在今天的文章中，我們匯總了2013年最為嚴重的十大數據泄露事件，旨在向大家解釋攻擊者如何利用多種行之有效的手段成功實現企業環境滲透。這樣的狀況很可能催生出與之相抗衡的安全防御技術，同時也使得新型攻擊途徑需要更高的成本才能成功抵御。

黑客給網絡安全防御方案創新帶來影響

創新型網絡安全產品旨在為企業解決迫在眉睫的主要安全問題，但影響其創新步伐的因素卻多種多樣。企業能夠幫助并引導技術團隊制定開發決策，合規性要求一直以來也始終對新技術起到推動作用。白帽黑客努力研究并探索安全漏洞、網絡犯罪分子則肆意破壞防御機制，但二者為安全產品的生命周期帶來了一正一反的促進與鞭策。

在2013年，黑客們開發出多種新型方式來規避安全限制。他們發動強大的拒絕服務攻勢，模仿合法流量的手段與效果也比原先有了很大進步。他們創造出新的惡意軟件品種，從而很輕松地繞過傳統安全防御體系。他們不斷改善自己所使用的社會工程戰術，設計更加可信的網絡釣魚攻擊活動以竊取所需的賬戶信息。偷渡式攻擊則將目標設定為員工群體——在他們瀏覽合法網站的同時悄悄利用惡意軟件感染其操作系統。

在今天的文章中，我們匯總了2013年最為嚴重的十大數據泄露事件，旨在向大家解釋攻擊者如何利用多種行之有效的手段成功實現企業環境滲透。這樣的狀況很可能催生出與之相抗衡的安全防御技術，同時也使得新型攻擊途徑需要更高的成本才能成功抵御。

10. Zendesk數據泄露

Zendesk是一家專門為各類在線企業提供客戶支持門戶網站的公司。根據該公司的說法，此次安全違規導致數千位Twitter、Tumblr以及Pinterest的用戶遭遇郵件地址及支持信息外泄。

據稱，此次事故發生于去年二月，最初由某家第三方供應商的失誤所引發、但旋即產生連鎖效應，并最終導致該公司向用戶發出警告、提醒稱其電子郵件地址以及某些個人資料面臨潛在風險。安全專家們指出，這些數據很可能被惡意人士們用于組織防不勝防的網絡釣魚攻擊。

[[107337]]

9. CorporateCarOnline違規事故

作為一家豪華轎車租賃預約軟件制造商，CorporateCarOnline去年九月遭遇嚴重的系統破壞，因此發生個人信息泄露的客戶數量超過八十五萬名。此次違規事故還導致成千上萬信用卡信息曝光，其中不乏一些名人。另外，這一事故還凸顯出某些非結構化數據的敏感特性，警醒我們客戶的個人行為與日常工作都可能成為攻擊者可資利用的素材。

攻擊者們利用一項Adobe ColdFusion當中存在的安全漏洞獲取了對數據的訪問權。此次事故昭示了與第三方供應商合作處理敏感數據所帶來的潛在風險，同時也提醒我們需要不斷維護系統并更新最新安全補丁。

8. Facebook數據泄露

去年六月，Facebook披露約有六百萬名用戶由于某種軟件漏洞而在不經意間遭遇電子郵件地址與個人電話號碼外泄。該公司宣稱從信息泄露狀況發生到最終軟件代碼錯誤得到修復，中間的間隔時間長達一年之久。

Facebook用戶在下載好友列表中的聯系人數據時會獲取到原本不應該存在的額外信息，該公司解釋道。當發現這一安全問題后，Facebook方面在24小時之內就完成了修復工作。

該公司還遭遇過內部安全事故。就在去年二月，Facebook曾檢測到幾位員工的筆記本電腦受到惡意軟件感染，這一偷渡式攻擊專門針對那些訪問過某家已被攻破的移動開發者網站的軟件開發人員。

7. Drupal.Org數據泄露

人氣開源內容管理系統Drupal在發現自身服務器存在數據安全違規狀況后，決定對其Drupal.org網站全體用戶的密碼加以重置。Drupal作為一套后端平臺支持著成千上萬的博客與網站。

根據該公司的說法，攻擊者針對的是安裝在Drupal.org服務器基礎設施內的第三方軟件所存在的安全漏洞。此次泄露的數據包括用戶名、電子郵件地址、國家信息以及散列密碼。事故于去年五月公布，受到影響的賬戶持有者數量可能高達百萬。該公司表示自身已經在事故發生后更新了安全措施并改進了其Apache Web服務器的保護力度。

6. LivingSocial數據泄露

作為一家電子商務新興企業，LivingSocial于去年四月宣布遭遇數據泄露事故、其旗下的五千萬用戶受到影響。攻擊者得以訪問用戶名、密碼、電子郵件地址以及賬戶持有者生日等數據。

安全專家們提醒稱，這一次LivingSocial數據泄露事故的出現為整個業界敲響了警鐘——新興企業由于資金有限往往無力組織起有效的防御機制，而由此帶來的潛在風險已經成為安全人員們的共識。大部分企業的運營優先級依次為核心產品開發、營銷活動投入，最后才是解決安全方面可能存在的差距或者短板。幸運的是，該公司始終堅持PCI合規性，同時利用隔離網絡支撐用于處理信用卡數據的交易支付系統。

5. Evernote數據泄露

移動數據存儲企業Evernote于去年三月發現其系統遭遇入侵后，旋即對五千萬名用戶的密碼進行了重置。該公司還著手引入雙因素驗證支持方案，旨在幫助用戶在高強度密碼之外利用其它機制驗證自己的身份。

該公司表示安全團隊檢測到的攻擊活動利用綜合性手段嘗試訪問其受限企業網絡。安全專家們指出，Evernote強大的事故響應能力證明該公司始終為泄露狀況做好了充分準備。幸運的是，Evernote利用單向加密、散列與salt等機制對密碼進行保護，從而使其內容更加難于破解。

安全專家們提醒稱，企業應該更多地將密碼泄露作為可能發生的潛在狀況，鼓勵用戶采用高強度密碼并考慮使用密碼管理方案。

[[107340]]

4. MongoHQ數據泄露

MongoHQ數據安全違規事件給數百位云用戶帶來直接影響，受到間接影響的用戶數量則可能成千上萬。該公司專門出售針對MongoDB NoSQL數據庫管理系統的數據庫即平臺服務。此次泄露的數據包括電子郵件地址、散列密碼以及其它一些客戶賬戶信息。

但此次泄露事故的核心在于，攻擊者已經有能力入侵受害者的Amazon Web Services S3存儲賬戶并獲取對一部分MongoHQ客戶數據庫的訪問權。這次數據泄露于去年十月被正式發現，發生原因是與該公司內部支持應用程序相關的安全控制機制失效。該公司表示，某位員工在已被攻破的個人賬戶中輸入了密碼，問題由此產生。正如安全專家們一再提醒的，安全設備配置失當以及基礎性安全機制失效很可能引發嚴重的違規情況。

3. Target Corp.信用卡數據泄露

調查人員們目前仍然在努力確定Target Corp.信用卡數據泄露事故的實際影響范圍。該系統在遭遇違規狀況后至少導致四千萬張信用卡與借記卡信息外流。攻擊者們自假日購物季開始便著手發動攻勢，其實施手段不禁讓我們想起以往曾經出現過的信用卡違規事故——钖007年的TJX違規、哈特蘭支付系統以及漢納福德兄弟連鎖超市等數據泄露事故。而作為每一次違規事故的核心，攻擊者利用的其實都是最為基本的安全漏洞。

盡管目前我們還沒有足夠的細節來推斷攻擊者是如何獲取訪問權的，但這次事故再次將我們的注意力集中到了支付卡行業及其數據安全標準身上。安全專家們指出，PCI-DSS已經成為引導某個行業有效進行自身調整的標準化模式。這套標準強調了一系列必須遵循的最低執行步驟，旨在保護敏感支付系統。它由各個支付品牌以多種方式加以強制執行。此次違規事故是否會促使立法者考慮更為嚴格的實施標準以及違規懲罰尚有待觀察。

[[107341]]

2. 《紐約時報》數據泄露

去年《紐約時報》的內部系統遭遇入侵、黑客們掌握了其持續訪問權，這一問題直到幾個月后才被披露給其它媒體。計算機取證調查員們在接受采訪時表示，網絡犯罪分子利用自定義工具實施了這一輪攻擊。目前調查人員將主要注意力集中在了兩位記者身上。

此次事故正式揭開了由政府推動的網絡間諜活動的神秘面紗，黑客集團背后的資源供給也因此變得更加復雜。除此之外，這一事故也幫助我們更為直接地關注部分關鍵性安全最佳實踐，包括對主動網絡監控的需求、高強度密碼的重要性以及利用隔離系統保存敏感數據的價值等。攻擊者們利用數十種自定義惡意軟件實施綜合性入侵，并將這些軟件推向保存每一位《紐約時報》員工散列密碼數據庫的域控制器當中。

[[107342]]

1.博思艾倫咨詢公司——美國國家安全局數據泄露

安全專家們表示，前政府事務承包商雇員愛德華·斯諾登泄露國家安全局監控程序信息的事件證明，對負責維護關鍵性系統及流程的員工進行嚴格審查是保障數據安全的重要組成部分。斯諾登是參與高度機密安全審查工作的近五十萬名承包商雇員之一。盡管在個人簡歷當中存在一些問題，他最終仍然被博思艾倫咨詢公司聘用。他在夏威夷幫助國家安全局打理相關工作，并獲得了12.2萬美元的年薪。

此次國安局數據流露事故據稱是由于其他雇員利用U盤及賬戶憑證獲得了對關鍵性系統的訪問權。根據報道，斯諾登從國安局處取得了數十萬份文件，并隨后將這些資料提供給媒體記者，從而證明了國安局在國內外確實展開了大量監控活動、試圖分析監控對象的網絡通信以及手機記錄。斯諾登的行為引發了廣泛的討論熱潮，全世界都開始認真思考政府到底能夠在怎樣的程度范圍內進行情報搜集活動。除了潛在的加密缺陷以及實施失誤之外，斯諾登事件還大大提高了組織機構對于內部威脅防御的關注程度。另外，他的行動還讓更多普通民眾意識到美國各大技術供應商與政府之間的密切協作。總而言之，這次曝光的數據泄露很可能對今后互聯網通信底層系統的完整性與彈性以及用于為用戶提供隱私級別保障的機制產生重大影響。