2023年是网络安全领域里程碑式的一年。威胁组织利用他们掌握的所有工具,突破企业的防御机制。对于消费者来说,又是隐私持续曝光的一年,层出不穷的数据泄露事件让个人隐私备受威胁。
据《数据泄露调查报告(DBIR)》指出,外部行为应对绝大多数(83%)的泄露事件负责,而经济利益几乎是所有(95%)泄露事件的初衷。这就是为什么会将下述文中的大多数事件归结为勒索软件或数据盗窃勒索者,但有时,数据泄露的原因还可能涉及人为错误或恶意的内部人员。
以下为挑选出的2023年国际十大攻击事件,排名不分先后。
2023年5月下旬,MOVEit文件传输解决方案被曝存在严重的SQL注入漏洞(CVE-2023-34362),可能导致权限升级和对环境的潜在未经授权访问。换句话说,该漏洞可能使黑客访问MOVEit并窃取数据。
2023年6月6日,勒索软件组织Clop声称将针对Progress Software的MOVEit传输工具的攻击负责。作案手法很简单:利用流行软件产品中的零日漏洞进入客户环境,然后泄露尽可能多的数据来勒索赎金。目前还不清楚究竟有多少数据被窃取。但据估计,有2600多个组织和8300多万人参与其中。按地域来看,北美企业受影响最重,占比超过90%(美国77.8%、加拿大14.2%),在受影响行业方面,教育、卫生、金融最为严重。
按照行业预测的数据泄露的平均成本来看,MOVEit漏洞事件可能造成全球范围内100亿美元以上的经济损失影响,主要体现在赎金支付、事件影响、违约责任等一系列支出上,同时造成的海量数据泄露可能进一步成为犯罪诱因。
除了经济损失外,还会产生一系列的持续性影响,目标组织就算支付赎金,也不排除其重要数据会在未来被泄露的可能性,且供应链之间存在的上下游影响,甚至会对未来产生更复杂的安全影响。
MOVEit背后的Progress Software公司公布了有关关键安全漏洞的详细信息,并于2023年5月31日发布了补丁,敦促客户立即部署该漏洞或采取公司咨询中概述的缓解措施。
2023年8月,英国选举委员会遭遇大规模数据泄露,2014年-2022年期间在英国注册投票的所有个人数据(包括姓名和家庭住址)全部被盗,影响了大约4000万选民。
虽然英国选举委员会声称,此次事件是由“复杂的”网络攻击造成的,但此后的报道表明,其本身的网络安全状况就很差——该组织没有通过“网络必需品”的基线安全审计。一个未打补丁的微软Exchange服务器可能是罪魁祸首。该公司还声称,自2021年8月以来,威胁组织可能一直在探测其网络。
作为回应,该委员会在后续声明中向所有受影响的人道歉,并表示会与安全专家合作调查该事件,并确保其系统免受进一步攻击。目前还没有迹象表明谁可能是此次泄露事件的幕后黑手。
这是一个既属于内部泄露的事件,也是一个相对较少的受害者可能遭受巨大影响的事件。2023年8月,北爱尔兰警局发布声明称,一名员工应《信息自由法》(Freedom of Information, FOI)的要求,不小心将敏感的内部数据泄露到了What Do They Know网站。这些信息包括大约1万名官员和文职人员的姓名、军衔和部门,其中甚至还包括从事监视和情报工作的人员。
尽管这些数据只发布了两个小时就被撤下,但这段时间足以让信息在爱尔兰共和派异见人士之间传播,引发了前所未有的安全威胁。
数据显示,自泄露事件发生以来,已有约近2000名员工向警方表示担忧,许多人在社交媒体上更改了自己的名字,甚至完全删除了自己的账户。
作为回应,警察局长公开致歉,并对受影响的员工进行了赔偿。一位文职人员指出,后勤人员只能收到大约500英镑的危险金,而一名涉险官员最多可以获得3500英镑赔偿。
2023年最大的数据泄露事件当属数字风险平台DarkBeam意外暴露了38亿条记录,起因是其错误配置了Elasticsearch和Kibana数据可视化界面。一名安全研究人员注意到了这一隐私问题,并通知了该公司,该公司也迅速纠正了这一问题。然而,目前还不清楚这些数据暴露了多长时间,也不清楚之前是否有人恶意访问过这些数据。
具有讽刺意味的是,这些数据中的大部分都是来自之前的数据泄露事件,而这些数据都是由DarkBeam收集的,目的是提醒用户注意影响其个人信息的安全事件、DarkBeam所持有信息的范围及方式。此外,这起事件也再次强调密切和持续监控系统配置错误的重要性。
今年10月,一名黑客将8.15亿印度居民的个人信息出售,这是印度最大的一起大型数据泄露事件。这些数据似乎是从ICMR的新冠病毒检测数据库中窃取的,包括姓名、年龄、性别、地址、护照号码和Aadhaar(政府身份证号码)。在印度,Aadhaar可以用作数字身份证,用于支付账单等操作。
此次事件尤其具有破坏性,因为黑客可能利用这些来尝试一系列身份欺诈攻击。
2023年9月底,一名威胁分子在黑客论坛上泄露了名为“Ashkenazi DNA Data of Celebrities.csv”的CSV文件中的23andMe公司客户数据。据称,该文件包含近100万德系犹太人的数据,他们使用23andMe服务查找其祖先信息、遗传倾向等。
CSV文件中的数据包含有关23andMe用户的帐户ID、全名、性别、出生日期、DNA 配置文件、遗传血统结果、位置和地区详细信息的信息。
在回应调查时,23andMe声称,黑客是通过对安全性较弱的帐户进行撞库攻击来访问其平台的。攻击者最初获得了少数账户的未经授权的访问,但最终窃取了更多但数量未定义的客户数据,因为他们激活了一个名为“DNA 亲属”的可选功能,该功能连接了遗传亲属,从而允许威胁行为者访问并从潜在亲属那里获取更多的数据点。
10月份披露的HTTP/2协议中存在一个零日漏洞(CVE-2023-44487)。简单来说,攻击方法滥用了HTTP/2的流取消功能,不断发送和取消请求,以压倒目标服务器/应用程序,导致拒绝服务状态。HTTP/2协议具有一种保护机制,即限制并发活动流的数量,以防止拒绝服务攻击。然而,这并不总是有效。协议开发人员引入了一种更有效的措施,称为“请求取消”,它不会终止整个连接,但可以被滥用。
自8月底以来,恶意行为者一直在滥用这个功能,向服务器发送大量的HTTP/2请求和重置(RST_Stream帧),要求服务器处理每个请求并执行快速重置,从而超出其响应新请求的能力。
该漏洞使威胁行为者能够发起一些有史以来最大的DDoS攻击。谷歌表示,这些请求达到了每秒3.98亿次的峰值,而之前的最高速度为每秒4600万次。目前,像谷歌和Cloudflare这样的互联网巨头已经修补了这个漏洞,但管理自己互联网业务的公司还需要立即跟进。
这家美国电信公司近年来遭遇了许多数据泄露事件,但2023年1月披露的事件是迄今为止最大的数据泄露事件之一。它影响了3700万客户,泄露数据包含客户姓名、地址、电话号码、出生日期、电子邮箱、T-mobile账户号码等。
4月份披露的第二次事件仅影响了800多名客户,但涉及的数据点更多,包括T-Mobile账户pin、社会安全号码、政府ID详细信息、出生日期以及该公司用于服务客户账户的内部代码。
拉斯维加斯的两家大公司在几天内接连遭到了ALPHV/BlackCat勒索软件分支机构“Scattered Spider”的攻击。在米高梅的案例中,他们仅仅通过在领英(LinkedIn)上的一些研究,就成功地获得了网络访问权限,然后对个人进行了网络钓鱼攻击,通过冒充IT部门成功获取了目标的登录凭据。这起事件给公司带来了重大的财务损失,它被迫关闭了主要的IT系统,导致老虎机、餐厅管理系统甚至房间钥匙卡中断了很多天,整体损失预计高达1亿美元。凯撒的损失尚不清楚,该公司承认向勒索者支付了1500万美元。
对于美国和任何担心恶意内部人员的大型组织来说,最后这起事件无疑具有警示意义。21岁的杰克·特谢拉(Jack Teixeira)是马萨诸塞州空军国民警卫队情报部门的一名成员,他泄露了高度敏感的军事文件,目的只是为了在其Discord社区中进行吹嘘。这些帖子随后在其他平台上被分享,并被追踪乌克兰战争的俄罗斯人转发。这些信息为俄罗斯在乌克兰的战争提供了宝贵的军事情报,并破坏了美国与其盟友的关系。但最令人难以置信的是,Teixeira能够打印出最高机密文件,并将其带回家拍照并随意上传。
以上就是2023年最具代表性的10起重大安全事件,希望这些事件能提供一些有用的经验教训。
文章来源:嘶吼专业版
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END