2014年七大內(nèi)部威脅導(dǎo)致的數(shù)據(jù)泄露事件
從內(nèi)部威脅的角度來(lái)看,2014年對(duì)于許多知名企業(yè)而言,是遭受到了難以置信破壞性的一年。不懷好意的內(nèi)部人員利用受感染的POS機(jī)和高度復(fù)雜的惡意軟件掘取公司知識(shí)產(chǎn)權(quán)和客戶個(gè)人信息,如信用卡信息和社會(huì)安全號(hào)碼等。據(jù)卡內(nèi)基梅隆大學(xué)軟件工程學(xué)院,惡意內(nèi)部人員對(duì)組織的威脅,指的是授權(quán)訪問組織網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)的現(xiàn)任或前任員工、承包商或其他業(yè)務(wù)合伙人,通過有意亂用或誤用該權(quán)限,對(duì)組織的信息或信息系統(tǒng)的保密性、完整性或可用性造成負(fù)面影響的行為。今天我們就來(lái)回顧一下2014年由內(nèi)部威脅引起的七大安全事件。
一、韓國(guó)信用局
今年一月,據(jù)透露韓國(guó)信用局2700萬(wàn)條記錄被盜,包括姓名、居民身份證號(hào)碼和信用卡詳細(xì)信息,波及韓國(guó)人口的40%。一家負(fù)責(zé)韓國(guó)信用局信用評(píng)分系統(tǒng)的計(jì)算機(jī)承包商,因在超過一年半的時(shí)間里濫用訪問權(quán)限秘密復(fù)制數(shù)據(jù)到外部驅(qū)動(dòng)器,而成為該事件的罪魁禍?zhǔn)住D壳霸摮邪桃呀?jīng)被確認(rèn)并逮捕,一起被逮捕的還包括在信息傳播中發(fā)揮作用的15人。當(dāng)局仍在試圖確定泄露記錄的分布情況,調(diào)查還沒有結(jié)束。
二、英國(guó)巴克萊銀行
今年二月,世界十大銀行之一的英國(guó)巴克萊銀行,遺失了27000份客戶文件,內(nèi)容包含從護(hù)照和國(guó)家保險(xiǎn)號(hào)碼到收入、儲(chǔ)蓄、抵押貸款、健康問題和保險(xiǎn)政策的所有信息。泄露數(shù)據(jù)在黑市的潛在價(jià)值可達(dá)數(shù)百萬(wàn),因?yàn)椴涣挤肿涌梢允褂眠@些被竊信息對(duì)毫無(wú)戒心個(gè)人進(jìn)行攻擊。該銀行自身員工涉嫌銷售和分銷被竊信息。不過到目前為止,還沒有人被捕。
三、美國(guó)塔吉特連鎖店
同樣今年二月,塔吉特宣布,某受信第三方供暖和空調(diào)承包商對(duì)這起歷史上最大的數(shù)據(jù)泄露事件負(fù)責(zé)。在這起內(nèi)部事件中,塔吉特連鎖店顧客的4000萬(wàn)客戶信用卡和借記卡號(hào)碼連同7000萬(wàn)條包含姓名、地址、電子郵件和電話號(hào)碼的記錄被泄露。此次泄露事件仍在接受聯(lián)邦調(diào)查,目前塔吉特正在處理由受影響銀行和信用聯(lián)盟提請(qǐng)的訴訟。
四、美國(guó)杜邦
今年三月,美國(guó)杜邦公司宣布,其用于紙品和塑料清潔生產(chǎn)的白色顏料專有配方被盜,并在市場(chǎng)上以140億美元的價(jià)格賣給了一家有競(jìng)爭(zhēng)力的中國(guó)公司。杜邦公司某承包商以2800萬(wàn)美元的合同價(jià)售出了該配方。承包商被判經(jīng)濟(jì)間諜罪、竊取商業(yè)機(jī)密罪、干預(yù)證人罪、虛假陳述罪等22項(xiàng)罪名。
五、美國(guó)石油天然氣公司EnerVest
今年五月,某地方檢察官確定,因EnerVest某員工得知自己將被公司解雇,于是恢復(fù)了所有網(wǎng)絡(luò)服務(wù)器的出廠設(shè)置,斷開了關(guān)鍵網(wǎng)絡(luò)設(shè)備,禁用了設(shè)備冷卻系統(tǒng)。該流氓員工的行為造成該公司大約30天的全面通信與業(yè)務(wù)操作中斷,EnerVest花費(fèi)數(shù)十萬(wàn)美元用于恢復(fù)網(wǎng)絡(luò)服務(wù)器歷史數(shù)據(jù)。
六、美國(guó)電話電報(bào)公司(AT&T)
今年六月,據(jù)透露美國(guó)電話電報(bào)公司某員工通過非正當(dāng)手段獲取了約1600個(gè)客戶賬戶,并可能查看了客戶的社會(huì)保障號(hào)碼和駕照號(hào)碼。相信該員工竊取這些記錄是用于越獄鎖定的AT&T手機(jī),讓這些手機(jī)可以更容易轉(zhuǎn)手。
七、美國(guó)UMB銀行
今年九月,據(jù)報(bào)道UMB銀行因某員工在四年時(shí)間里生成377張欺詐支票而損失超過65萬(wàn)美元。該員工負(fù)責(zé)在客戶帳戶關(guān)閉后生成退款支票,利用職務(wù)之便簽發(fā)虛假退款支票為個(gè)人牟利,在公司進(jìn)行了欺詐調(diào)查后承認(rèn)了對(duì)她的指控。由于她的犯罪活動(dòng)與她正常的日常職責(zé)相吻合,造成這些欺詐性交易在很長(zhǎng)一段時(shí)間都沒有被發(fā)現(xiàn)。
