漏洞堆積如山

對(duì)于網(wǎng)絡(luò)防御或者事件響應(yīng)領(lǐng)域中任何一個(gè)希望度過(guò)緩慢夏天的人來(lái)說(shuō)，情況看起來(lái)都不是太好。其中一個(gè)跡象就是，MOVEit網(wǎng)絡(luò)攻擊活動(dòng)的受害者數(shù)量與日俱增。據(jù)了解，一些已經(jīng)確認(rèn)的攻擊事件對(duì)用戶的個(gè)人數(shù)據(jù)帶來(lái)了重大影響：據(jù)非營(yíng)利性組織Identity Theft Resource Center的數(shù)據(jù)，按照受影響人數(shù)來(lái)看，與MOVEit攻擊相關(guān)的三起數(shù)據(jù)泄露事件躋身2023年上半年十大數(shù)據(jù)泄露事件之列。

Emsisoft公司威脅分析師Brett Callow表示，這可能只是冰山一角，因?yàn)榈侥壳盀橹梗?48個(gè)受影響的組織中，只有11個(gè)組織實(shí)際披露了受影響的人數(shù)。換句話說(shuō)，可能還會(huì)有更多的后果。

根據(jù)Identity Theft Resource Center提供的數(shù)據(jù)顯示，2023年上半年發(fā)生的10起最大數(shù)據(jù)泄露事件總共影響了1.04億人。值得注意的是，一些影響廣泛的、備受矚目的漏洞并未進(jìn)入前十，其中包括今年早些時(shí)候Fortra GoAnywhere文件傳輸平臺(tái)受到攻擊的事件。例如，GoAnywhere活動(dòng)方面最大的事件——醫(yī)療保健福利和技術(shù)公司NationsBenefits遭到黑客攻擊——盡管有300萬(wàn)會(huì)員受到了影響，但并未躋身今年上半年十大數(shù)據(jù)泄露事件之列。

【資料圖】

安全研究人員表示，Clop一直是GoAnywhere和MOVEit活動(dòng)的幕后黑手。這兩種工具都用于托管文件傳輸并非巧合。BlackCloak公司首席執(zhí)行官、前美國(guó)國(guó)土安全部數(shù)據(jù)隱私和數(shù)據(jù)完整性組訓(xùn)委員會(huì)成員Chris Pierson表示，這些技術(shù)能夠攝取大量數(shù)據(jù)，然后將這些數(shù)據(jù)從一個(gè)點(diǎn)轉(zhuǎn)移到另一個(gè)點(diǎn)，因此這也成為對(duì)數(shù)據(jù)竊賊很有吸引力的一個(gè)目標(biāo)。

MOVEit活動(dòng)沒(méi)有像傳統(tǒng)勒索軟件攻擊那樣包括數(shù)據(jù)加密，這是另一個(gè)關(guān)鍵進(jìn)展。正如CrowdStrike情報(bào)主管Adam Meyers今年早些時(shí)候曾表示的，許多網(wǎng)絡(luò)犯罪分子發(fā)現(xiàn)數(shù)據(jù)勒索攻擊比勒索軟件更容易、更有利可圖。在MOVEit攻擊活動(dòng)中，受害者被迫向黑客付款，以避免數(shù)據(jù)在網(wǎng)上泄露，而不是解密他們的數(shù)據(jù)。雖然人們發(fā)現(xiàn)“僅勒索”攻擊不太可能影響小型企業(yè)，但大型組織應(yīng)該注意傳統(tǒng)勒索軟件攻擊的轉(zhuǎn)變，因?yàn)檫@意味著在應(yīng)對(duì)像Clop這樣的網(wǎng)絡(luò)犯罪集團(tuán)時(shí)，僅僅擁有數(shù)據(jù)備份可能已經(jīng)不夠了。

Identity Theft Resource Center提供了有關(guān)截至6月26日的2023年十大數(shù)據(jù)泄露事件的相關(guān)信息（按受影響人數(shù)計(jì)算）。我們也對(duì)這些調(diào)查結(jié)果進(jìn)行了信息上的補(bǔ)充。

10、美國(guó)俄勒岡州交通部

受影響人數(shù)：350萬(wàn)人

與MOVEit攻擊相關(guān)的一次大規(guī)模數(shù)據(jù)泄露影響了美國(guó)俄勒岡州交通部的俄勒岡州司機(jī)和機(jī)動(dòng)車輛部門，以及估計(jì)350萬(wàn)俄勒岡州居民。該部門在一份咨詢報(bào)告中這樣寫(xiě)道：“2023年6月1日，俄勒岡州交通部獲悉，我們受到了MOVEit文件傳輸工具的全球黑客攻擊，我們使用該工具發(fā)送和接收數(shù)據(jù)。我們立即對(duì)系統(tǒng)實(shí)施保護(hù)措施，但是后來(lái)我們了解到，俄勒岡州駕駛執(zhí)照、許可證和身份證的數(shù)據(jù)記錄被讀取了?！?/p>

該部門表示：“如果您擁有有效的俄勒岡州駕駛執(zhí)照、許可證或身份證，您應(yīng)該假設(shè)個(gè)人信息已被泄露。我們并不確切地知道哪些數(shù)據(jù)被泄露，或者哪些個(gè)人受到了影響，但您應(yīng)該知道，通常與DMV駕照、許可證或者身份證記錄相關(guān)的個(gè)人信息，可能已經(jīng)被泄露，包括：姓名、家庭和郵寄地址、駕照或身份證號(hào)碼、社會(huì)保障號(hào)碼的最后四位數(shù)字。”

9、Independent Living Systems公司

受影響人數(shù)：420萬(wàn)人

Independent Living Systems是一家為管理式醫(yī)療機(jī)構(gòu)提供服務(wù)的提供商，今年3月該公司披露了此次泄露事件，但實(shí)際上該事件是發(fā)生在2022年年中的。Independent Living Systems公司在有關(guān)該事件的通知中表示：“2022年7月5日，我們發(fā)生了一起涉及網(wǎng)絡(luò)上某些計(jì)算機(jī)系統(tǒng)無(wú)法訪問(wèn)的事件。我們立即對(duì)此事件做出回應(yīng)，并在外部網(wǎng)絡(luò)安全專家的協(xié)助下開(kāi)始調(diào)查。通過(guò)一系列響應(yīng)工作我們了解到，未經(jīng)授權(quán)的行為者在2022年6月30日至7月5日期間獲得了對(duì)某些ILS系統(tǒng)的訪問(wèn)權(quán)限。在此期間，未經(jīng)授權(quán)的行為者獲取了存儲(chǔ)在ILS網(wǎng)絡(luò)上的一些信息，并且可能訪問(wèn)并且查看了其他一些信息?！?/p>

據(jù)Independent Living Systems稱，此次事件可能涉及到很多個(gè)人數(shù)據(jù)，包括：“姓名、地址、出生日期、駕照、身份證號(hào)碼、社會(huì)保障號(hào)碼、財(cái)務(wù)賬戶信息、醫(yī)療記錄號(hào)碼、醫(yī)療保險(xiǎn)號(hào)碼、或醫(yī)療補(bǔ)助身份、CIN#、精神或身體治療/狀況信息、送餐信息、診斷代碼或診斷信息、入院/出院日期、處方信息、賬單/索賠信息、患者姓名和健康保險(xiǎn)信息。”

據(jù)報(bào)道，該公司已經(jīng)因?yàn)榇舜问录媾R至少五起集體訴訟。

8、TMX Finance Corporate Services公司

受影響人數(shù)：480萬(wàn)人

TMX Finance Corporate Services是一家提供消費(fèi)貸款服務(wù)的公司，該公司在今年3月份披露，他們?cè)?月的時(shí)候發(fā)現(xiàn)了數(shù)據(jù)泄露情況，并且可能早在2022年12月就開(kāi)始了。一份通知稱：“調(diào)查證實(shí)，信息可能涉及2023年2月3日到2023年2月14日期間。我們立即開(kāi)始審查可能受影響的文件，以確定此事件中可能涉及哪些信息。”該公司表示，TMX消費(fèi)者可能受影響的個(gè)人數(shù)據(jù)包括姓名、出生日期、社會(huì)保障號(hào)碼、護(hù)照號(hào)碼、駕駛執(zhí)照號(hào)碼和稅號(hào)。

7、PBI Research Services/Berwyn Group——MOVEit Transfer

受影響人數(shù)：492萬(wàn)人

今年到目前為止，已經(jīng)有四起與MOVEit相關(guān)的重大數(shù)據(jù)泄露事件都是源于第三方供應(yīng)商PBI Research Services的黑客攻擊。迄今為止，這些事件已經(jīng)影響近500萬(wàn)人，他們都是兩大養(yǎng)老金系統(tǒng)——加州公共雇員退休系統(tǒng)(CalPERS)和田納西州綜合退休系統(tǒng)——以及兩家保險(xiǎn)公司Genworth和Wilton Re的服務(wù)對(duì)象。

美國(guó)最大的公共養(yǎng)老基金CalPERS在一份新聞稿中披露，有769000名退休人員的數(shù)據(jù)遭到泄露。新聞稿中引用CalPERS首席執(zhí)行官M(fèi)arcie Frost的一段話稱，PBI數(shù)據(jù)泄露事件是“不可原諒的”。田納西州綜合退休系統(tǒng)則報(bào)告稱，有171836名退休人員和/或受益人受到影響。

與此同時(shí)，Wilton Re在一份通知中披露，近150萬(wàn)人受到PBI黑客攻擊的影響。Genworth報(bào)告稱，在由MOVEit發(fā)起的三大PBI相關(guān)數(shù)據(jù)泄露事件中，規(guī)模最大的一起涉及到“約250萬(wàn)到270萬(wàn)客戶或者保險(xiǎn)代理人的個(gè)人信息”。

6、Pharma公司

受影響人數(shù)：580萬(wàn)人

PharMerica是一家在美國(guó)各地提供藥房服務(wù)的提供商，該公司在今年5月披露稱，該公司在今年3月受到了一次數(shù)據(jù)泄露事件的影響。該公司在一份通知中表示：“調(diào)查確定，未知第三方在2023年3月12日至13日期間訪問(wèn)了我們的計(jì)算機(jī)系統(tǒng)，在該事件中，某些個(gè)人信息可能已經(jīng)被從我們的系統(tǒng)中獲取。2023年3月21日，我們確定這些數(shù)據(jù)包含了個(gè)人信息，包括上述人員的姓名、地址、出生日期、社會(huì)保障號(hào)碼、藥物和健康保險(xiǎn)信息?！?/p>5、美國(guó)路易斯安那州機(jī)動(dòng)車輛辦公室——MOVEit Transfer

受影響人數(shù)：600萬(wàn)人

與MOVEit攻擊相關(guān)的另一起DMV數(shù)據(jù)泄露事件，影響了美國(guó)路易斯安那州機(jī)動(dòng)車輛辦公室和多達(dá)600萬(wàn)路易斯安那州居民（Identity Theft Resource Center中心指出，目前尚不清楚是否存在重復(fù)受害者）。今年6月中旬，路易斯安那州州長(zhǎng)辦公室在一份新聞稿中表示，“相信所有擁有該州頒發(fā)的駕照、身份證或汽車登記證的路易斯安那人，都可能被網(wǎng)絡(luò)攻擊者暴露了以下數(shù)據(jù)：姓名、地址、社會(huì)保障號(hào)碼、出生日期、身高、眼睛顏色、駕照號(hào)碼、車輛登記信息、殘障標(biāo)牌信息?！盋lop集團(tuán)聲稱，已經(jīng)刪除了被盜的政府?dāng)?shù)據(jù)，路易斯安那州州長(zhǎng)辦公室則指出“網(wǎng)絡(luò)攻擊者尚未聯(lián)系州政府”，并補(bǔ)充說(shuō)“目前沒(méi)有跡象表明MOVEit網(wǎng)絡(luò)攻擊者已經(jīng)出售、使用、分享或者發(fā)布了從MOVEit攻擊中獲得的OMV數(shù)據(jù)?！?/p>4、MCNA保險(xiǎn)公司

受影響人數(shù)：892萬(wàn)人

Managed Care of North America (MCNA)保險(xiǎn)公司在今年5月披露，該公司在3月份意識(shí)到自身受到了數(shù)據(jù)泄露的影響。該公司在一份通知中表示：“通過(guò)調(diào)查，MCNA確定未經(jīng)授權(quán)的第三方在2023年2月26日至2023年3月7日期間訪問(wèn)某些系統(tǒng)并刪除某些個(gè)人信息的副本。”

“可能涉及的個(gè)人信息包括：（1）用于識(shí)別和聯(lián)系您的人口統(tǒng)計(jì)信息，例如全名、出生日期、地址、電話和電子郵件；（2）社會(huì)保障號(hào)碼；（3）駕駛執(zhí)照號(hào)碼或政府頒發(fā)的身份證號(hào)碼；（4）健康保險(xiǎn)信息，例如計(jì)劃/保險(xiǎn)公司/政府付款人的名稱、會(huì)員/醫(yī)療補(bǔ)助/醫(yī)療保險(xiǎn)ID號(hào)、計(jì)劃和/或團(tuán)體編號(hào)；（5）有關(guān)牙科/正畸護(hù)理的信息?！?/p>3、Zacks投資研究公司

受影響人數(shù)：893萬(wàn)人

Zacks Investment Research公司在今年1月披露了可能影響82萬(wàn)名客戶的數(shù)據(jù)泄露事件，據(jù)報(bào)道該事件發(fā)生在2021年11月至2022年8月之間?！拔覀冋J(rèn)為被訪問(wèn)的具體客戶信息僅限于姓名、地址、電話號(hào)碼和電子郵件地址/用戶名，以及從1999年11月至2005年2月期間注冊(cè)Zacks Elite產(chǎn)品的舊客戶數(shù)據(jù)庫(kù)中使用的密碼。該產(chǎn)品已于2011年逐步淘汰，”Zacks在網(wǎng)站通知中這樣表示。

然而今年6月，泄露數(shù)據(jù)庫(kù)和通知服務(wù)Have I Been Pwned表示，它收到了2020年泄露事件中屬于890萬(wàn)Zacks用戶的信息數(shù)據(jù)庫(kù)。6月，Zacks在更新的通知中表示，“我們已經(jīng)確認(rèn)，以下Zacks披露的先前數(shù)據(jù)泄露事件涉及一小部分未加密密碼的客戶，未經(jīng)授權(quán)的第三方也獲得了zacks.com客戶的加密密碼的訪問(wèn)權(quán)限。我們沒(méi)有理由相信，對(duì)于任何Zacks客戶來(lái)說(shuō)，任何客戶信用卡信息或任何其他客戶財(cái)務(wù)信息已經(jīng)被訪問(wèn)了?！?/p>2、PeopleConnect公司——Instant Checkmate & Truthfinder

受影響人數(shù)：2020萬(wàn)人

PeopleConnect在今年2月披露，一次數(shù)據(jù)泄露事件影響了他們的背景調(diào)查服務(wù)Instant Checkmate和Truthfinder。PeopleConnect在有關(guān)該事件的一份初步報(bào)告中這樣表示：“最近我們獲悉，TruthFinder訂閱者的名單正在一個(gè)在線論壇上被討論并提供，包括姓名、電子郵件、某些情況下還有電話號(hào)碼，以及安全加密的密碼以及過(guò)期和無(wú)效的密碼重置令牌?！?/p>

該公司在今年3月更新稱：“密碼字段不是可讀的形式，這些字段是使用‘scrypt’算法進(jìn)行散列和加密的。此外，數(shù)據(jù)是從云存儲(chǔ)位置被盜或獲取的，該位置僅由我們?cè)?019年合作的前服務(wù)提供商維護(hù)和使用?！?/p>1、T-Mobile

受影響人數(shù)：3700萬(wàn)人

無(wú)線巨頭T-Mobile在今年1月透露，正在積極調(diào)查可能影響3700萬(wàn)用戶帳戶的數(shù)據(jù)泄露事件。T-Mobile表示，在今年1月5日首次發(fā)現(xiàn)惡意活動(dòng)，當(dāng)時(shí)注意到了“不良行為者”未經(jīng)授權(quán)通過(guò)單個(gè)API獲取數(shù)據(jù)。T-Mobile在向美國(guó)證券交易委員會(huì)提交的文件中稱，此次泄露事件在一天之內(nèi)就得到了遏制，并且沒(méi)有泄露客戶財(cái)務(wù)信息等敏感數(shù)據(jù)。

據(jù)T-Mobile稱，公司認(rèn)為此次泄露事件始于11月25日左右，確實(shí)暴露了一些“基本客戶信息”，包括姓名、賬單地址、電子郵件和電話號(hào)碼，同時(shí)補(bǔ)充說(shuō)，其系統(tǒng)和政策阻止訪問(wèn)最敏感類型的客戶信息。

T-Mobile在文件中表示：“沒(méi)有獲得受影響客戶的任何可能危及客戶賬戶或財(cái)務(wù)安全的信息?！?/p>

關(guān)鍵詞：