摩根大通確認(rèn)泄露8300萬用戶信息,黑客只要數(shù)據(jù)不要錢
責(zé)編:admin |2014-10-07 15:58:159月初,安全牛曾報道摩根大通發(fā)現(xiàn)數(shù)據(jù)泄露事件,F(xiàn)BI和NSA都介入調(diào)查。當(dāng)時據(jù)Bloomberg報道,數(shù)據(jù)泄露發(fā)生在8月初,黑客是利用銀行網(wǎng)站的一個0day漏洞發(fā)起的攻擊,F(xiàn)BI根據(jù)攻擊的復(fù)雜性認(rèn)為這是一個國家級黑客組織發(fā)起的攻擊(編者按:自然又是俄羅斯黑客)。
一個月后的國慶節(jié)期間,安全牛曾無意中看到摩根大通在Twitter賬號上表示將不會通知此次數(shù)據(jù)泄露事件中受影響的用戶,這是一個非同尋常的信號!
果然,在上周四摩根大通向美國證券交易委員會提交的調(diào)查文件中,摩根大通確認(rèn)了有大約7600萬家庭用戶和700萬小企業(yè)賬戶泄露,黑客獲取的信息包括用戶聯(lián)系信息(用戶姓名、地址、電話號碼和電子郵件地址)和摩根大通用戶追蹤代碼,但是用戶賬戶號碼、密碼、用戶ID、生日和社會保險碼并未泄露。
CISO是個“臨時工”
在家得寶5600萬信用卡泄露事件問責(zé):管理層作死一文中,我們注意到HomeDepot雇傭了一位有前科的罪犯擔(dān)任安全總管,而摩根大通的數(shù)據(jù)泄露也與其首席信息安全官(CISO)是個“臨時工”不無關(guān)系。
6月份黑客入侵摩根大通的網(wǎng)絡(luò)系統(tǒng)時,正值摩根大通新任CISO——Greg Rattray剛剛走馬上任,甚至還不太熟悉自己的停車位;來到摩根大通前Rattray曾任美國空軍信息戰(zhàn)指揮官,而在Rattray到任之前,摩根大通的前任首席安全官Anthony Belfiore今年年初就已辭職加盟其他幾位摩根大通高管創(chuàng)辦的企業(yè),期間由Anish Bhimani兼任信息安全主管職位。
數(shù)據(jù)比錢值錢
據(jù)悉黑客找到摩根大通銀行計算機軟件的漏洞并加以利用,攻陷了超過90臺服務(wù)器,但調(diào)查顯示黑客對個人信息的興趣大過金錢(數(shù)據(jù)比錢值錢?)。雖然銀行賬戶密碼等關(guān)鍵信息并未泄露,但是與此前的大規(guī)模用戶數(shù)據(jù)泄露事件的影響類似,摩根大通的用戶面臨的魚叉式釣魚和社交工程攻擊的威脅將大增,因為黑客掌握了海量用戶極為詳細(xì)的隱私數(shù)據(jù)拼圖。
RedSeal網(wǎng)絡(luò)的首席技術(shù)官Mik Lioyd博士認(rèn)為,摩根大通的數(shù)據(jù)泄露事件中,黑客忙于竊取用戶信息,甚至顧不上偷錢,這表明當(dāng)今的網(wǎng)絡(luò)犯罪集團(tuán)極為看中用戶數(shù)據(jù)的價值(用戶數(shù)據(jù)的交易市場和深加工地下產(chǎn)業(yè)鏈已經(jīng)成熟),這就好比軍隊的指揮官高度重視戰(zhàn)地情報,勝過對武器裝備的關(guān)注。
亡羊難補牢
參與調(diào)查的有關(guān)部門官員表示,摩根大通需要花費至少數(shù)月的時間才能清查其數(shù)以千計的軟件應(yīng)用并重新與技術(shù)供應(yīng)商商議軟件授權(quán)合同。紐約時報指出,這給黑客留出了一個很長的時間窗口,可以進(jìn)一步攻擊摩根大通內(nèi)部系統(tǒng)中未被發(fā)現(xiàn)(未打補丁)的漏洞。
摩根大通的數(shù)據(jù)泄露事件還向全球企業(yè)發(fā)出了迄今最嚴(yán)重的安全警告:即使是最頂尖的安全響應(yīng)技術(shù)和流程都不足以對付自動化的協(xié)同攻擊。企業(yè)需要對整個端到端網(wǎng)絡(luò)的訪問路徑進(jìn)行自動化分析,使用安全工具及時發(fā)現(xiàn)錯誤配置以及任何由于網(wǎng)絡(luò)復(fù)雜性導(dǎo)致的異常。(參考閱讀:企業(yè)滲透測試自檢的四項基本原則)
摩根大通方面表示將持續(xù)關(guān)注檢測與此次數(shù)據(jù)泄露事件有關(guān)的金融欺詐事件,而客戶如果能夠及時發(fā)現(xiàn)并通報賬戶的非授權(quán)交易,摩根大通將承擔(dān)用戶損失。
與Target和HomeDepot的千萬級大規(guī)模數(shù)據(jù)泄露事件一樣,黑客對摩根大通進(jìn)行了長時間攻擊(據(jù)bloomberg報道,攻擊始于6月,8月中旬才發(fā)現(xiàn)),而摩根大通毫無察覺,直到安全界內(nèi)部消息人士捅到媒體。(參考閱讀:家得寶5600萬信用卡泄露事件問責(zé):管理層作死)
- Accelerate 2025北亞巡展正式啟航!AI智御全球?引領(lǐng)安全新時代
- GDPR的七年之癢:2024-2025 GDPR處罰與執(zhí)法數(shù)據(jù)全景分析
- 印度成功在多芯光纖 (MCF) 上實現(xiàn)了量子密鑰分發(fā)
- 量子危機提前!近百萬比特量子計算機一周內(nèi)可破解RSA加密算法
- 公安機關(guān)公布網(wǎng)絡(luò)攻擊來源為中國臺灣民進(jìn)黨當(dāng)局有關(guān)黑客組織
- 國家安全部發(fā)布使用AI應(yīng)用保密安全指南
- 首次!OpenAI o3模型找到Linux內(nèi)核零日漏洞
- 零售巨頭因勒索攻擊運營中斷數(shù)月,預(yù)計損失近30億元
- Pwn2Own 2025柏林黑客大賽:冠軍團(tuán)隊斬獲32萬美元
- AI驅(qū)動時代,安全跨越鴻溝的困境和機遇