托管数据的云服务器上执行特权命令。Positive Technologies网络安全弹性主管Leigh-Anne Galloway表示：

“对于大公司来说，云存储是一种越来越有吸引力的选择，因为它比本地存储要便宜。但是，许多公司由于无法采取与本地部署架构相同的措施而使数据面临风险。他们应该尽快落实正确的安全措施，否则，罚款以及诉讼所付出的财务成本将远远超出部署云存储所节省的成本。”

3. 第三方安全故障会造成损害

示例组织：美国医疗数据局（AMCA）；

攻击时间：泄漏事件披露于2019年5月。

泄漏事件回顾：由于对数据库的非授权访问导致美国医疗数据局的约200万个人医疗数据泄露。信息泄露影响了LabCorp 和Quest Diagnostics等公司。据悉，此次泄露的数据包括用户社会保障号码、银行账户和信用卡信息以及属于约1190万Quest患者和770万LabCorp患者的医疗信息等。据统计，该事件共计影响了21家医疗保健组织和至少2440万个人。在遭到一些客户起诉之后，AMCA已经申请了破产保护程序。

经验教训：对于Quest、LabCorp以及其他受害者来说，AMCA事件是第三方风险的典型例子。这提醒人们，组织必须确保与之交互的业务合作伙伴和其他第三方遵循安全最佳实践。

Panorays首席执行官Matan Or-El表示：

“企业面临的挑战是管理有关第三方安全状况的信息。无法及时解决安全问题的供应商，接收数据且未按需保护数据的合作伙伴以及获得企业网络访问权限，但无法以适当的方式保护该访问的合作伙伴和第三方都是不可取的。”

4. 内部人士构成巨大威胁

示例组织：联邦紧急事务管理局（FEMA）；

攻击时间：泄露事件公布于2019年3月。

泄漏事件回顾：由于无意间与第三方承包商共享了敏感的个人信息，美国联邦紧急事务管理局（FEMA）泄露了受飓风艾尔玛，哈维和玛丽亚影响的230万幸存者的家庭住址和银行信息。一般情况下，FEMA应该根据合同要求向第三方给提供更为有限的数据集——例如申请人的全名、出生日期以及社会保障号码的后四位——以便承包商可以验证其获取救助的资格。此次过度共享行为引发了人们对于身份盗用和欺诈的极大关注和担心。

经验教训：并非所有违规行为都是外部参与者所为。实际上，根据Verizon的《 2019年数据泄露调查报告》显示，源于内部人员的数据泄露比例相当高，占34％。其中，人为错误和过失通常是最大的内部风险。但是特权滥用和恶意的内部行为也是重大威胁。

5. 遵守行业法规道阻且长

示例组织：Earl Enterprises；

攻击时间：泄漏事件披露于2019年3月，但很可能发生于2018年5月左右。

泄漏事件回顾：未知的攻击者在属于Earl（许多餐馆品牌的母公司，包括Buca di Beppo、Sandwich伯爵和好莱坞星球）的销售点（PoS）系统上使用恶意软件，窃取信用卡和借记卡数据。据悉，该攻击者从美国所有67个Buca di Beppo餐馆的顾客中窃取了超过200万张支付卡号，此外还有少量的Earl of Sandwich和Planet Planet用户信息。专家认为，攻击最初应该发生在2018年5月，直至2019年3月才公开披露，这长达10个月的时间居然没人注意到这起数据盗窃案。

经验教训：对于许多收集和处理支付卡数据的组织而言，遵守行业规范和支付卡行业数据安全标准（PCI DSS）的精神仍然欠缺。NCC小组法务负责人Tom Arnold表示，类似Earl Enterprises这样的漏洞通常是由于在处理支付卡进程的现金操作系统（BoH）上安装了恶意软件引起的。导致攻击或破坏的常见问题包括BoH服务器被用于Web浏览和其他意外目的；有人能够远程访问IT和系统集成商的服务器；或者未能正确更新系统。

6. 攻击者喜欢攻击脆弱的Web应用程序

示例组织：梅西百货；

攻击时间：2019年10月。

泄漏事件回顾：由于梅西百货公司的在线支付门户中被黑客植入了Magecart读卡代码，以捕获用户在这些页面上输入的支付卡和其他信息，导致用户的姓名、地址、电话号码、支付卡详细信息以及其他信息都受到了损害。梅西百货在10月15日发现该攻击后立即将其关闭，但尚不清楚有多少人受到了影响。据悉，发起此次攻击的幕后黑手正是Magecart umbrella黑客组织，而梅西百货只是其2019年众多攻击活动中的受害者之一。

经验教训：安全性极差的Web应用程序仍在对组织（尤其是零售商）构成重大风险。几种最常见的Web应用程序漏洞已存在多年，例如SQL注入、跨站点脚本、破损的身份验证和会话管理以及跨站点请求伪造等等。Positive Technology的研究表明，2018年测试的三分之二的Web应用程序的安全级别极差，与2017年相比，其关键缺陷的数量增加了三倍。Galloway表示：

“Positive Technologies的研究表明，在2018年，对零售业的大部分攻击（63％）针对的是Web服务。在线商店是数据盗贼们最喜欢的攻击目标——70%的案例中，支付卡信息都被盗了。”

7. 供应链合作伙伴可能破坏安全性

示例组织：Wipro；

攻击时间：泄漏事件披露于2019年4月，但很可能发生时间更早。

泄露事件回顾：Wipro是印度第四大IT服务出口商，也是印度最大的外包公司之一。此次事件的攻击者被认为是先进的持续性威胁组织（APT），他们将网络钓鱼邮件与合法的红队和渗透测试工具结合使用，破坏了Wipro大约100个系统。然后，他们在这些系统上安装了一个远程访问木马，并使用该工具连接到属于近12个Wipro客户的系统。最终，他们的目标是礼品卡欺诈。

经验教训：Wipro只是APT组织针对的其中一个例子，因为这种类型的公司提供了对其他公司的访问权限。Wipro公司拥有很多《财富》500强客户，它允许攻击者访问多个其他公司的系统，而无需直接破坏其中的任何一个。2018年，出于相同的原因，许多知名的服务提供商都以类似的方式成为了攻击目标。

Infocyte联合创始人兼CPO Chris Gerritz表示：

“针对Wipro的攻击是非常隐秘的，因为攻击者的意图是悄无声息地寻找使用Wipro网络和访问其客户的机会。这样的攻击可能会隐藏数月甚至数年，如果不能及时发现并补救的话，最终将会造成重大损害。这种供应链攻击的威胁示例包括IP盗窃、企业间谍活动以及攻击者可能将其对特定网络的访问权出售给另一位攻击者。就像Wipro事件所警告我们的一样，威胁是组织在其安全策略中必须拥有主动和响应元素的原因，不能仅仅依赖防火墙和传统AV等核心预防工具和控件。