数据安全漏洞每天发生在很多地方继续计数。但什么是一个巨大的破坏与一个小?对于一些角度来看,我们看看15近年来最大的事件。帮助我们安全从业人员来自不同的行业,包括十多个成员LinkedIn的信息安全社区提供,提名名单。
1。哈特兰支付系统
日期:2008年3月
影响:1.34亿张信用卡通过SQL注入安装间谍软件中心的数据系统。
一个联邦大陪审团起诉Albert Gonzalez和两个不知名的2009年俄罗斯的同伙。冈萨雷斯,古巴裔美国人,被控策划国际操作,偷了信用卡和借记卡。2010年3月,他被判处20年的联邦监狱。SQL注入的弱点是容易理解和安全分析人士警告零售商好几年了。然而,持续的脆弱性许多面向Web的应用程序的SQL注入攻击的最常见形式的网站。
2。公司TJX公司。
日期:2006年12月
影响:9400万张信用卡。
有冲突的账户这是如何发生的。或许有人认为,一群黑客利用数据加密体系薄弱,偷了信用卡数据在两个马歇尔的商店之间的无线传输在迈阿密,佛罗里达州。另他们闯入了TJX网络通过店内亭电子,允许人们申请工作。据了解项目创始人和首席架构师凯文McAleavey,这可能是因为TJX的网络不受任何防火墙保护。阿尔伯特•冈萨雷斯黑客传说和腹地违反的罪魁祸首,被定罪,并被判处40年监禁,而11人被逮捕。
3所示。ε
日期:2011年3月
影响:接触数以百万计的客户名称和电子邮件存储在108多个零售商店加上几个巨大的金融机构,如花旗集团(CitiGroup inc .)和非营利教育组织,大学委员会。
违反的来源仍然是不确定的,但科技专家说这可能导致许多钓鱼欺诈和无数的身份盗窃。有不同意见如何破坏ε违反。首席安全技术官Bruce Schneier BT和一个多产的作家,在一篇博客文章中写道,“是的,数以百万计的姓名和电子邮件地址(以及其他)客户信息可能被偷了。是的,这个个人信息可以用来创造更多的个性化,更有针对性地钓鱼攻击。那又怎样?这些违反经常发生,甚至更多的个人信息被盗。”Still, Kevin McAleavey of the KNOS Project says the breach is being estimated as a $4 billion dollar loss. Since Epsilon has a client list of more than 2,200 global brands and handles more than 40 billion e-mails annually, he says it could be, "the biggest, if not the most expensive, security breach of all-time."
4所示。RSA安全
日期:2011年3月
影响:可能4000万年员工记录被盗。
的影响在公司的网络攻击,窃取信息SecurID身份验证令牌仍存有争议。该公司表示两个单独的黑客组织在与外国政府合作推出一系列的鱼叉式网络钓鱼攻击RSA员工,假扮成员工信任的人,进入公司的网络。EMC去年7月报道,修复花费了至少6600万美元。但根据RSA高管,没有违反客户网络。副总统约翰•林口eIQnetworks安全和合规总监,公司不买它。“RSA没有帮助这个问题最初对攻击向量,模糊和(更重要的)数据被偷了,”他说。”只是一个时间问题后续攻击洛克希德·马丁公司,L3,和其他人发生,所有这些都被认为是部分通过RSA违反。”Beyond that, Linkous says, is the psychological damage. "The breach of RSA was utterly massive not only from a potential tactical damage perspective, but also in terms of the abject fear that it drove into every CIO who lost the warm-and-fuzzy feeling that the integrity of his or her enterprise authentication model was intact. Among the lessons, he says, are that even good security companies like RSA are not immune to being hacked. Finally, "human beings are, indeed, the weakest link in the chain," Linkous says.
5。超级工厂病毒
日期:在2010年的某个时间,但起源可追溯到2007年
影响:想攻击伊朗的核能项目,但也将作为现实世界的入侵一个模板和服务中断的电网、供水和公共交通系统。
Stuxnet的直接影响是最小的,至少在这个国家,但eIQnetworks约翰林口排名在前的大规模破坏,因为“这是第一桥接虚拟和真实的世界。当一段代码可以实实在在的影响一个国家,城市或人,然后我们真正到达一个陌生的新世界,”他说。林口Stuxnet是证明了民族国家说,“肯定是演员——攻击者和受害者的网络战比赛。”He adds that the more that electro-mechanical industrial and energy systems migrate to larger networks -- particularly the Internet -- "the more we're going to see these real-world intrusions."
6。退伍军人事务部
日期:2006年5月
影响:一个未加密的国家数据库的名字,社会安全号码,出生日期,和一些残疾等级为2650万退伍军人、现役军人和配偶被偷了。
再一次指出人类的元素被安全链中最薄弱的一环。数据库是一个笔记本电脑和外部硬盘在弗吉尼亚州的盗窃的,都是偷来的分析师在马里兰的。分析师报告了2006年5月3日盗窃立即向警方,但退伍军人事务部部长r . James Nicholson直到5月16日才告诉的。尼科尔森向美国联邦调查局报了案,第二天,但VA直到5月22日没有发表公开声明。一个不认识的人返回被盗物品6月29日,2006年。VA估计需要花费1亿到5亿美元来防止盗窃和覆盖可能的损失。
7所示。索尼的PlayStation网络
日期:2011年4月20日
影响:7700万PlayStation网络账户黑客攻击;索尼说失去了数百万,而网站是一个月。
这被看作是违反历史最糟糕的游戏社区数据。超过7700万个账户受到影响,1200万年未加密的信用卡号码。据索尼仍没有找到黑客的来源。不管他们是获得全名、密码、电子邮件、家庭地址、购买历史,信用卡号码和PSN / Qriocity登录和密码。“这是足以让每一个好的安全的人想,“如果这就是就像索尼,是什么样的在每一个其他的跨国公司坐拥数百万用户数据记录?“说eIQnetworks约翰林口。他说它应该提醒那些安全识别和应用安全控制始终在他们的组织。对客户来说,“当心你所给你的数据。可能不是值得的代价获得在线游戏或其他虚拟资产。”
8。ESTsoft
日期:2011年7 - 8月
影响:3500万韩国人的个人信息被暴露在黑客突破一个流行的软件供应商的安全。
它被称为历史上韩国最大的窃取信息,影响人口的多数。韩国新闻媒体报道说,攻击者与中国IP地址上传恶意软件到服务器用于更新ESTsoft ALZip压缩的应用程序。攻击者能够窃取名称、用户id、散列密码,生日,性别,电话号码,街道和电子邮件地址中包含一个数据库连接到同一个网络。ESTsoft首席执行长金Jang-joon发表了道歉,并承诺,“加强我们的程序的安全系统。”
9。Gawker媒体
日期:2010年12月
影响:泄露的电子邮件地址和密码130万评论者Lifehacker等受欢迎的博客,Gizmodo,耶洗别,加上盗窃Gawker的源代码的定制的内容管理系统。
网上论坛和博客是最受欢迎的黑客的目标。一个自称灵知声称对这次袭击负责,说它已经推出了因为高科的对黑客社区“彻底的傲慢”。“他们很少获得相同级别大,商业网站,“说,了解项目的凯文•McAleavey他补充道,最主要的问题是,Gawker的格式存储的密码,黑客很容易理解。“一些电子邮件和Twitter用户使用相同的密码,这是只有几小时前黑客劫持他们的帐户并开始使用它们来发送垃圾邮件,“McAleavey说。
10。谷歌/其他硅谷公司
日期:2009年代中期
影响:窃取知识产权
工业间谍行为,中国政府推出了大规模和前所未有的抨击谷歌,雅虎,和几十个其他硅谷公司。中国黑客利用的弱点在一个旧版本ie来访问谷歌的内部网络。首次宣布,中国正试图对中国人权活动人士收集信息。尚不清楚哪些数据从美国公司被偷了,但谷歌承认它的一些知识产权被盗了,而且很快就会停止在中国的业务。对于用户来说,紧急消息,那些没有最近更新他们的web浏览器应该立即这样做。
11。VeriSign
日期:在2010年
影响:未披露的信息被盗
安全专家一致认为是最麻烦的事情VeriSign违反,或漏洞,黑客获得特权的系统和信息,是公司处理此事的方式——不佳。VeriSign从未宣布袭击。直到2011年才成为公共事件,通过新的SEC-mandated归档。“他们违反了多少次?”eIQnetworks”约翰林口问道。“攻击向量使用什么?简短的答案是:我们不知道。和响应是简单:我们应该。”"Nearly everyone will be hacked eventually," says Jon Callas, CTO for Entrust, in a post earlier this month on Help Net Security. "The measure of a company is how they respond." VeriSign said no critical systems such as the DNS servers or the certificate servers were compromised, but did say that, "access was gained to information on a small portion of our computers and servers." It has yet to report what the information stolen was and what impact it could have on the company or its customers. Linkous says the company's "failure to disclose until legally required to do so is going to haunt VeriSign for some time."
日期:2005年6月
影响:4000万个信用卡账户。CSS,签证的付款处理器,万事达,美国运通最终被迫收购。
黑客闯入CardSystems的数据库使用一个SQL木马攻击,通过浏览器页面代码插入到数据库中每四天,将数据转换成一个zip文件通过FTP和发送回来。自公司从未加密的用户的个人信息,黑客获得名称,账户号码,和验证码4000万多卡持有人。Visa发言人罗塞塔当时琼斯告诉有线新闻,CSS收到审计认证2004年6月,这是符合数据存储的标准,但违反后评估显示不兼容。“如果他们遵守规则和要求,他们不会妥协,”琼斯说。该公司在2005年底被Pay-by-touch收购。
13。美国在线
日期:2006年8月6日,
影响:超过2000万个网络调查的数据,从超过650000用户,包括购物和银行数据发布在一个网站。
2007年1月,商业2.0杂志中排名搜索数据的发布“101愚蠢的时刻。”Michael Arrington, a lawyer and founder of the blog site TechCrunch, posted a comment on his blog saying, "The utter stupidity of this is staggering." AOL Research, headed by Dr. Abdur Chowdhury, released a compressed text file on one of its websites containing 20 million search keywords for more than 650,000 users over a three-month period. While it was intended for research purposes, it was mistakenly posted publicly. AOL pulled the file from public access by the next day, but not before it had been mirrored and distributed on the Internet. AOL itself did not identify users, but personally identifiable information was present in many of the queries, and as AOL attributed the queries to particular user accounts, identified numerically, an individual could be identified and matched to their account and search history by such information. The breach led to the resignation of AOL's CTO, Maureen Govern, on Aug. 21, 2006.
14。Monster.com
日期:2007年8月