上周,美国消费者收到大量电子邮件,警告他们这可能是美国历史上最普遍的数据泄露事件。一家大多数人从未听说过的公司,Epsilon Interactive,已经被入侵,他们的名字和电子邮件地址被盗。
几天来,似乎几乎每个人都收到了警告信息。一封发给Dressbarn信用卡持有人的邮件写道:“电子邮件文件未经授权被窃取。”“你可能会收到一些垃圾邮件。我们真诚道歉。”
这个缺口让许多受害者感到不安,而不是完全害怕。毕竟,这些是偷来的电子邮件地址,而不是社会安全号码或银行账户信息。布莱恩·雅各布斯是一个典型的受害者。他是德克萨斯州罗克波特市的一名IT经理,4月4日周一醒来时,收到了前雇主——人力资源公司罗致海夫国际公司(Robert Half International)发来的一封警告邮件,告诉他,他的电子邮件地址被人盗用了。雅各布斯说,在没有其他问题的情况下,他并不特别担心,但他也感觉不太好。“当他们说,‘他们刚收到你的电子邮件地址’时,就像是在说,‘好吧,这就是你今天要告诉我的。你明天还要告诉我别的事吗?’”他说。
一件事ε和其母公司,营销巨头联盟数据,正在讨论的是,ε违反只是为一个长期的最新发展侵入抽出大部分的服务公司的销售优惠券,航空里程账户更新,友好的提醒构成了合法的电子邮件营销活动。有数百家这样的公司,从小型的家庭经营到像Epsilon这样的大型上市公司的子公司。在过去的一年里,垃圾邮件发送者一直试图以一种复仇的方式闯入它们。
“自2009年12月以来,已经发生了一系列针对电子邮件服务提供商的攻击,”反垃圾邮件倡导组织“反对未经请求的商业电子邮件联盟”(CAUCE)的执行董事尼尔·施瓦茨曼(Neil Schwartzman)说。“在2010年期间,大约有12家esp遭到黑客攻击。”
这尤其令人担忧,因为尽管Schwartzman和其他人说许多esp被黑客攻击,但只有四家公司承认他们受到了攻击:Epsilon、Silverpop、AWeber Communications和ReturnPath(一家为esp提供服务的公司)。
在许多此类攻击中,犯罪分子的目标是电子邮件服务提供商的客户端。他们接管自己的公司账户,然后利用这些账户发送垃圾邮件——通常是虚假的Skype或Adobe reader更新,实际上包含恶意软件。
Schwartzman对这个问题了解很多。他曾是ReturnPath的安全策略高级主管,该公司去年年底遭到黑客攻击。ReturnPath并不是ESP,但它向2000多台ESP提供交付服务,包括ε。这些可交付性服务对esp非常重要,因为它们帮助他们通过垃圾邮件过滤器获得合法的营销电子邮件。
当一个超能力装置被黑时,这一切都被颠覆了。这是垃圾邮件发送者的幻想成真。犯罪分子获取客户的电子邮件地址以及与这些人做生意的公司的名称——这些都是有针对性的“鱼叉式网络钓鱼”攻击所需要的。通过使用电子邮件服务提供商发送垃圾邮件,坏人几乎可以保证他的诈骗信息将通过反垃圾邮件过滤器。
当ReturnPath被黑客攻击时,罪犯窃取了13000名用户的电子邮件地址——与ESP有客户关系的ESP员工和营销专业人士。一些人认为,2009年11月对ReturnPath的攻击可能给黑客提供了一个跳板,让他们对使用ReturnPath服务的数千个esp账户发起攻击。
去年,ReturnPath说电子邮件业务100多家电子商务网站和博彩网站的员工遭到了有针对性的网络钓鱼攻击.受害者会收到一封专门针对他们的电子邮件,其中有一个网站链接,然后试图在他们的电脑上安装恶意的密码窃取软件。“这是一次有组织的、蓄意的、破坏性的攻击,目的显然是获取工业级电子邮件部署系统的权限,”ReturnPath在一篇博客文章中说施瓦茨曼(Schwartzman)所著。“此外,如果ESP客户邮件列表在每年的这个时候被泄露,其潜在后果是不可想象的。”
在ReturnPath事件发生后不久,两名esp——”和AWeber通信——主动站出来说他们也遭到了黑客攻击。
在许多此类案件中,海外犯罪分子显然侵入了ESP账户,然后利用它们发送垃圾邮件。阿拉巴马大学伯明翰分校(University of Alabama at Birmingham)计算机取证研究主管加里·华纳(Gary Warner)表示,犯罪分子利用被黑客入侵的账户发送有问题的Adobe Reader更新链接,这些更新可能是盗版软件,或者更糟——恶意木马程序。
”的违反据报道,数百家公司受到影响,包括麦当劳。其中一些很快就被骗子利用Silverpop电子邮件系统窃取敏感信息的网络钓鱼和垃圾邮件。
Epsilon去年也有问题。2010年12月,沃尔格林警告客户,有人窃取了其电子邮件营销名单并利用它进行网络钓鱼攻击,询问社会安全号码和信用卡账户。连锁药店沃尔格林的发言人蒂芙尼·华盛顿(Tiffani Washington)说,在2010年12月的事件发生时,沃尔格林使用了Epsilon作为其电子邮件服务提供商。
这三家受影响的esp公司——AWeber、Silverpop和Epsilon——都与ReturnPath有业务关系。然而,由于如此多的esp长期受到攻击,目前还不清楚ReturnPath攻击是否与其他攻击有关,包括最近的Epsilon攻击,目前认为已经受到影响大约60家公司包括Verizon、花旗银行和摩根大通。
华纳表示,事实上,最近的Epsilon事件与其他ESP黑客事件有很大不同。“Silverpop和Epsilon的主要区别在于,在Silverpop案件中,犯罪分子设法通过Silverpop系统发送电子邮件,”他说。在Epsilon的情况下,他们只下载数据。
但如果营销行业不解决这个问题,它可能会导致消费者信心的崩溃和政府监管的可能性,在线信任联盟的执行董事Craig Spiezle说。“这是一个严重的问题,”他说。“这只是冰山一角。”
Spiezle的团队包括营销人员、互联网服务提供商和安全公司,一直在试图鼓励电子邮件服务提供商加强他们的安全游戏。但斯皮兹尔和其他人表示,虽然一些营销人员和广告网络认真对待安全问题,但许多人并不重视。“安全不是他们所创造的设计基础,”斯皮策尔说。“如今,他们对网络罪犯的投资不足,也没有预料到他们的影响。”
这是电子邮件营销行业非常希望看到的问题。直接营销协会(Epsilon首席执行官布莱恩·肯尼迪是董事会成员)起初,他不愿就针对电子邮件服务提供商的针对性攻击问题发表详细评论.但周日,美国营销行业协会发言人Sue Geramian表示,该协会正在组建一个特别工作组来调查这一情况,并可能修改该组织有关数据泄露的指导方针。
一位不愿透露姓名的资深电子邮件营销人员说,对于Epsilon是否会长期遭到反对,业界意见“几乎平分秋色”。
“他们当然希望这件事过去,因为如果它过去不过去,人们就不会再点击‘我同意’了,”他说。“我同意”指的是客户在Web表单上选中的复选框,以允许进一步的电子邮件联系。这些都是让合法的电子邮件营销人员继续经营的协议。他补充说,“一些人实际上看到他们选择加入的人数减少了。在这个行业,他们都在窃窃私语。”
罗伯特·麦克米伦报道计算机安全和一般技术突发新闻IDG新闻服务.在Twitter上关注罗伯特@bobmcmillan.罗伯特的电子邮件地址是robert_mcmillan@idg.com