國民營智庫戰略預測公司網絡被黑 安全防范幾乎為零
責編:admin |2014-06-17 14:50:15據國外網站Daily Dot報道,最近披露的政府秘密文件顯示,美國民營智庫戰略預測公司(Strategic Forecasting Inc)在2011年12月遭遇黑客攻擊,是因為該公司的網絡系統沒有采取標準的安全措施,存在眾多的安全漏洞。
2011年12月,一批技術精湛的黑客闖入戰略預測公司的網絡系統,竊取了86萬客戶——包括一位美國前任副總統、中情局局長和國務卿——的個人數據。
通過這次攻擊,黑客組織AntiSec的成員盜取了約6萬名客戶的信用卡號碼及相關數據。據報道,他們利用這些信用卡數據獲得了70萬美元的欺詐性收費。黑客還獲取了大約500萬封內部電子郵件,這些郵件后來被維基解密以“全球情報文件”的名義公布。
這次攻擊給戰略預測公司帶來的損失總計大約為378萬美元。這對該公司來說是一件尷尬的國際事件,因為這些損失原本可以通過常規的欺詐防范措施來避免。
根據Daily Dot和Motherboard獲得的機密內部文件,在遭遇黑客之前,戰略預測公司采用的網絡安全措施是完全不符合標準的。
Daily Dot和Motherboard的調查基于一系列最近披露的政府秘密文件,其中包括大量的緩存聊天記錄和各種政府報告。這些文件是黑客出身的FBI線人Hector “Sabu ”Monsegur收集的。Monsegur提供的證據曾被用來為黑客組織 Anonymous的8名成員定罪,其中包括目前正在服刑的杰里米·哈蒙德(Jeremy Hammond)。
根據這些文件,2011年12月30日,戰略預測公司與Verizon Business公司及其旗下 Cybertrust公司合作,對其遭遇的黑客攻擊“進行取證調查”,并將調查結果與FBI共享。Verizon Business的安全團隊檢查了戰略預測公司的辦公室電腦,以及作為戰略預測公司客戶數據中心的CoreNAP公司的服務器。
在2012年2月15日的一份長達66頁的報告中,Verizon Business作出了調查結論,并提供了令人震驚的細節。根據這份報告,戰略預測公司沒有對重要的數據系統采取足夠的安全保護措施,這些系統不但沒有安裝防火墻,而且缺乏適當的文件完整性監控。
該報告指出,正是由于幾個明顯的安全漏洞和不恰當的網絡配置,使黑客攻擊和數據泄漏成為可能。
首先,戰略預測公司內部缺乏密碼管理政策。密碼在雇員之間共享,而且沒有什么能夠阻止雇員在多個設備上使用相同的密碼。“在遠程訪問包含敏感信息的系統時,他們使用的密碼通常與電子郵箱密碼相同。”該報告稱。
在調查人員檢查的那些電腦中,沒有任何一個系統安裝了反病毒軟件,這使得它們不但很容易受到黑客攻擊,而且也容易感染其他病毒。
雖然戰略預測公司的辦公室電腦中裝了網絡防火墻,但它們沒有被正確配置以保存有用的信息。
此外,戰略預測公司也沒有采取正確的文件監控解決方案,否則的話,其用戶數據和內部電子郵件在遭遇入侵時,系統會自動發出警報通知。
戰略預測公司遭遇黑客攻擊的另一個“重大因素”是其電子商務系統的設計不合理,為黑客竊取客戶的支付數據提供了便利。
Verizon公司還在戰略預測公司的郵件服務器中發現了信用卡持卡人信息泄露的跡象。這表明,該公司的網絡結構體系包含潛在缺陷。
Verizon的結論是,戰略預測公司的客戶支付系統在遭遇攻擊之前只采取了12項必要欺詐防范措施中的3項。在戰略預測公司未采取的9項防范措施中,有8項措施的缺乏直接促成了黑客攻擊。
“通常情況下,一個公司只會缺乏12項防范措施中的一兩項。”全球領先的身份管理解決方案供應商SailPoint公司總裁和創始人凱文·坎寧安(Kevin Cunningham)說,“這是我從來沒有見過的一個極端例子,也是一個重大失誤。”
“安全措施既要防范風險,也要保持一定的靈活性。”他繼續說。“你必須明確你的安全政策,并確保防范措施落實到位。就戰略預測公司來說,它似乎沒有任何明確的安全政策。打個比方來說,它不僅未鎖前門,而且將窗戶打開,并把珠寶放在廚房的桌子上。”
“它的遭襲是遲早的事情。”
AntiSec的黑客不但竊取了客戶姓名、信用卡號碼以及其他一些數據,甚至竊取了客戶的信用卡驗證值,即信用卡背面的三位數字。
按照行業規定,商家在存儲客戶信用卡數據時應該進行加密。戰略預測公司的創始人兼CEO曾經在一份官方聲明中承認該公司存儲了未加密的客戶信用卡數據。2011年12月,這些未被加密的信用卡數據被AntiSec盜取。
2012年6月,戰略預測公司以175萬美元的賠償金和解受害客戶發起的集體訴訟。
此外,Verizon Business還發現了另一次黑客攻擊的證據:“通過對Zimbra的電子郵件服務器的分析,我們發現,入侵者曾于11月16日創建了數據庫轉儲文件(這個文件后來被黑客通過戰略預測公司的網絡系統竊取)。
這一發現似乎證明了著名黑客Hyrriiya的聲明。Hyrriiya是黑客組織Anonymous 的成員,曾因為對敘利亞政府網站進行攻擊而出名。他在2012年5月致函哈蒙德的律師,聲稱對戰略預測公司遭遇的黑客攻擊負責。
“在對戰略預測公司進行最初的攻擊之前,AntiSec的任何人(包括Sabu 和哈蒙德)都不知情,他們是在兩個星期后才參與的。”Hyrriiya寫道,“在入侵戰略預測公司的數據庫后,我意識到,它們是詳細的客戶數據,包括眾多個人、公司、軍事機構和間諜機構的信用卡信息。當我認識到這一點,我立刻決定,我要公開這些信息。
Daily Dot 先前的調查顯示,與FBI的官方聲明相反,戰略預測公司遭遇的攻擊是Hector Monsegur精心策劃的。有關聊天記錄顯示,Hector Monsegur從Hyrriiya那里秘密取得了關于戰略預測公司網絡系統缺陷的關鍵信息,再私下安排哈蒙德與Hyrriiya會面,并對進行戰略預測公司攻擊。