ISO27001认证:2011年以来国内外主要信息安全事件盘点
对于近年来多如牛毛的信息安全事件,人们已经有些见怪不怪、习以为常了,但现实中不断发生并且愈演愈烈的大事件,一次又一次地把我们从麻木状态中唤醒。在此之中,数据泄露网络环境下的泄密事件一直扮演关键角色。2011年,这一点更为突出,各种各样的泄密门不绝于耳。
1、2011年3月15日,RSA公司执行总裁阿特考维洛称,该公司遭黑客攻击,用户用于获得身份认证的SecurID(安全令牌)信息被窃。
在信息安全界,RSA声望卓著,其加密算法、商用密码产品及服务为业内翘楚,许多欧美发达国家,包括政府、军队和军工生产部门,都在RSA的客户名单上。考维洛公布消息不久,黑客袭击了包括洛克希德-马丁公司在内的众多敏感目标。
RSA的数据泄露,给母公司EMC造成的单季损失即达5500万美元,这是2011年第一宗具有震撼效果的数据泄露事件,而该事件的起源不过是其内部员工点击了一份含有木马的垃圾邮件。安全公司本身不安全,类似事件接近年底时在另一著名厂商赛门铁克公司重演。
另一方面,考维洛的声明迅速让高级持续性威胁(APT)一词成为信息安全行业的年度流行语。该词最初由美国空军使用,现演变为一种复杂的、针对特定目标的不间断攻击行为。站在2012年回望,APT在2011年全面爆发。挪威国家安全局在2011年11月称,石油、天然气和防务公司已成为该国被攻击的主要目标,商业秘密和敏感信息遭窃取。
2、2011年4月,日本索尼旗下公司遭黑客攻击,该公司多个网站和服务平台被迫关闭,7700万客户信息包括信用卡账号失窃。
恢复服务不久,第二波攻击降临,一度信誓旦旦的索尼不得不深沟高垒、再挂免战牌。当年5月,索尼总公司表示有超过1亿个账户的详细资料和1200万个没有加密的信用卡号码失窃。有报道称,索尼花了1.71亿美元用于事件之后的客户挽救、法律成本和技术改进。与此相比,花旗集团是不是幸运一些?2011年6月,花旗承认有黑客入侵并有超过36万用户的信用卡数据被盗,损失270万美元。
同样生活在黑暗世界,但与头顶光环的老一代黑客相比,现在的黑客绝大多数不过是网络空间的盗贼而已。由于利益驱动,非法地下交易市场、专业的攻击技术和专业化分工,当前所面对的安全威胁日趋严峻。对信息安全来说,敏感信息和数据泄露的危害是最大的。这一点,反倒促进了2011年防数据泄露市场的快速发展。
2011年爆出的类似事件还有:
6月,黑客攻击《华盛顿邮报》网站,大约127万用户ID和电子邮件地址泄露。
8月,日本精工爱普生有限公司韩国分公司网站遭黑,大约3500万用户信息可能被泄露。
8月,有军方背景的日本三菱重工网络遭袭,军事信息可能被盗,包括战斗机及核电站相关信息??
3、韩国SK通讯公司泄露七成韩国人资料。
2011年7月,韩国SK通讯公司承认旗下门户网站Nate和社交网站Cyworld被黑客攻击,用户资料外泄。Cyworld是韩国最大社交网站,Nate则是排名第三的门户网站,即便把两家网站的用户重合部分去除,被盗取信息的用户数也有3500万,而韩国总人口才4900万这意味着七成韩国人的资料被盗取,包括电话号码、身份证号、生日、电子邮箱地址,甚至血型。
2011年,门户和社交网站的安全保密问题引发更大关注,谷歌、脸谱等公司的行为因此饱受诟病。与之相比,发生在韩国的这起惊人事件与该国实行的网络实名制直接相关。当大部分社会成员的信息都被托付给几个寡头网站时,后者的责任心和管理水平几乎是最后一道屏障。遗憾的是,商业巨头的脉搏中并非天然地流淌着道德的血液,像索尼那样防线漏洞百出、管理松懈的例子并不罕见。
4、2011年11月,CIO门。
黑客特莱沃艾克哈特发现智能手机暗藏一款收集隐私数据的软件,可记录手机的每一项操作,包括每一次按键和每一条短信的内容,以及用户所处地点信息,并将数据传递到软件开发商CarrierIQ公司和运营商那里。该软件不易被使用者发现,也无法关闭。包括ATT、Sprint、T-Mobile等国外运营商以及苹果、HTC、三星等手机厂商证实自己的产品中装有该软件,CarrierIQ占领了全球1.41亿部手机终端,大量智能手机用户存在隐私泄露风险。有报道说,这是有史以来全球范围内影响最大的手机窃密和隐私泄露事件。
手机=手雷,N年前冯小刚导演就认识到了这个让人纠结的问题,曾经被媒体集中报道过的X卧底软件也为用户展示了后门程序的危险性。发展到今天,X卧底已经升级换代,4月份媒体爆出苹果、谷歌软、硬件包含后门,接近年底又爆出更大规模的CIO门,1.41亿的数字证明手机窃密、跟踪等不是偶然、个别现象,问题是,解决的方案在哪里?
5、CSDN用户数据泄露事件。
这是疯狂的一年,国外媒体这样评价2011年的信息安全状况,用于国内似乎也合适2011年底,国内最大程序员网站CSDN被曝600多万用户的数据库信息被黑客窃取,随后又传出天涯4000万用户密码泄露,以及人人网、开心网等知名网站均用明文保存密码的消息,恐慌情绪如多米诺骨牌般迅速传导,改密码了吗?一时成为人们的口头禅??有人把2011年视作互联网的资料泄露年,被称为中国互联网历史上最大泄密事件的CSDN用户数据泄露事件可谓其中最重的一块砝码。虽然许多消息最终被证明是谣传,但此次泄密门中暴露出的问题,以及它如何从一个网站的危机演变成密码危机的过程,值得深思。