黑客网页漏洞(黑客漏洞赚钱)
重大的网站安全漏洞比大多数用户可能想象的更常见。这里有几个你可能没有听说过的!
在这个时代,数据泄露是一个常见的问题。根据你的业务在互联网上的突出程度,一些恶意分子很可能会破坏你的安全,并尽可能多地提取敏感数据!特别是如果你托管客户,你就更要注意。尤其是当你为数百万用户托管客户数据时--这种安全事件一般的互联网用户接触的少。
历史上一些最大的数据泄露事件也已被大规模宣传。然而,那些能够进入大众视野的事件,并不总是最糟糕的。事实上,有一连串的重大数据泄露事件,一般人是不会听说的。事实上,这正是我们将在这篇文章中讨论的问题。
如果你也关注敏感的数据泄露事件,如果你想了解一些没有被更广泛的互联网社区公开的最大的数据泄露事件,这就是要读的文章。
数据泄露
基础知识:什么构成了数据泄露?
数据泄露 "的概念是不言自明。它就是一种网络安全的入侵,其中敏感数据(如用户密码、成批的电子邮件地址、信用卡信息......)被恶意的第三方查看、提取和/或直接使用。世界上最大的数据泄露事件往往包括超过一百万个用户账户受到影响,这使得它们对大量的用户造成难以置信数据泄露和困扰。
根据特定数据泄露的目标,恶意分子可能正在寻找加密的密码,以访问完全不同平台上的其他个人数据。仅仅是登录数据就是一个重要数量,因为一个普通的数据泄露事件通常会特别针对这种类型的个人数据。
在未经授权获得受影响客户的登录凭证后,网络攻击者就可以继续破坏用户可能已经注册的大量其他安全系统。毕竟,大多数互联网居民都在使用相同的密码。这使得每一次数据泄露都有可能成为灾难性事件:如果导致银行账户号码和其他相关信息的泄露,则更是如此。
现在大多数数据泄露事件不是已经得到了很好的保护吗?
事实上,几乎每一个相关的数据泄露事件都会不可避免地被行业媒体报道,紧接着这可能会导致上述数据泄露事件在适当的时候被主流媒体报道。主流媒体可能只报道比较知名的数据泄露事件,例如2016年传说中问题重重的雅虎数据泄露事件。
然而,不言而喻的是,受影响和/或被盗的数据并不需要一个空前的大数据泄露事件就能成为问题。当代互联网在过去十年中得到了巨大的发展,很多很多服务应用的用户数量目前都超过了一百万。从电子邮件地址到加密密码,这些用户的关键信息很可能最终受到未来数据泄露的影响,如果它还没有作为以前著名数据泄露的一部分受到影响的话。
数据泄露事件可以被预防吗?
实际上,任何当代的数据泄露在技术上都是可以预防的。然而,问题在于事后诸葛亮:在上述数据泄露事件发生后,知道如何防止数据泄露很容易。
重要的是要明白,数据安全是一个令人难以置信的复杂和分层的问题。几乎每一次大规模的数据泄露都有不同的攻击途径。在某些情况下,它可能是一个实际的功能实施问题,而公司的IT团队无法阻止恶意分子访问用户账户。有时,可能是有暴露的数据,使得数据泄露发生了。更进一步说,数据泄露也可能仅仅发生在社会工程的基础上。
覆盖一个特定领域的所有安全基础不是一个小的壮举,然而,保持一百万用户的安全不受安全漏洞的影响是一个既定的事实:这是很平常和正常的事情。下面,我们挑出了一些最大的数据泄露事件,你可能到现在还没有听说过,值得留意的是,恶意的第三方可以变得多么多样和灵活。
大部分人听过的的全球三大数据泄露事件
历史上最大的三起数据泄露事件现在已经是众所周知的了,所以我们将简短地介绍一下这些数据泄露事件,以奠定基础。
第一大数据泄露事件2013年的雅虎数据泄露事件,到目前为止最大的数据泄露事件。大约有30亿用户受到影响,参与这一特定数据泄露事件的恶意分子得到了世界上一半以下人口的数据,这简直是滑稽。它包括用户名、电子邮件地址、电话号码、哈希密码和安全问题,不过幸好没有银行数据被泄露。
第二大数据泄露事件是2017年的Equifax数据泄露事件,总共影响了超过1.46亿用户。绝大多数受影响的用户都在美国,恶意分子拿走了社会安全号码、电话号码、电子邮件地址、税号和其他各种数据。值得指出的是,Equifax的数据泄露事件远没有早期雅虎的数据泄露事件那么严重。
第三大数据泄露事件是2014年的eBay黑客事件,其中受影响的用户数量与Equifax的情况大致相同,只是在几年之后。 eBay建议所有客户立即更改他们的密码,尽管看起来恶意的第三方最终没有得到任何未加密的数据。
分享你可能没听说过的9起重大数据泄露事件
为了说明我们的观点,我们从最近的历史中挑出了10个大规模的数据泄露事件。事实上,其中大多数发生在2010年代,包括数千万,甚至数亿的用户账户和数据实例。可以肯定的是,它们都无法与令人难以置信的大规模雅虎数据泄露事件相提并论,但人们只能希望,雅虎数据泄露事件首先不能被提并论。
考虑到这一点,这些网络安全漏洞只是一些例子,说明在某些情况下暴露的数据是多么容易被触及。它们也说明了网站管理员需要以任何方式保护他们的用户账户,尽管值得指出的是,敏感信息可以通过社会工程等方式泄露出去,这显然是无法正确计算的。
Heartland Payment Systems的数据泄露
发生的日期。2008年3月
受影响的用户:1.34亿
虽然Heartland Payment Systems的数据泄露事件可能在2009年初才公开,但实际上它已经在2008年第一季度至第二季度的几个月里发生了。除了三大银行之外,这可能是目前发生的最大的数据泄露事件,最终有数百万用户账户受到影响。
攻击者使用SQL注入攻击成功地突破了HPS的防火墙,修改了一个特定的网络脚本的代码。这反过来又为恶意分子提供了进入网页登录页面的机会,从而绕过了公司的网络保护。
这里特别值得注意的是,HPS是一家专门从事支付系统和功能、工资选项和销售点实例的公司。这意味着,被泄露的数据几乎是完全关键的,以至于攻击者可以创建具有工作磁条的全新信用卡。
责任人是阿尔伯特-冈萨雷斯和他的两个合伙人,冈萨雷斯最终被判处20年监禁。尽管如此,Heartland Payment Systems最终还是在一段时间内失去了PCI DSS的合规性,该事件导致该公司一度失去了数百甚至数千名客户。
Target数据泄露事件
发生的日期。2013年12月
受影响的用户。1.1亿人
对Target来说,这次数据泄露是一个特别值得注意的问题。到2017年,黑客不仅盗走了4000万条借记卡和信用卡记录,还盗走了远远超过100万用户的约7000万条其他客户记录,而且该公司还被要求向受影响的客户支付1850万美元的额外赔偿。
因此,被盗的数据在整体上是非常有价值的,当一切都结束时,该公司的损失超过了2亿美元。塔吉特公司的收益估计也下降了46%,强调了这样一个巨大而广泛的数据泄露事件的真正代价。更不用说失去的信任度了。
奇怪的是,这个特定的数据泄露并不一定是Target的错。或者说,不纯粹是Target的错。该公司有一个专门的域名供第三方供应商登录并开展业务。这些第三方中的一个受到影响,最薄弱环节原则导致塔吉特公司首当其冲受到攻击。
随后,Target公司重新建立了其安全基线,加强了其登录凭证,并开始发行特殊的芯片和针卡,以减少未来攻击的可能性。但是,恶意分子已经带走了这些信息,客户数据受到了永久性的影响。
TJX公司数据泄露事件
发生的日期。2006年12月
受影响的用户。9400万
TJX公司未能保护其用户的个人资料和其他各种信息,被吹捧为不处理数据泄露和数据安全的巨大问题的例子之一,这是一个奇怪的案例。无论从哪个角度看,这都不是最大的数据泄露事件,但它是一个非常有问题的事件,因为TJX一直低估了它手头的问题有多大。
也就是说,该公司首先报告说 "只有 "4600万用户受到黑客攻击的影响。事实上,超过两倍的数字最终被泄露了数据。然而,TJX以符合所有人的最佳利益为借口,尽可能长时间地将其客户和当局蒙在鼓里。
此外,TJX似乎也不符合PCI标准,而且有人认为,该公司并不急于遵守。
不过,特别值得注意的是,TJX的数据泄露事件与HPS的数据泄露事件是同一个人负责。Albert Gonzalez。该黑客很好地利用了TJX明显缺乏严肃的数据安全措施,并有机会一次收集数月的数据。
摩根大通数据泄露事件
发生的日期。2014年7月
受影响的用户。8300万(家庭和企业)
作为这份名单上较新的数据泄露事件之一,投资银行企业摩根大通的黑客攻击事件因其对美国各地的个人和家庭产生了极其广泛的影响而掀起波澜。据估计,大约有7600万个家庭和另外700万个小企业的敏感信息被泄露,这是一个惊人的数字。
这是有史以来最大的数据泄露事件之一,泄露的数据包括电子邮件地址、用户名和真实姓名、住宅地址、电话号码等等。值得庆幸的是,哈希密码和财务信息似乎在这场灾难中得到了安全保护,这对摩根大通来说是一线生机。
作为此次漏洞的一部分,超过90个域名实例和服务器被未知的恶意行为者渗入。虽然目前还不清楚到底是什么导致了这次漏洞,但摩根大通已经因此大量增加了其安全支出,而工作理论是黑客利用一些更常见的网络应用程序来突破防火墙。
具体来说,这些网络应用中似乎存在一个零日漏洞,这反过来又让黑客在一个不短的时间内猖獗起来。因此,这种数据泄露是无法可靠地预测的。
Uber数据泄露事件
发生的日期。2017年11月
受影响的用户。5700万
这份名单上更公开的数据泄露事件之一肯定是Uber的数据泄露事件。这次事故似乎是由两名黑客设计的,他们获得了对司机和客户数据的访问。这本身就是一个巨大的问题,但由于Uber没有在适当的时候通知法律当局,所以问题进一步恶化。
根据对这一案件的了解,Uber似乎将代码上传到了Github,结果包括了本应事先清除的登录凭证和其他敏感信息。这些被泄露的数据让黑客在短时间内获得了Uber的记录,然后让他们获得了对该网站AWS服务器的访问。
奇怪的是,Uber随后支付了10万美元,让黑客删除数据,并将漏洞保持在低水平。据消息人士称,可能已经签署了保密协议,这使得黑客无法像这个名单上的大多数其他数据泄露事件那样,让Uber的记录曝光。
那么,这不一定是一个适当的安全漏洞的案例。相反,数据泄露首先发生的似乎是Uber自己的错,因为该公司未能适当地容纳上传的代码,并从方程式中删除登录凭证。
Ashley Madison数据泄露事件
发生的日期:2015年7月
受影响的用户:3200万
即使从外行人的角度来看,这一次也很难错过。当然,将Ashley Madison数据泄露事件推上风口浪尖的是其提供的服务的话题性。由于Ashley Madison的所有者Avid Life Media专门提供成人勾搭服务,它拥有其每一个用户的过多的个人资料,而且很明显,为什么这对每个参与者来说都是一个坏时机。
当黑客--所谓的Impact Team--进入Ashley Madison时,他们似乎对金钱利益、间谍活动或任何类似的事情都不太感兴趣。相反,他们窃取并倾倒了价值约10GB的3200万用户的个人身份信息。
更重要的是,Avid Life Media自己的 "完全删除 "账户功能似乎并没有在每个案例中真正删除所有的信息。相反,这次数据泄露也获得了一些信息,如信用卡交易等信息仍被保留。
围绕Ashley Madison数据泄露事件的讨论,启动了大量关于现代数据泄露性质的理论研究。毕竟,Avid Life Media是唯一一家在被要求删除用户信息后仍保留这些信息的公司,这种可能性有多大?
美国人事管理办公室数据泄露事件
发生日期:2012 - 2014
受影响的用户:2200万
毫无疑问,这是在美国发生过的最危险和最大的数据泄露事件之一。与其他数据泄露事件相比,这一特殊事件的严重性在于被盗数据的性质:它包括大量的个人身份信息以及关于政府雇员的大量数据。
奇怪的是,美国OPM的数据泄露事件是由两个不同的、但在几周内执行的相关攻击组成的。X1是OPM网络设置中最初数据外泄的官方名称,而X2是两次数据泄露中的第二次,也是更大的一次。在这里,黑客以政府的人事数据文件为目标,可能确切地知道他们在寻找什么。
当然,这两起数据泄露事件的程度还不完全清楚,但可以肯定的是,黑客拿走了军事记录、退伍军人数据、出生日期和地址、工作和付款历史、健康和人寿保险、养老金数据等等。
在最近所有的数据泄露事件中,这一次可能是最严重的一次,它导致了负责OPM的几位高层的辞职。
Timehop数据泄露事件
发生的日期:2018年4月至6月
受影响的用户:2100万
Timehop数据泄露事件是在2018年的几个月内进行的,梅西百货、布鲁明戴尔百货和Domain Factory的网络服务器隐秘地被攻破,使黑客可以随时获得各种个人身份信息。
与其他许多类似的数据泄露事件相比,更有趣的是,恶意分子最初是通过使用一个有效的、基本的用户账户获得了对服务后台的访问。这使他们最终获得了用户的真实姓名、家庭住址、电话号码、电子邮件地址、出生日期,以及--最麻烦的--一些信用卡信息。
然而,一线希望在于,信用卡的CVVs仍然无法访问。这证明,即使发生了数据泄露,拥有多层额外的安全保障是非常值得的。这样一来,即使非关键数据被访问,更重要的信息仍然是安全的。
诚然,更多的数据泄露之所以没有造成更大的破坏性和损害性,是因为信息通常被封存在双层或三层的保护之下。安全防火墙中的分隔和分层越多,未来数据泄露对品牌或服务造成永久性损害的几率就越小。
Reddit数据泄露事件
发生的日期。2018年6月
受影响的用户:未披露
听到Reddit也被列入这个最近的一些数据泄露名单,不应该非常令人惊讶。作为一个每天拥有数百万用户的网站,Reddit是来自各行各业的网络居民的首选,其数据采集能力令人难以置信地强大,尽管与Facebook、Twitter等不在同一水平。
恶意分子早已认识到这一事实,在2018年6月的几天里发生了一个特别值得注意的安全漏洞。当时,Reddit受到一个未知实体的攻击,该实体入侵了几个员工账户,并设法通过基于短信的双因素认证。
根据官方公告,该攻击者在达到造成严重、永久损害的程度之前就被清除了。然而,2007年及之前的所有Reddit数据都已被访问,并可能被备份到其他地方。攻击者获得了进入Reddit存储系统的权限,并有能力查看Reddit的几乎所有旧的内部数据。
在这次安全漏洞之后,Reddit向执法部门报告了这个问题,并向受影响的用户提供了保护其旧用户账户的方法。一个改进的2FA系统也被实施,有效地保护了网站免受未来类似的攻击。
你能做什么来保持安全?
在经历了上述所有情况后,人们可能很容易相信数据安全只是一个愚蠢的差事。毕竟,当最大的数据泄露事件影响到拥有超过一百万用户的平台时,好像没什么大不了的,那么一个较小的、更专业的、不那么突出的企业能有什么希望?关于发生多少数据泄露事件的纯粹统计数字可能一眼看上去就很糟糕。
然而,目标并不一定是要使你的网站完全坚不可摧。相反,它是为了覆盖你所有的基础,使你的域名成为不值得努力的目标。恶意的第三方越难在你的域名上实施重大的数据破坏,他们首先尝试访问你的敏感信息的几率就越低。
最重要的是,任何给定的域名都要建立一个安全基线,以减少易受潜在数据泄露影响的几率。SSL证书就是这个基线,而且在许多情况下,它们被包装成具有出色的生活质量的功能,可以使你保持众所周知的防火墙更容易。此外,上面的例子说明了透明度是多么重要,如果被逼急了。
相关文章
- 4条评论
- 痴者寂星2023-11-22 23:58:57
- 。SSL证书就是这个基线,而且在许多情况下,它们被包装成具有出色的生活质量的功能,可以使你保持众所周知的防火墙更容易。此外,上面的例子说明了透明度是多么重要,如果被逼急了。
- 晴枙过活2023-11-22 23:55:37
- 被封存在双层或三层的保护之下。安全防火墙中的分隔和分层越多,未来数据泄露对品牌或服务造成永久性损害的几率就越小。Reddit数据泄露事件发生的日期。2018年6月受影响的用户:未披露听
- 绿邪俛就2023-11-22 20:54:45
- 泄露事件,以奠定基础。 第一大数据泄露事件2013年的雅虎数据泄露事件,到目前为止最大的数据泄露事件。大约有30亿用户受到影响,参与这一特定数据泄露事件的恶意分子得到了世界上