漏洞堆积如山
对于网络防御或者事件响应领域中任何一个希望度过缓慢夏天的人来说,情况看起来都不是太好。其中一个迹象就是,MOVEit网络攻击活动的受害者数量与日俱增。据了解,一些已经确认的攻击事件对用户的个人数据带来了重大影响:据非营利性组织Identity Theft Resource Center的数据,按照受影响人数来看,与MOVEit攻击相关的三起数据泄露事件跻身2023年上半年十大数据泄露事件之列。
Emsisoft公司威胁分析师Brett Callow表示,这可能只是冰山一角,因为到目前为止,148个受影响的组织中,只有11个组织实际披露了受影响的人数。换句话说,可能还会有更多的后果。
根据Identity Theft Resource Center提供的数据显示,2023年上半年发生的10起最大数据泄露事件总共影响了1.04亿人。值得注意的是,一些影响广泛的、备受瞩目的漏洞并未进入前十,其中包括今年早些时候Fortra GoAnywhere文件传输平台受到攻击的事件。例如,GoAnywhere活动方面最大的事件——医疗保健福利和技术公司NationsBenefits遭到黑客攻击——尽管有300万会员受到了影响,但并未跻身今年上半年十大数据泄露事件之列。
安全研究人员表示,Clop一直是GoAnywhere和MOVEit活动的幕后黑手。这两种工具都用于托管文件传输并非巧合。BlackCloak公司首席执行官、前美国国土安全部数据隐私和数据完整性组训委员会成员Chris Pierson表示,这些技术能够摄取大量数据,然后将这些数据从一个点转移到另一个点,因此这也成为对数据窃贼很有吸引力的一个目标。
MOVEit活动没有像传统勒索软件攻击那样包括数据加密,这是另一个关键进展。正如CrowdStrike情报主管Adam Meyers今年早些时候曾表示的,许多网络犯罪分子发现数据勒索攻击比勒索软件更容易、更有利可图。在MOVEit攻击活动中,受害者被迫向黑客付款,以避免数据在网上泄露,而不是解密他们的数据。虽然人们发现“仅勒索”攻击不太可能影响小型企业,但大型组织应该注意传统勒索软件攻击的转变,因为这意味着在应对像Clop这样的网络犯罪集团时,仅仅拥有数据备份可能已经不够了。
Identity Theft Resource Center提供了有关截至6月26日的2023年十大数据泄露事件的相关信息(按受影响人数计算)。我们也对这些调查结果进行了信息上的补充。
10、美国俄勒冈州交通部
受影响人数:350万人
与MOVEit攻击相关的一次大规模数据泄露影响了美国俄勒冈州交通部的俄勒冈州司机和机动车辆部门,以及估计350万俄勒冈州居民。该部门在一份咨询报告中这样写道:“2023年6月1日,俄勒冈州交通部获悉,我们受到了MOVEit文件传输工具的全球黑客攻击,我们使用该工具发送和接收数据。我们立即对系统实施保护措施,但是后来我们了解到,俄勒冈州驾驶执照、许可证和身份证的数据记录被读取了。”
该部门表示:“如果您拥有有效的俄勒冈州驾驶执照、许可证或身份证,您应该假设个人信息已被泄露。我们并不确切地知道哪些数据被泄露,或者哪些个人受到了影响,但您应该知道,通常与DMV驾照、许可证或者身份证记录相关的个人信息,可能已经被泄露,包括:姓名、家庭和邮寄地址、驾照或身份证号码、社会保障号码的最后四位数字。”
9、Independent Living Systems公司
受影响人数:420万人
Independent Living Systems是一家为管理式医疗机构提供服务的提供商,今年3月该公司披露了此次泄露事件,但实际上该事件是发生在2022年年中的。Independent Living Systems公司在有关该事件的通知中表示:“2022年7月5日,我们发生了一起涉及网络上某些计算机系统无法访问的事件。我们立即对此事件做出回应,并在外部网络安全专家的协助下开始调查。通过一系列响应工作我们了解到,未经授权的行为者在2022年6月30日至7月5日期间获得了对某些ILS系统的访问权限。在此期间,未经授权的行为者获取了存储在ILS网络上的一些信息,并且可能访问并且查看了其他一些信息。”
据Independent Living Systems称,此次事件可能涉及到很多个人数据,包括:“姓名、地址、出生日期、驾照、身份证号码、社会保障号码、财务账户信息、医疗记录号码、医疗保险号码、或医疗补助身份、CIN#、精神或身体治疗/状况信息、送餐信息、诊断代码或诊断信息、入院/出院日期、处方信息、账单/索赔信息、患者姓名和健康保险信息。”
据报道,该公司已经因为此次事件面临至少五起集体诉讼。
8、TMX Finance Corporate Services公司
受影响人数:480万人
TMX Finance Corporate Services是一家提供消费贷款服务的公司,该公司在今年3月份披露,他们在2月的时候发现了数据泄露情况,并且可能早在2022年12月就开始了。一份通知称:“调查证实,信息可能涉及2023年2月3日到2023年2月14日期间。我们立即开始审查可能受影响的文件,以确定此事件中可能涉及哪些信息。”该公司表示,TMX消费者可能受影响的个人数据包括姓名、出生日期、社会保障号码、护照号码、驾驶执照号码和税号。
7、PBI Research Services/Berwyn Group——MOVEit Transfer
受影响人数:492万人
今年到目前为止,已经有四起与MOVEit相关的重大数据泄露事件都是源于第三方供应商PBI Research Services的黑客攻击。迄今为止,这些事件已经影响近500万人,他们都是两大养老金系统——加州公共雇员退休系统(CalPERS)和田纳西州综合退休系统——以及两家保险公司Genworth和Wilton Re的服务对象。
美国最大的公共养老基金CalPERS在一份新闻稿中披露,有769000名退休人员的数据遭到泄露。新闻稿中引用CalPERS首席执行官Marcie Frost的一段话称,PBI数据泄露事件是“不可原谅的”。田纳西州综合退休系统则报告称,有171836名退休人员和/或受益人受到影响。
与此同时,Wilton Re在一份通知中披露,近150万人受到PBI黑客攻击的影响。Genworth报告称,在由MOVEit发起的三大PBI相关数据泄露事件中,规模最大的一起涉及到“约250万到270万客户或者保险代理人的个人信息”。
6、Pharma公司
受影响人数:580万人
PharMerica是一家在美国各地提供药房服务的提供商,该公司在今年5月披露称,该公司在今年3月受到了一次数据泄露事件的影响。该公司在一份通知中表示:“调查确定,未知第三方在2023年3月12日至13日期间访问了我们的计算机系统,在该事件中,某些个人信息可能已经被从我们的系统中获取。2023年3月21日,我们确定这些数据包含了个人信息,包括上述人员的姓名、地址、出生日期、社会保障号码、药物和健康保险信息。”
5、美国路易斯安那州机动车辆办公室——MOVEit Transfer
受影响人数:600万人
与MOVEit攻击相关的另一起DMV数据泄露事件,影响了美国路易斯安那州机动车辆办公室和多达600万路易斯安那州居民(Identity Theft Resource Center中心指出,目前尚不清楚是否存在重复受害者)。今年6月中旬,路易斯安那州州长办公室在一份新闻稿中表示,“相信所有拥有该州颁发的驾照、身份证或汽车登记证的路易斯安那人,都可能被网络攻击者暴露了以下数据:姓名、地址、社会保障号码、出生日期、身高、眼睛颜色、驾照号码、车辆登记信息、残障标牌信息。”Clop集团声称,已经删除了被盗的政府数据,路易斯安那州州长办公室则指出“网络攻击者尚未联系州政府”,并补充说“目前没有迹象表明MOVEit网络攻击者已经出售、使用、分享或者发布了从MOVEit攻击中获得的OMV数据。”
4、MCNA保险公司
受影响人数:892万人
Managed Care of North America (MCNA)保险公司在今年5月披露,该公司在3月份意识到自身受到了数据泄露的影响。该公司在一份通知中表示:“通过调查,MCNA确定未经授权的第三方在2023年2月26日至2023年3月7日期间访问某些系统并删除某些个人信息的副本。”
“可能涉及的个人信息包括:(1)用于识别和联系您的人口统计信息,例如全名、出生日期、地址、电话和电子邮件;(2)社会保障号码;(3)驾驶执照号码或政府颁发的身份证号码;(4)健康保险信息,例如计划/保险公司/政府付款人的名称、会员/医疗补助/医疗保险ID号、计划和/或团体编号;(5)有关牙科/正畸护理的信息。”
3、Zacks投资研究公司
受影响人数:893万人
Zacks Investment Research公司在今年1月披露了可能影响82万名客户的数据泄露事件,据报道该事件发生在2021年11月至2022年8月之间。“我们认为被访问的具体客户信息仅限于姓名、地址、电话号码和电子邮件地址/用户名,以及从1999年11月至2005年2月期间注册Zacks Elite产品的旧客户数据库中使用的密码。该产品已于2011年逐步淘汰,”Zacks在网站通知中这样表示。
然而今年6月,泄露数据库和通知服务Have I Been Pwned表示,它收到了2020年泄露事件中属于890万Zacks用户的信息数据库。6月,Zacks在更新的通知中表示,“我们已经确认,以下Zacks披露的先前数据泄露事件涉及一小部分未加密密码的客户,未经授权的第三方也获得了zacks.com客户的加密密码的访问权限。我们没有理由相信,对于任何Zacks客户来说,任何客户信用卡信息或任何其他客户财务信息已经被访问了。”
2、PeopleConnect公司——Instant Checkmate & Truthfinder
受影响人数:2020万人
PeopleConnect在今年2月披露,一次数据泄露事件影响了他们的背景调查服务Instant Checkmate和Truthfinder。PeopleConnect在有关该事件的一份初步报告中这样表示:“最近我们获悉,TruthFinder订阅者的名单正在一个在线论坛上被讨论并提供,包括姓名、电子邮件、某些情况下还有电话号码,以及安全加密的密码以及过期和无效的密码重置令牌。”
该公司在今年3月更新称:“密码字段不是可读的形式,这些字段是使用‘scrypt’算法进行散列和加密的。此外,数据是从云存储位置被盗或获取的,该位置仅由我们在2019年合作的前服务提供商维护和使用。”
1、T-Mobile
受影响人数:3700万人
无线巨头T-Mobile在今年1月透露,正在积极调查可能影响3700万用户帐户的数据泄露事件。T-Mobile表示,在今年1月5日首次发现恶意活动,当时注意到了“不良行为者”未经授权通过单个API获取数据。T-Mobile在向美国证券交易委员会提交的文件中称,此次泄露事件在一天之内就得到了遏制,并且没有泄露客户财务信息等敏感数据。
据T-Mobile称,公司认为此次泄露事件始于11月25日左右,确实暴露了一些“基本客户信息”,包括姓名、账单地址、电子邮件和电话号码,同时补充说,其系统和政策阻止访问最敏感类型的客户信息。
T-Mobile在文件中表示:“没有获得受影响客户的任何可能危及客户账户或财务安全的信息。”