電子商務安全案例

電子商務安全案例泄密案例一、受害者：HBGaryFederal公司（2011年2月）隨著為美國政府和500強企業(yè)提供信息安全技術服務的HBGaryFederal公司CEO的黯然辭職，人們驟然醒悟，云時代保障企業(yè)信息資產(chǎn)安全的核心問題不是技術，而是人，不是部門職能，而是安全意識！企業(yè)門戶大開的原因不是沒有高價安全技術，而是缺乏一道“人力防火墻”。2011年2月6日，在美式橄欖球超級碗決賽之夜，HBGaryFederal公司創(chuàng)始人GregHoglund嘗試登錄Google企業(yè)郵箱的時候，發(fā)現(xiàn)密碼被人修改了，這位以研究“rootkit”而著稱的安全業(yè)內(nèi)資深人士立刻意識到了事態(tài)的嚴重性：作為一家為美國政府和500強企業(yè)提供安全技術防護的企業(yè)，自身被黑客攻陷了！更為糟糕的是，HBGaryFederal企業(yè)郵箱里有涉及包括美商會、美國司法部、美洲銀行和WikiLeak的大量異常敏感的甚至是見不得光的“商業(yè)機密”。對HBgaryFederal公司實施攻擊的黑客組織“匿名者”隨后將戰(zhàn)利品——6萬多封電子郵件在互聯(lián)網(wǎng)上公布，直接導致HBgaryFederal公司CEOAaronBarr引咎辭職，由于此次信息泄露涉及多家公司甚至政府部門的“社交網(wǎng)絡滲透”、“商業(yè)間諜”、“數(shù)據(jù)竊取”、“打擊WikiLeak”計劃，HBGary公司的員工還紛紛接到恐嚇電話，整個公司幾乎一夜間被黑客攻擊徹底擊垮。失竊/受影響的資產(chǎn)：60000封機密電子郵件、公司主管的社交媒體賬戶和客戶信息。安全公司HBGaryFederal宣布打算披露關于離經(jīng)叛道的Anonymous黑客組織的信息后不久，這家公司就遭到了Anonymous組織成員的攻擊。Anonymous成員通過一個不堪一擊的前端Web應用程序，攻入了HBGary的內(nèi)容管理系統(tǒng)(CMS)數(shù)據(jù)庫，竊取了大量登錄信息。之后，他們得以利用這些登錄信息，闖入了這家公司的多位主管的電子郵件、Twitter和LinkedIn賬戶。他們還完全通過HBGaryFederal的安全漏洞，得以進入HBGary的電子郵件目錄，隨后公開拋售郵件信息。汲取的經(jīng)驗教訓：這次攻擊事件再一次證明，SQL注入攻擊仍是黑客潛入數(shù)據(jù)庫系統(tǒng)的首要手段;Anonymous成員最初正是采用了這種方法，得以闖入HBGaryFederal的系統(tǒng)。但要是存儲在受影響的數(shù)據(jù)庫里面的登錄信息使用比MD5更強大的方法生成散列，這起攻擊的后果恐怕也不至于這么嚴重。不過更令人窘迫的是這個事實：公司主管們使用的密碼很簡單，登錄信息重復使用于許多賬戶。泄密案例二、受害者：RSA公司日前EMC旗下資安公司RSA發(fā)生資安產(chǎn)品SecurID技術數(shù)據(jù)遭竊，全球超過2億名用戶使用該項產(chǎn)品，臺灣也有包括銀行、高科技制造業(yè)、在線游戲等業(yè)者采用。EMCRSA總裁ArtCoviello在官網(wǎng)上坦言受害，但未公開更多遭竊細節(jié)。EMC執(zhí)行總裁ArtCoviello在官網(wǎng)上發(fā)出公開信表示，該公司SecurID技術資料遭竊。ArtCoviello在官網(wǎng)上發(fā)出一封「致RSA客戶的公開信」表示，該公司在3月17日遭受類似先前Google所受的APT（先進持續(xù)威脅）網(wǎng)絡攻擊，其中，包括該公司OTP（一次性密碼）Token產(chǎn)品SecurID的雙因素認證技術資料遭到外泄。ArtCoviello則在公開信中強調(diào)，根據(jù)所清查的外泄數(shù)據(jù)，目前使用SecurID硬件Token產(chǎn)品的企業(yè)用戶不用擔心遭到任何攻擊，RSA除會立即提供客戶后續(xù)的因應對策外，RSA客戶和員工的個人資料也沒有遭到外泄。同樣的，EMCRSA臺灣分公司對此一遭受攻擊事件，目前皆不能對外發(fā)表任何意見。失竊/受影響的資產(chǎn)：關于RSA的SecurID認證令牌的專有信息。RSA的一名員工從垃圾郵箱活頁夾收取了一封魚叉式網(wǎng)絡釣魚的電子郵件，隨后打開了里面含有的一個受感染的附件;結(jié)果，這起泄密事件背后的黑客潛入到了RSA網(wǎng)絡內(nèi)部很深的地方，找到了含有與RSA的SecurID認證令牌有關的敏感信息的數(shù)據(jù)庫。雖然RSA從來沒有證實到底丟失了什么信息，但是本周又傳出消息，稱一家使用SecurID的美國國防承包商遭到了黑客攻擊，這證實了這個傳聞：RSA攻擊者已獲得了至關重要的SecurID種子(SecurIDseed)。汲取的經(jīng)驗教訓：對于黑客們來說，沒有哪個目標是神圣不可侵犯的，連RSA這家世界上領先的安全公司之一也不例外。RSA泄密事件表明了對員工進行培訓有多么重要;如果笨手笨腳的內(nèi)部員工為黑客完全敞開了大門，一些最安全的網(wǎng)絡和數(shù)據(jù)庫照樣能夠長驅(qū)直入。安全專家們還認為，這起泄密事件表明業(yè)界想獲得行之有效的實時監(jiān)控，以防止諸如此類的深層攻擊偷偷獲取像從RSA竊取的專有信息這么敏感的數(shù)據(jù)，仍然任重而道遠。泄密案例三、受害者：Epsilon失竊的資產(chǎn)：這家公司2500名企業(yè)客戶中2%的電子郵件數(shù)據(jù)庫。營銷公司Epsilon從來沒有證實它所存儲的大量消費者聯(lián)系人信息當中到底多少電子郵件地址被偷，這些聯(lián)系人信息被Epsilon用來代表JP摩根大通、雜貨零售商克羅格(Kroger)和TiVo這些大客戶發(fā)送郵件。但是從這家公司的多個客戶透露出來的泄密事件通知表明，這起泄密事件肯定影響了數(shù)以百萬計的客戶，使得他們在將來面臨網(wǎng)絡釣魚和垃圾郵件攻擊的風險更大。汲取的經(jīng)驗教訓：Epsilon也沒有證實這起攻擊的技術細節(jié)，但是許多人指明，針對電子郵件營銷行業(yè)策劃的狡猾的魚叉式網(wǎng)絡釣魚攻擊活動可能是造成這次攻擊的一個根源，再次強調(diào)了對普通員工進行安全意識教育的重要性。不過對于企業(yè)來說可能更重要的是這個教訓：貴企業(yè)在外包時，仍然保留這樣的風險和責任：保護承包商監(jiān)控的數(shù)據(jù)。由于Epsilon這個合作伙伴引起的這起泄密事件，Epsilon的每個客戶仍要自行承擔披露和相關成本。泄密案例四、受害者：索尼（2011年4月26日）失竊的資產(chǎn)：超過1億個客戶賬戶的詳細資料和1200萬個沒有加密的信用卡號碼。攻擊者得以闖入三個不同的數(shù)據(jù)庫--這些數(shù)據(jù)庫含有敏感的客戶信息，包括姓名、出生日期以及一部分索尼擁有的信用卡號碼，這影響了PlayStation網(wǎng)絡(PSN)、Qriocity音樂視頻數(shù)據(jù)加密并未被盜除了CSDN和天涯，昨天，許多騰訊QQ、新浪微博、人人網(wǎng)用戶也反映自己的賬戶和密碼被公開在網(wǎng)上，甚至有的賬號還被用來詐騙。還有網(wǎng)友稱新浪微博用戶數(shù)據(jù)疑似被泄露，并公布了疑似被盜的新浪微博數(shù)據(jù)庫下載地址，該網(wǎng)友上傳的數(shù)據(jù)庫文件顯示，共有超過476萬個用戶賬戶和密碼被泄露。昨天，新浪微博對此響應稱，新浪微博用戶賬號信息采用加密存儲，并未被盜。經(jīng)核實，網(wǎng)友上傳的數(shù)據(jù)絕大部分不是新浪微博賬號，“極小部分新浪微博用戶因使用和其它網(wǎng)站相同的賬號密碼，可能導致其微博賬號不安全。新浪已對這部分用戶做了保護，并提醒所有用戶盡快進行賬號安全設置”。人人網(wǎng)昨天也澄清稱，自建站以來，人人網(wǎng)從未以明文方式存儲用戶的賬號和密碼，沒有任何用戶數(shù)據(jù)通過人人網(wǎng)對外泄露。但由于部分用戶使用同一個用戶名和密碼來注冊其它網(wǎng)站，所以其人人網(wǎng)賬戶也有被盜的風險，人人網(wǎng)提醒所有與CSDN相同賬號密碼的互聯(lián)網(wǎng)用戶及時修改密碼。騰訊方面昨天發(fā)布聲明稱，已對泄密的QQ郵箱賬號限制登錄，請這部分用戶登錄時根據(jù)提示，在QQ安全中心使用密保工具箱來修改密碼，同時建議用戶定期修改密碼，盡量不要在多個重要賬戶中使用雷同密碼，避免賬號被盜。新浪微博專家說法明文密碼是罪魁禍首“都是明文密碼惹的禍?！睂τ诖舜位ヂ?lián)網(wǎng)泄密風波，360網(wǎng)絡安全專家石曉虹指出，最不安全的數(shù)據(jù)保存方式就是直接存儲明文，一旦數(shù)據(jù)庫泄露，黑客就可直接掌握所有密碼。有些網(wǎng)站由于用戶數(shù)據(jù)安全意識欠缺，曾經(jīng)明文保存過用戶密碼，近期被黑客公開的密碼數(shù)據(jù)庫大多屬于此類情況。據(jù)他判斷，這些數(shù)據(jù)庫實際上已經(jīng)泄露了一定的時間，只是在今年底被黑客密集曝光罷了。互聯(lián)網(wǎng)安全專家董朋鳴指出，在此次事件中，在黑客產(chǎn)業(yè)圈中被賣了多年的資料都被拿了出來，這至少證實了網(wǎng)絡安全行業(yè)歷年來的安全警告并非空穴來風，希望IT行業(yè)和用戶的安全意識能通過這次事件有一個較大的提升。石曉虹認為，在網(wǎng)絡安全方面，國內(nèi)立法相對還較為滯后，對黑客盜取網(wǎng)站資料的行為目前在法律上取證較難，犯罪成本相對較低，因此迫切需要加快信息安全立法。上海律師協(xié)會信息網(wǎng)絡與高新技術業(yè)務委員會主任商建剛表示，在互聯(lián)網(wǎng)時代，每個網(wǎng)民都不應主動去搜集和偷窺他人的隱私。目前刑法修正案中對于盜取用戶信息其實已有明確規(guī)定，偷竊、倒賣數(shù)據(jù)庫屬于違法行為，近年來國內(nèi)已出現(xiàn)過多起因偷盜網(wǎng)游公司賬號而受到法律懲處的案例。泄密案例九、IMF數(shù)據(jù)庫遭“黑客”攻擊（2011年6月11日）據(jù)新華社電美國媒體11日報道，國際貨幣基金組織（IMF）計算機系統(tǒng)過去數(shù)月遭遇“黑客”攻擊。這家機構多名高級管理人員說，攻擊“復雜、嚴重”。國際貨幣基金組織發(fā)言人戴維·霍利拒絕公開黑客入侵更多細節(jié)，稱這一國際金融機構當前處于正常運行狀態(tài)。美國國防部發(fā)言人阿普麗爾·坎寧安11日晚證實，聯(lián)邦調(diào)查局著手介入調(diào)查。信息敏感《紐約時報》報道，國際貨幣基金組織8日向執(zhí)行董事會成員和員工通報黑客入侵事件，但沒有公開發(fā)布。這家機構多名高管說，黑客入侵發(fā)生在過去數(shù)月，早于前總裁多米尼克·斯特勞斯－卡恩涉嫌性侵犯酒店女服務員事件。“這是十分嚴重的入侵，”一名不愿公開姓名的高管說。國際貨幣基金組織遭遇黑客攻擊觸動外界神經(jīng)，緣于這家機構數(shù)據(jù)庫內(nèi)存儲不少可能引發(fā)市場波動的信息。另外，它近期忙于處理針對葡萄牙、希臘和愛爾蘭的金融援助事宜，握有這些國家的一些“敏感數(shù)據(jù)”。國際貨幣基金組織一名高管告訴《紐約時報》記者，令人擔憂的是，這家機構數(shù)據(jù)庫包含它與一些“求援國”領導人就金融援助方案私下談判的內(nèi)容，這些信息一旦泄露，可能“在許多國家掀起政治風波”。累及世行按美國彭博新聞社的說法，黑客入侵事件中，據(jù)信國際貨幣基金組織計算機系統(tǒng)內(nèi)一些電子郵件和其他文本丟失。這家機構的首席新聞官喬納森·帕爾默8日向員工群發(fā)電郵，要求提高警惕?！拔覀兩现馨l(fā)現(xiàn)一些可疑的文本傳輸，”郵件寫道，“隨后調(diào)查顯示，機構內(nèi)一臺臺式電腦遭（黑客）攻擊，用以侵入其他系統(tǒng)?！眹H貨幣基金組織遭黑客入侵累及世界銀行。世行發(fā)言人里奇·米爾斯說，謹慎起見，世行已經(jīng)切斷與國際貨幣基金組織的網(wǎng)絡連接。他坦言，兩家機構經(jīng)由網(wǎng)絡共享的信息“不屬敏感類”。入侵方式“魚叉式網(wǎng)絡釣魚”不清楚黑客攻擊目標是否“精確鎖定”國際貨幣基金組織。一些計算機專家說，黑客有時會廣泛散布惡意軟件代碼，靜待一些大機構“上鉤”；有時則運用面向特定組織或機構的“魚叉式網(wǎng)絡釣魚”，試圖不經(jīng)授權接觸機密數(shù)據(jù)。譬如，黑客可“誘騙”特定機構的員工點擊惡意鏈接，進而侵入對方計算機系統(tǒng)。按專家的說法，國際貨幣基金組織頗有可能是魚叉式網(wǎng)絡釣魚手段的受害者。國際貨幣基金組織（IMF）連遭打擊。繼前總裁多米尼克·斯特勞斯-卡恩因強奸罪指控鋃鐺入獄之后，IMF又爆出內(nèi)部網(wǎng)絡系統(tǒng)遭黑客襲擊。英國《每日郵報》稱，這是一起“經(jīng)過精心策劃的嚴重攻擊”，作為目前國際社會應對金融危機努力中的領導者，IMF掌握著關于各國財政情況的絕密信息，以及各國領導人就國際救市計劃進行的秘密協(xié)商的有關材料，一旦這些內(nèi)容泄漏，不僅將對世界經(jīng)濟復蘇造成嚴重的負面影響，更有可能引發(fā)一些國家的政治動蕩。美國《紐約時報》消息稱，此次事件可能只是黑客在試驗被入侵系統(tǒng)的性能。另一方面，也有人認為國際貨幣基金組織此次遭襲是一起“網(wǎng)絡釣魚”事件：該組織的某位工作人員可能在不知情的情況下誤點了某個不安全的鏈接，或者運行了某個使黑客得以入侵的軟件。大多數(shù)被黑客攻擊的組織或機構都不愿意透露過多的信息，因為他們擔心這樣做只會帶來更多的入侵。泄密案例十、高盛資料被內(nèi)部員工竊取指控與非法復制敏感計算機代碼有關代碼用于運行投資銀行的自動交易系統(tǒng)安德魯克拉克2009年7月6日星期一英國標準時間19點18分一位在高盛華爾街總部工作的前計算機程序員已被指控為竊取商業(yè)機密罪，具體的指控內(nèi)容是下載敏感的計算機代碼，這些代碼被用于運行投資銀行的自動交易系統(tǒng)。謝爾蓋阿雷尼科夫（SergeyAleynikov），一名39歲的俄羅斯移民，因上周五被高盛以涉嫌違反安全條例報警，被美國聯(lián)邦調(diào)查局在紐約附近的新澤西州紐瓦克機場逮捕，一位曼哈頓法官今天以75萬美元的保釋金予以保釋。他被美國檢察官指控為不當復制用于運行交易系統(tǒng)的代碼，并將相關資料上傳至某文件共享網(wǎng)站。據(jù)法院文件透露，該網(wǎng)站由某匿名人士在倫敦注冊，并與一臺位于德國的計算機服務器相關聯(lián)。美國聯(lián)邦調(diào)查局在上個月用四天的時間提起一樁刑事訴訟，稱阿雷尼科夫從雇主高盛那里上傳了32兆的信息，他的雇主在法庭文件中被簡單描述為“某金融機構”。然而，根據(jù)華爾街的消息透露，該金融機構就是高盛公司。阿雷尼科夫在高盛的年薪是40萬美元，他于今年6月早些時候離職，然后加入了一家位于芝加哥的公司，據(jù)他透露給他老板的消息，這家新公司給他開出的薪水是原先的三倍。這項指控描述了從高盛竊取的信息是一種軟件代碼，用來運行一個“針對各種股票和商品市場的先進，高速，高容量”的交易平臺，這個平臺能夠通過快速獲取和分析有關市場情況的變化來進行交易。據(jù)法院文件記述，“通過該交易平臺通常每年為該金融機構產(chǎn)生數(shù)百萬美元的利潤。”阿雷尼科夫被指控通過他在公司的工作電腦，以及家中的臺式機和筆記本電腦下載代碼。高盛是通過內(nèi)部監(jiān)測系統(tǒng)發(fā)現(xiàn)這起違規(guī)事件的，該系統(tǒng)會掃描員工的電子郵件以發(fā)現(xiàn)是否轉(zhuǎn)移公司的計算機代碼，并對任何將文件上傳到外部服務器的行為發(fā)出警報。于其它華爾街的銀行一樣，高盛很少披露其相關的交易方法。用于運行自動交易的軟件平臺被認為是公司的高度商業(yè)機密。高盛拒絕就此發(fā)表評論，但知情人士表示，此項罪行沒有影響到公司的客戶。阿雷尼科夫的妻子，愛琳娜（Elina),向路透社聲稱稱她的丈夫是無辜的，說他是一個已經(jīng)在美國生活了19年的好公民。泄密案例十一、“力拓間諜門”敲響信息安全警鐘（2009年）力拓間諜門事件因給中國整個鋼鐵行業(yè)帶來高達7000多億元的經(jīng)濟損失而備受關注。同樣讓人關注的還有力拓上海辦事處內(nèi)的一臺計算機。國家安全部門調(diào)查后有了驚人的發(fā)現(xiàn)：在這臺計算機內(nèi)，竟然存有數(shù)十家中國鋼鐵生產(chǎn)企業(yè)的詳細資料，包括企業(yè)詳細采購計劃、原料庫存、生產(chǎn)安排等數(shù)據(jù)，甚至連每月的鋼鐵產(chǎn)量、銷售情況也非常明晰。對此有媒體戲言：力拓甚至比有些企業(yè)的老總更了解他們的公司。這無疑為中國的企業(yè)信息化敲響了警鐘。它反映出我國企業(yè)的信息安全特別是信息內(nèi)部安全控制還處于非常初級的階段。事實上，電子化辦公易傳播、易擴散性的特性在給信息傳輸帶來極大便利的同時，也給信息安全埋下了隱患?！敦敻弧冯s志統(tǒng)計，全球排名前100的企業(yè)中，每次由電子文檔泄露所造成的平均損失高達50000美元。特別是在經(jīng)濟危機時期，市場競爭加劇、企業(yè)員工關系不穩(wěn)固，通過竊取機密信息等手段進行不正當競爭以及內(nèi)部員工出賣機密的事件時有發(fā)生。據(jù)德勤對世界前100家全球性金融機構高層的調(diào)查，就公司信息安全而言，36%的受訪者擔心機構內(nèi)部員工行為失當，而擔心來自外部攻擊的受訪者則僅有13%。這表明，今天企業(yè)面對的最大信息安全威脅，已經(jīng)從外部入侵轉(zhuǎn)為內(nèi)部人員使用信息的不可控上。

上當了!騙子通過“偽基站”冒充10086積分兌現(xiàn)金東南網(wǎng)漳州12月19日訊(見習記者蒲怡丹文/圖)近日,記者在朋友圈看到朋友小蔡發(fā)表說說寫道“最近收到10086這樣的短信不要相信,這是騙人的,已有朋友上當被騙錢……”,隨后記者聯(lián)系上小蔡的朋友小超。得知小超收到“10086”積分兌換現(xiàn)金短信后,按其要求登錄該網(wǎng)站領取,結(jié)果銀行卡里的錢瞬間沒了。13日下午4點左右,小超收到“10086”發(fā)來的短信,短信內(nèi)容是這樣的:“尊敬的用戶:您的話費積分已滿足兌換278元現(xiàn)金禮包,請登錄10086.comalt.pw根據(jù)提示安裝激活即可領取,中國移動”,看到這樣的短信,小超也沒別的猜疑,就覺得是“10086”發(fā)來的,應該不會有假。于是小超便根據(jù)短信中給的網(wǎng)址登錄該網(wǎng)站。據(jù)小超介紹,打開該頁面后,顯示的都是移動的福利,包括領取禮包、換禮品、話費積分兌現(xiàn)金等等。而對于積分兌現(xiàn)金的領取則需要填寫個人信息,小超依照頁面上的要求,填寫了“姓名、身份證號、銀行卡號、銀行預留手機號、驗證碼”等人個信息并提交?！暗卿浽摼W(wǎng)站領取現(xiàn)金”的這段時間里,小超也剛好正在網(wǎng)上淘寶,當他淘完東西想要支付的時候電腦卻顯示“余額不足”,“當時我就懵了,剛剛買了兩樣花了一百多塊,卡里的錢明明還有六百多,怎么就余額不足了呢?！毙〕嬖V記者,于是他馬上打電話給銀行,工