数据泄露指将机密信息、私人信息或其他敏感信息发布到不安全的环境中。数据泄露可能由意外引起,也可能是蓄意攻击的结果。
每年都有数百万人卷入数据泄露,包括意外看错病人图表的医生,以及大规模尝试访问政府计算机以发现敏感信息。
因为敏感数据不断地通过互联网传输,因此数据泄露是主要安全问题。由于需要连续传输信息,攻击者可以在任何位置尝试对其选择的几乎任何个人或企业进行数据泄露攻击。
世界各地的企业也以数字形式存储数据。存储数据的服务器通常容易受到各种形式的网络攻击。
谁通常是数据泄露的目标?
由于大型公司提供大量有效负载,因此是数据泄露攻击者的主要目标。这些有效负载包括数百万用户的个人和财务信息,例如登录凭据和信用卡号。这些数据都可以在地下市场转售。
然而,攻击者会针对可以从中提取数据的所有人。所有个人或机密数据对网络犯罪分子都很有价值——通常,世界上某个人愿意为此付费。
数据泄露有哪些主要途径?
凭据丢失或被盗 - 在线查看私人数据的最简单方法是使用其他人的登录凭据登录服务。为此,攻击者采用一系列策略来获取人们的登录名和密码。其中包括蛮力攻击和在途攻击。
丢失或被盗的设备——丢失的计算机或智能手机包含机密信息,如果落入坏人之手,会非常危险。
社会工程学攻击 - 社会工程学攻击指通过操纵人们的心理来诱使他们交出敏感信息。例如,攻击者可能冒充 IRS 代理打电话给受害者,试图说服他们透露其银行帐户信息。
内部威胁 - 有权访问受保护信息的个人故意泄露相关数据,这通常是为了谋取私利。例如,餐厅服务员复制客户的信用卡号,高级政府雇员将机密出售给其他国家。(了解有关内部威胁的更多信息。)
漏洞利用——世界上几乎每家公司都使用各种不同的软件产品。由于软件非常复杂,它通常包含被称为“漏洞”的缺陷。攻击者可以利用这些漏洞来获得未经授权的访问并查看或复制机密数据。
恶意软件感染——许多恶意软件程序旨在窃取数据或跟踪用户活动,将它们收集的信息发送到攻击者控制的服务器。
实体销售点攻击 - 这些攻击旨在获取信用卡和借记卡信息,最常见的方式是通过扫描和读取这些卡的设备来发动攻击。例如,有人可能会安装假的 ATM 机,甚至将扫描仪安装到合法的 ATM 机上,以期收集卡号和密码。
凭据填充 - 某个用户的登录凭据在数据泄露中公开后,攻击者可能会尝试再用这些凭据登录许多其他的平台。如果该用户使用相同的用户名和密码登录多种服务,则攻击者可能会访问受害者的电子邮件、社交媒体和/或在线银行帐户。
缺乏加密——如果收集个人或财务数据的网站不使用 SSL/TLS 加密,任何人都可以监控用户与网站之间的传输并以查看明文形式的数据。
配置错误的 Web 应用程序或服务器——如果网站、应用程序或 Web 服务器设置不正确,则可能会将数据暴露给任何具有互联网连接的人。无意中发现机密数据的用户或有意寻找机密数据的攻击者可能会看到这些数据。
现实世界中的数据泄露是怎样的?
2017 年的 Equifax 数据泄露事件是大规模数据泄露的一个主要示例。Equifax 是一家美国征信机构。2017 年 5 月至 6 月期间,恶意方访问了 Equifax 服务器中近 1.5 亿美国人、约 1500 万英国公民和约 19,000 名加拿大公民的私人记录。这次攻击之所以成为可能,是因为 Equifax 没有为他们系统中的软件漏洞应用补丁。
较小规模的数据泄露也会产生重大影响。2020 年,攻击者劫持了众多知名人士和有影响力人士的 Twitter 帐户。由于最初的社交工程攻击让攻击者得以访问 Twitter 的内部管理工具,因此导致了这次攻击。从最初的违规行为开始,攻击者能够盗用多个人的帐户并发起一个骗局,该骗局收集了大约 117,000 美元的比特币。
近几十年来最著名的一起数据泄露事件是 2013 年针对主要零售商 Target 发起的网络攻击。这次攻击使用的策略组合非常复杂。它涉及社会工程学攻击、劫持第三方供应商,以及在实体销售点设备上发起大规模攻击。
攻击者通过网络钓鱼诈骗发起攻击,钓鱼的对象是为 Target 商店提供空调制冷设备的一家空调公司的雇员。这些空调连接到 Target 网络的计算机上以监控能源使用情况。为了进入 Target 系统,攻击者入侵了这家空调公司的软件。最终,攻击者得以对 Target 商店中的信用卡扫描程序重新编程,使之向攻击者提供客户信用卡数据。这些扫描仪未联网,但经过编程可以定期将保存的信用卡数据转存到攻击者监控的访问点中。这次攻击取得了成功,导致大约 1.1 亿目标客户的数据被泄露。
企业如何防止数据泄露?
由于数据泄露有多种形式,没有单一的解决方案可以阻止数据泄露,因此需要一种整体方法。企业可以采取的一些主要步骤包括:
访问控制:雇主可以通过确保其雇员仅具有完成其工作所需的最小访问权限,来防止数据泄露。
加密:企业应当使用 SSL/TLS 加密来加密他们的网站和收到的数据。企业还应该对存储在其服务器或员工设备上的静态数据进行加密。
Web 安全解决方案:Web 应用程序防火墙 (WAF) 可以保护企业免受旨在造成数据泄露的多种应用程序攻击和漏洞利用。实际上,根据推测,如果 Equifax 能正确配置 WAF,就可以避免 2017 年遭受的重大数据泄露攻击。
网络安全:除了 Web 资产外,企业还必须保护其内部网络不受入侵。防火墙、DDoS 防护、安全 Web 网关、数据丢失防护 (DLP) 都能帮助保持网络安全。
保持软件和硬件最新:旧版本的软件是危险的。软件几乎总是包含漏洞,如果利用得当,攻击者可以访问敏感数据。软件供应商定期发布安全补丁或全新版本的软件来修补漏洞。如果未安装这些补丁和更新,攻击者将能够入侵这些系统——就像 Equifax 漏洞中所发生的那样。过了某个时间点,供应商将不再支持软件产品,这会导致该软件对发现的任何新漏洞完全开放。
准备:公司应制定应对计划,在数据泄露的情况下执行,以尽量减少或遏制信息泄露。例如,公司应该保留重要数据库的备份副本。
培训:社会工程是数据泄露最普遍的原因之一。培训员工识别和应对社会工程攻击。
用户如何保护自己免遭数据泄露?
以下是保护数据的一些技巧,尽管这些操作本身并不能保证数据安全:
为每个服务使用独特的密码:许多用户在多个在线服务中重复使用密码。结果是,当其中一项服务发生数据泄露时,攻击者也可以使用这些凭据来入侵用户的其他帐户。
使用双因素身份验证:双因素身份验证 (2FA) 是指在允许登录之前,使用一种以上的验证方法来确认用户的身份。2FA 最常见的一种形式是除了密码外,用户还需输入发送到其手机的独特一次性代码。实施 2FA 的用户不太容易受到泄露登录凭据的数据泄露的影响,因为他们的密码本身不足以让攻击者窃取他们的帐户。
仅在 HTTPS 网站上提交个人信息:不使用 SSL 加密的网站,其 URL 中将只有“http://”,而不是“https://”。没有加密的网站会暴露在该网站上输入的任何数据,从用户名和密码到搜索查询和信用卡号。
保持软件和硬件最新:这个建议同时适用于用户和企业。
加密硬盘:如果用户的设备被盗,加密会阻止攻击者查看本地存储在该设备上的文件。但是,这并不能阻止通过恶意软件感染或其他方法远程访问设备的攻击者。
仅安装来自可靠来源的应用程序和打开来自可靠来源的文件:用户每天都会意外下载和安装恶意软件。确保您打开、下载或安装的任何文件或应用程序确实来自合法来源。此外,用户应避免打开意外的电子邮件附件——攻击者经常将恶意软件伪装在看似无害的电子邮件附件中。