世界数据隐私日:2014年影响力最大的隐私数据泄露事件

每年都有数百万人的数据惨遭外泄。其中大多数受害人经历了悲惨的遭遇:网络黑客将用户银行信息在地下网站出售导致公司不得不向其受影响客户支付巨额补偿金,而消费者同样遭受了资金损失。 在世界数据隐私日这天,我们将为你介绍几起2014年影响力最大的数据外泄事件。此外,我们加入了这些事件背后有关数据遭窃成本和企业声誉影响的有趣事实。 处于危险之中的零售商 整个2014年,大型零售网络始终忙于应付网络黑客,而这些黑客手中握有数百万客户的个人数据档案。 据有关方面称,有一个黑客小组在2014年总共入侵了三家大型零售网络:零售业巨头Target(700万用户档案遭窃,内容包括:银行信息、电话号码、邮箱地址以及其它数据);大型化妆品供应商Sally Beauty(25,000份客户档案被窃);大型家居装饰零售商Home Depot(包括5600万张银行卡和5300万封电邮在内的银行数据被盗)。 Sally Beauty数据外泄事件最终演变为了一场闹剧:黑客们自己也被其他狠狠地黑了一把。起先,这些被盗的数据在多个地下网站上被出售。但不久不知道是哪里冒出来的另一名黑客竟然将其中的一个地下网站给黑掉了,并在网站的主页上留下了几句话和一段《黑衣人》电影中的视频: 此外在2014年,人们讨论较多的还有另一起发生在零售行业内的私人数据外泄事件:易趣网的海量用户名和密码数据遭到泄露,影响了多达1.45亿名客户。最终,该事件中的受影响客户集体将易趣网告上法庭。据PC World报道,原告代表提出500万美元的索赔,还不包括利息和成本。 无一幸免 银行、网站、设备制造商、电信公司和政府机构—无一幸免。你肯定听说过Sony Pictures数据泄露事件以及2014年最轰动的好莱坞女星艳照门事件。在这里,我想要为你们介绍几起有代表性的事件。 网络黑客在全球范围入侵银行系统。在2014年1月,韩国信用评价公司(Korea Credit Bureau)的一名内部员工非法窃取2000万份客户银行数据,并将这些数据全部外泄。 银行、网站、设备制造商、电信公司和政府机构—无一幸免。 2月份,英国银行巴克莱不幸惨遭攻击:27,000份客户档案遭窃并在rogue City traders网站上出售。巴克莱银行的信誉因此而遭受巨大打击,不得不向数千名个人数据在黑市上被出售的客户支付补偿金。 6月份,摩根大通美国分行的8000万份客户私人数据也惨遭外泄。在长达数月的时间里,银行方面对此事始终三缄其口,直到2014年10月才被报道出来。 由于遭受了黑客重创导致2700万客户(占韩国总人口的80%)的数据遭泄露,韩国信用评价公司正在评估是否可以全部推翻并重新设计国家身份证号码计算机系统。 众多电信公司在2014年也同样举步维艰。French telecom group Orange在2014年1-3月两次遭到黑客入侵,导致130万用户数据被盗。更糟糕的是,这群黑客们还用病毒感染了公司的软件平台,该平台用于向同意接收的客户发送促销电邮和短信。这一系列事件使得许多人在与该公司签约前不得不反复考虑再三。 10月份,AT&T将一名有嫌疑的员工辞退。该名员工非法窃取了1600名客户的账号信息,并可能已经复制了这些客户的社保号和驾照号。 10月份,厄运降临到了文件托管服务Dropbox头上。700万用户的资料档案被泄露到互联网上。但公司宣称登录凭证是从第三方网站或应用程序那儿泄露出来。无论公司如何努力保护其服务的安全,但在用户的懈怠和无知面前依然素手无策。如果’123456’密码依然是大部分用户首选的话,在未来还将发生更多的数据外泄事件。 被盗数据的市场价格

每年都有数百万人的数据惨遭外泄。其中大多数受害人经历了悲惨的遭遇:网络黑客将用户银行信息在地下网站出售导致公司不得不向其受影响客户支付巨额补偿金,而消费者同样遭受了资金损失。

世界数据隐私日这天,我们将为你介绍几起2014年影响力最大的数据外泄事件。此外,我们加入了这些事件背后有关数据遭窃成本和企业声誉影响的有趣事实。

处于危险之中的零售商

整个2014年,大型零售网络始终忙于应付网络黑客,而这些黑客手中握有数百万客户的个人数据档案。

据有关方面称,有一个黑客小组在2014年总共入侵了三家大型零售网络:零售业巨头Target(700万用户档案遭窃,内容包括:银行信息、电话号码、邮箱地址以及其它数据);大型化妆品供应商Sally Beauty(25,000份客户档案被窃);大型家居装饰零售商Home Depot(包括5600万张银行卡和5300万封电邮在内的银行数据被盗)。

Sally Beauty数据外泄事件最终演变为了一场闹剧:黑客们自己也被其他狠狠地黑了一把。起先,这些被盗的数据在多个地下网站上被出售。但不久不知道是哪里冒出来的另一名黑客竟然将其中的一个地下网站给黑掉了,并在网站的主页上留下了几句话和一段《黑衣人》电影中的视频:

此外在2014年,人们讨论较多的还有另一起发生在零售行业内的私人数据外泄事件:易趣网的海量用户名和密码数据遭到泄露,影响了多达1.45亿名客户。最终,该事件中的受影响客户集体将易趣网告上法庭。据PC World报道,原告代表提出500万美元的索赔,还不包括利息和成本。

无一幸免

银行、网站、设备制造商、电信公司和政府机构—无一幸免。你肯定听说过Sony Pictures数据泄露事件以及2014年最轰动的好莱坞女星艳照门事件。在这里,我想要为你们介绍几起有代表性的事件。

Happy Weekend! #protectyourselfie

A photo posted by Kaspersky Lab (@kasperskylab) on

网络黑客在全球范围入侵银行系统。在2014年1月,韩国信用评价公司(Korea Credit Bureau)的一名内部员工非法窃取2000万份客户银行数据,并将这些数据全部外泄。

银行、网站、设备制造商、电信公司和政府机构—无一幸免。

2月份,英国银行巴克莱不幸惨遭攻击:27,000份客户档案遭窃并在rogue City traders网站上出售。巴克莱银行的信誉因此而遭受巨大打击,不得不向数千名个人数据在黑市上被出售的客户支付补偿金。

6月份,摩根大通美国分行的8000万份客户私人数据也惨遭外泄。在长达数月的时间里,银行方面对此事始终三缄其口,直到2014年10月才被报道出来。

由于遭受了黑客重创导致2700万客户(占韩国总人口的80%)的数据遭泄露,韩国信用评价公司正在评估是否可以全部推翻并重新设计国家身份证号码计算机系统

众多电信公司在2014年也同样举步维艰。French telecom group Orange在2014年1-3月两次遭到黑客入侵,导致130万用户数据被盗。更糟糕的是,这群黑客们还用病毒感染了公司的软件平台,该平台用于向同意接收的客户发送促销电邮和短信。这一系列事件使得许多人在与该公司签约前不得不反复考虑再三。

10月份,AT&T将一名有嫌疑的员工辞退。该名员工非法窃取了1600名客户的账号信息,并可能已经复制了这些客户的社保号和驾照号。

10月份,厄运降临到了文件托管服务Dropbox头上。700万用户的资料档案被泄露到互联网上。但公司宣称登录凭证是从第三方网站或应用程序那儿泄露出来。无论公司如何努力保护其服务的安全,但在用户的懈怠和无知面前依然素手无策。如果’123456’密码依然是大部分用户首选的话,在未来还将发生更多的数据外泄事件。

被盗数据的市场价格

尽管此类信息的买卖市场相当活跃,但如果算到单独一份的价格则相对较低。比如,专门经营机场周边停车服务的Park ‘N Fly公司,其每张卡的客户资料售价在6-9美元,包括:卡号、有效日期、验证码以及持卡人的姓名、地址和电话号码。巴克莱银行客户的个人数据价值则相对高些 —达到每份76美元(约合50英镑)。

尽管此类信息的买卖市场相当活跃,但如果算到单独一份的价格则相对较低。

一旦公司被告上法庭的话,信誉的损失将无法估计。巴克莱向每一名数据被泄露的客户补偿770美元(约合250英镑),但许多受害人认为这些只是理应得到赔偿金额的一个零头。最终,巴克莱银行不得不为那群抱怨不断和坚持不妥协的客户支付了两倍的补偿金。其中有部分受害用户竟然得到了1,520美元(约合1,000英镑)。

除了补偿金以外,公司还需要花费更多的钱来善后。例如,家得宝花费了4300万美元用于弥补发生在2014年1季度数据泄漏事件后所产生的一系列后果。这些钱主要花费在事件调查、向客户提供身份盗窃保护服务、增加客服中心人员数量以及其它法律和专业服务。

我们想提醒你的是,每年的1月28日是美国、加拿大以及27个欧洲国家的世界数据隐私日。你可能想亲身参与其中并思考如何才能提高个人数据的安全程度。例如,你现在就可以开始方便地使用可靠的密码

Progressive Snapshot将驾车者暴露在黑客入侵危险之下

一名研究人员在上周发现可以利用Progressive的Snapshot驾车者跟踪工具黑客入侵某些车的车载网络。Snapshot作为一款可以插入OBD-II端口的工具,由Progressive汽车保险公司生产。其目的旨在通过监视驾车行为从而为更安全驾车者提供更低的保险费率。 首先为大家科普一下:OBD-II是下面的一个输入端口,一般位于方向盘的左侧。该端口可通过插入排放检测器来检查汽车计算机系统的所有代码,从而确保该车没有在排放有害污染物。此外,你还可以将诊断扫描装置插入该端口,检查发动机灯是否开启。 简单地说:你爱车的计算机网络由传感器、电子控制单元以及控制器局域网(CAN)总线组成。一辆车内ECU(电控单元)可以有许多,但应用目的各不相同,大多数用于处理来自于传感器的信号,同时监视发动机控制系统、安全气囊以及大多数从未听到过的汽车部件。ECU全都联网并通过CAN总线进行通讯。例如:一旦发生撞车,传感器会迅速将撞车情况告知ECU,ECU随即通过CAN总线将这一消息传至执行安全气囊部署的ECU。 @ Progressive #Snapshot# 驾车者监视工具并不安全,且将驾车者暴露在黑客入侵危险之下 OBD-II端口过去曾是汽车上的唯一接口,主要与CAN总线和ECU进行通讯。最新的研究显示还可以通过无线网络实现。 Digital Bond Labs安全研究人员Cory Thuen找到了一个Snapshot装置,该装置广泛运用于近200万辆汽车。他通过对该装置进行逆向工程,研究出了它的工作原理,并插入到自己一辆丰田Tundra车的OBD-II端口上。通过一番观察和使用后,Cory Thuen发现该装置无法证明是否对流量数据进行加密,也缺少存在数字验证签名和安全启动功能方面的证据。 需要明确的是,Snapshot装置是通过蜂窝网络以纯文本的形式与Progressive进行通讯。这意味着网络攻击者可以非常容易地建立一个伪造的蜂窝发射塔,进而执行中间人攻击。 远程黑客完全可以通过Snapshot软件狗将代码植入控制汽车安全气囊和紧急刹车的专用网络。 除了这些严重的安全隐患,该装置的确可以与CAN总线进行通讯。因此,远程黑客完全可以通过Snapshot软件狗将代码植入控制汽车安全气囊和紧急刹车的专用网络。Thuen的研究工作就差向自己的汽车网络植入代码了。他表示他唯一感兴趣的地方,就是找出是否存在任何的安全保护措施能够阻止他植入代码。 你们先不要惊慌,就在去年的时候,我就这一问题(将恶意代码植入到CAN总线)专门拜访了IOActive汽车安全研究主管同时也是著名的汽车黑客Chris Valasek,他对此的看法是:实际操作起来非常复杂。 当然从理论上说,当你的车在高速公路上减速行驶时,通过植入代码来操控汽车启动自动平行停车辅助程序的确可能实现。但问题是,当你的车在行驶过程中, ECU在任何一个时间点还在同时处理数千个其它信号。那么,要想启动自动平行停车辅助程序(或其它任何功能),网络攻击者都必须发送足够多的信号来占满整个CAN总线,从而取代汽车传感器输出的所有合法信息。 Valasek和他的研究伙伴Charlie Miller早在几年前即掌握了如何通过伪造的传感器信号将车载网络填满的方法,从而达到操控安全带锁扣、刹车和方向盘的目的。然而,这一过程过于耗费人力,而Miller和Valasek作为安全业界的翘楚,他们的研究显然得到了美国国防部高级研究计划局(DARPA)的批准。 好消息是目前并没有很多人在做有关CAN总线的研究。另一方面,却有很多人在研究浏览器安全。由于汽车制造商开始更多地将浏览器和其它联网软件集成入到他们所制造和销售的汽车内,未来有关汽车黑客入侵事件的数量将呈显著上升趋势。

提示