漏洞堆積如山
對於網路防禦或者事件響應領域中任何一個希望度過緩慢夏天的人來說,情況看起來都不是太好。其中一個跡象就是,MOVEit網路攻擊活動的受害者數量與日俱增。據了解,一些已經確認的攻擊事件對用戶的個人數據帶來了重大影響:據非營利性組織Identity Theft Resource Center的數據,按照受影響人數來看,與MOVEit攻擊相關的三起數據泄露事件躋身2023年上半年十大數據泄露事件之列。
Emsisoft公司威脅分析師Brett Callow表示,這可能只是冰山一角,因為到目前為止,148個受影響的組織中,只有11個組織實際披露了受影響的人數。換句話說,可能還會有更多的後果。
根據Identity Theft Resource Center提供的數據顯示,2023年上半年發生的10起最大數據泄露事件總共影響了1.04億人。值得注意的是,一些影響廣泛的、備受矚目的漏洞並未進入前十,其中包括今年早些時候Fortra GoAnywhere文件傳輸平台受到攻擊的事件。例如,GoAnywhere活動方面最大的事件——醫療保健福利和技術公司NationsBenefits遭到黑客攻擊——儘管有300萬會員受到了影響,但並未躋身今年上半年十大數據泄露事件之列。
安全研究人員表示,Clop一直是GoAnywhere和MOVEit活動的幕後黑手。這兩種工具都用於託管文件傳輸並非巧合。BlackCloak公司首席執行官、前美國國土安全部數據隱私和數據完整性組訓委員會成員Chris Pierson表示,這些技術能夠攝取大量數據,然後將這些數據從一個點轉移到另一個點,因此這也成為對數據竊賊很有吸引力的一個目標。
MOVEit活動沒有像傳統勒索軟體攻擊那樣包括數據加密,這是另一個關鍵進展。正如CrowdStrike情報主管Adam Meyers今年早些時候曾表示的,許多網路犯罪分子發現數據勒索攻擊比勒索軟體更容易、更有利可圖。在MOVEit攻擊活動中,受害者被迫向黑客付款,以避免數據在網上泄露,而不是解密他們的數據。雖然人們發現「僅勒索」攻擊不太可能影響小型企業,但大型組織應該注意傳統勒索軟體攻擊的轉變,因為這意味著在應對像Clop這樣的網路犯罪集團時,僅僅擁有數據備份可能已經不夠了。
Identity Theft Resource Center提供了有關截至6月26日的2023年十大數據泄露事件的相關資訊(按受影響人數計算)。我們也對這些調查結果進行了資訊上的補充。
10、美國俄勒岡州交通部
受影響人數:350萬人
與MOVEit攻擊相關的一次大規模數據泄露影響了美國俄勒岡州交通部的俄勒岡州司機和機動車輛部門,以及估計350萬俄勒岡州居民。該部門在一份諮詢報告中這樣寫道:「2023年6月1日,俄勒岡州交通部獲悉,我們受到了MOVEit文件傳輸工具的全球黑客攻擊,我們使用該工具發送和接收數據。我們立即對系統實施保護措施,但是後來我們了解到,俄勒岡州駕駛執照、許可證和身份證的數據記錄被讀取了。」
該部門表示:「如果您擁有有效的俄勒岡州駕駛執照、許可證或身份證,您應該假設個人資訊已被泄露。我們並不確切地知道哪些數據被泄露,或者哪些個人受到了影響,但您應該知道,通常與DMV駕照、許可證或者身份證記錄相關的個人資訊,可能已經被泄露,包括:姓名、家庭和郵寄地址、駕照或身份證號碼、社會保障號碼的最後四位數字。」
9、Independent Living Systems公司
受影響人數:420萬人
Independent Living Systems是一家為管理式醫療機構提供服務的提供商,今年3月該公司披露了此次泄露事件,但實際上該事件是發生在2022年年中的。Independent Living Systems公司在有關該事件的通知中表示:「2022年7月5日,我們發生了一起涉及網路上某些電腦系統無法訪問的事件。我們立即對此事件做出回應,並在外部網路安全專家的協助下開始調查。通過一系列響應工作我們了解到,未經授權的行為者在2022年6月30日至7月5日期間獲得了對某些ILS系統的訪問權限。在此期間,未經授權的行為者獲取了存儲在ILS網路上的一些資訊,並且可能訪問並且查看了其他一些資訊。」
據Independent Living Systems稱,此次事件可能涉及到很多個人數據,包括:「姓名、地址、出生日期、駕照、身份證號碼、社會保障號碼、財務賬戶資訊、醫療記錄號碼、醫療保險號碼、或醫療補助身份、CIN#、精神或身體治療/狀況資訊、送餐資訊、診斷代碼或診斷資訊、入院/出院日期、處方資訊、賬單/索賠資訊、患者姓名和健康保險資訊。」
據報道,該公司已經因為此次事件面臨至少五起集體訴訟。
8、TMX Finance Corporate Services公司
受影響人數:480萬人
TMX Finance Corporate Services是一家提供消費貸款服務的公司,該公司在今年3月份披露,他們在2月的時候發現了數據泄露情況,並且可能早在2022年12月就開始了。一份通知稱:「調查證實,資訊可能涉及2023年2月3日到2023年2月14日期間。我們立即開始審查可能受影響的文件,以確定此事件中可能涉及哪些資訊。」該公司表示,TMX消費者可能受影響的個人數據包括姓名、出生日期、社會保障號碼、護照號碼、駕駛執照號碼和稅號。
7、PBI Research Services/Berwyn Group——MOVEit Transfer
受影響人數:492萬人
今年到目前為止,已經有四起與MOVEit相關的重大數據泄露事件都是源於第三方供應商PBI Research Services的黑客攻擊。迄今為止,這些事件已經影響近500萬人,他們都是兩大養老金系統——加州公共雇員退休系統(CalPERS)和田納西州綜合退休系統——以及兩家保險公司Genworth和Wilton Re的服務對象。
美國最大的公共養老基金CalPERS在一份新聞稿中披露,有769000名退休人員的數據遭到泄露。新聞稿中引用CalPERS首席執行官Marcie Frost的一段話稱,PBI數據泄露事件是「不可原諒的」。田納西州綜合退休系統則報告稱,有171836名退休人員和/或受益人受到影響。
與此同時,Wilton Re在一份通知中披露,近150萬人受到PBI黑客攻擊的影響。Genworth報告稱,在由MOVEit發起的三大PBI相關數據泄露事件中,規模最大的一起涉及到「約250萬到270萬客戶或者保險代理人的個人資訊」。
6、Pharma公司
受影響人數:580萬人
PharMerica是一家在美國各地提供藥房服務的提供商,該公司在今年5月披露稱,該公司在今年3月受到了一次數據泄露事件的影響。該公司在一份通知中表示:「調查確定,未知第三方在2023年3月12日至13日期間訪問了我們的電腦系統,在該事件中,某些個人資訊可能已經被從我們的系統中獲取。2023年3月21日,我們確定這些數據包含了個人資訊,包括上述人員的姓名、地址、出生日期、社會保障號碼、藥物和健康保險資訊。」
5、美國路易斯安那州機動車輛辦公室——MOVEit Transfer
受影響人數:600萬人
與MOVEit攻擊相關的另一起DMV數據泄露事件,影響了美國路易斯安那州機動車輛辦公室和多達600萬路易斯安那州居民(Identity Theft Resource Center中心指出,目前尚不清楚是否存在重複受害者)。今年6月中旬,路易斯安那州州長辦公室在一份新聞稿中表示,「相信所有擁有該州頒發的駕照、身份證或汽車登記證的路易斯安那人,都可能被網路攻擊者暴露了以下數據:姓名、地址、社會保障號碼、出生日期、身高、眼睛顏色、駕照號碼、車輛登記資訊、殘障標牌資訊。」Clop集團聲稱,已經刪除了被盜的政府數據,路易斯安那州州長辦公室則指出「網路攻擊者尚未聯繫州政府」,並補充說「目前沒有跡象表明MOVEit網路攻擊者已經出售、使用、分享或者發布了從MOVEit攻擊中獲得的OMV數據。」
4、MCNA保險公司
受影響人數:892萬人
Managed Care of North America (MCNA)保險公司在今年5月披露,該公司在3月份意識到自身受到了數據泄露的影響。該公司在一份通知中表示:「通過調查,MCNA確定未經授權的第三方在2023年2月26日至2023年3月7日期間訪問某些系統並刪除某些個人資訊的副本。」
「可能涉及的個人資訊包括:(1)用於識別和聯繫您的人口統計資訊,例如全名、出生日期、地址、電話和電子郵件;(2)社會保障號碼;(3)駕駛執照號碼或政府頒發的身份證號碼;(4)健康保險資訊,例如計劃/保險公司/政府付款人的名稱、會員/醫療補助/醫療保險ID號、計劃和/或團體編號;(5)有關牙科/正畸護理的資訊。」
3、Zacks投資研究公司
受影響人數:893萬人
Zacks Investment Research公司在今年1月披露了可能影響82萬名客戶的數據泄露事件,據報道該事件發生在2021年11月至2022年8月之間。「我們認為被訪問的具體客戶資訊僅限于姓名、地址、電話號碼和電子郵件地址/用戶名,以及從1999年11月至2005年2月期間註冊Zacks Elite產品的舊客戶資料庫中使用的密碼。該產品已於2011年逐步淘汰,」Zacks在網站通知中這樣表示。
然而今年6月,泄露資料庫和通知服務Have I Been Pwned表示,它收到了2020年泄露事件中屬於890萬Zacks用戶的資訊資料庫。6月,Zacks在更新的通知中表示,「我們已經確認,以下Zacks披露的先前數據泄露事件涉及一小部分未加密密碼的客戶,未經授權的第三方也獲得了zacks.com客戶的加密密碼的訪問權限。我們沒有理由相信,對於任何Zacks客戶來說,任何客戶信用卡資訊或任何其他客戶財務資訊已經被訪問了。」
2、PeopleConnect公司——Instant Checkmate & Truthfinder
受影響人數:2020萬人
PeopleConnect在今年2月披露,一次數據泄露事件影響了他們的背景調查服務Instant Checkmate和Truthfinder。PeopleConnect在有關該事件的一份初步報告中這樣表示:「最近我們獲悉,TruthFinder訂閱者的名單正在一個在線論壇上被討論並提供,包括姓名、電子郵件、某些情況下還有電話號碼,以及安全加密的密碼以及過期和無效的密碼重置令牌。」
該公司在今年3月更新稱:「密碼欄位不是可讀的形式,這些欄位是使用『scrypt』算法進行散列和加密的。此外,數據是從雲存儲位置被盜或獲取的,該位置僅由我們在2019年合作的前服務提供商維護和使用。」
1、T-Mobile
受影響人數:3700萬人
無線巨頭T-Mobile在今年1月透露,正在積極調查可能影響3700萬用戶帳戶的數據泄露事件。T-Mobile表示,在今年1月5日首次發現惡意活動,當時注意到了「不良行為者」未經授權通過單個API獲取數據。T-Mobile在向美國證券交易委員會提交的文件中稱,此次泄露事件在一天之內就得到了遏制,並且沒有泄露客戶財務資訊等敏感數據。
據T-Mobile稱,公司認為此次泄露事件始於11月25日左右,確實暴露了一些「基本客戶資訊」,包括姓名、賬單地址、電子郵件和電話號碼,同時補充說,其系統和政策阻止訪問最敏感類型的客戶資訊。
T-Mobile在文件中表示:「沒有獲得受影響客戶的任何可能危及客戶賬戶或財務安全的資訊。」
