摩根大通確認泄露8300萬用戶信息,黑客只要數據不要錢
責編:admin |2014-10-07 15:58:159月初,安全牛曾報道摩根大通發現數據泄露事件,FBI和NSA都介入調查。當時據Bloomberg報道,數據泄露發生在8月初,黑客是利用銀行網站的一個0day漏洞發起的攻擊,FBI根據攻擊的復雜性認為這是一個國家級黑客組織發起的攻擊(編者按:自然又是俄羅斯黑客)。
一個月后的國慶節期間,安全牛曾無意中看到摩根大通在Twitter賬號上表示將不會通知此次數據泄露事件中受影響的用戶,這是一個非同尋常的信號!
果然,在上周四摩根大通向美國證券交易委員會提交的調查文件中,摩根大通確認了有大約7600萬家庭用戶和700萬小企業賬戶泄露,黑客獲取的信息包括用戶聯系信息(用戶姓名、地址、電話號碼和電子郵件地址)和摩根大通用戶追蹤代碼,但是用戶賬戶號碼、密碼、用戶ID、生日和社會保險碼并未泄露。
CISO是個“臨時工”
在家得寶5600萬信用卡泄露事件問責:管理層作死一文中,我們注意到HomeDepot雇傭了一位有前科的罪犯擔任安全總管,而摩根大通的數據泄露也與其首席信息安全官(CISO)是個“臨時工”不無關系。
6月份黑客入侵摩根大通的網絡系統時,正值摩根大通新任CISO——Greg Rattray剛剛走馬上任,甚至還不太熟悉自己的停車位;來到摩根大通前Rattray曾任美國空軍信息戰指揮官,而在Rattray到任之前,摩根大通的前任首席安全官Anthony Belfiore今年年初就已辭職加盟其他幾位摩根大通高管創辦的企業,期間由Anish Bhimani兼任信息安全主管職位。
數據比錢值錢
據悉黑客找到摩根大通銀行計算機軟件的漏洞并加以利用,攻陷了超過90臺服務器,但調查顯示黑客對個人信息的興趣大過金錢(數據比錢值錢?)。雖然銀行賬戶密碼等關鍵信息并未泄露,但是與此前的大規模用戶數據泄露事件的影響類似,摩根大通的用戶面臨的魚叉式釣魚和社交工程攻擊的威脅將大增,因為黑客掌握了海量用戶極為詳細的隱私數據拼圖。
RedSeal網絡的首席技術官Mik Lioyd博士認為,摩根大通的數據泄露事件中,黑客忙于竊取用戶信息,甚至顧不上偷錢,這表明當今的網絡犯罪集團極為看中用戶數據的價值(用戶數據的交易市場和深加工地下產業鏈已經成熟),這就好比軍隊的指揮官高度重視戰地情報,勝過對武器裝備的關注。
亡羊難補牢
參與調查的有關部門官員表示,摩根大通需要花費至少數月的時間才能清查其數以千計的軟件應用并重新與技術供應商商議軟件授權合同。紐約時報指出,這給黑客留出了一個很長的時間窗口,可以進一步攻擊摩根大通內部系統中未被發現(未打補丁)的漏洞。
摩根大通的數據泄露事件還向全球企業發出了迄今最嚴重的安全警告:即使是最頂尖的安全響應技術和流程都不足以對付自動化的協同攻擊。企業需要對整個端到端網絡的訪問路徑進行自動化分析,使用安全工具及時發現錯誤配置以及任何由于網絡復雜性導致的異常。(參考閱讀:企業滲透測試自檢的四項基本原則)
摩根大通方面表示將持續關注檢測與此次數據泄露事件有關的金融欺詐事件,而客戶如果能夠及時發現并通報賬戶的非授權交易,摩根大通將承擔用戶損失。
與Target和HomeDepot的千萬級大規模數據泄露事件一樣,黑客對摩根大通進行了長時間攻擊(據bloomberg報道,攻擊始于6月,8月中旬才發現),而摩根大通毫無察覺,直到安全界內部消息人士捅到媒體。(參考閱讀:家得寶5600萬信用卡泄露事件問責:管理層作死)