盘点金融行业十大严重数据泄露事件:技术漏洞与教训

本文深入分析了金融行业历史上影响最严重的十起数据泄露事件,详细揭露了导致每次泄露的技术性根源,例如未修复的Apache Struts漏洞、SQL注入、配置错误的防火墙、社会工程攻击以及内部威胁等,并总结了关键的技术防范与安全管理教训。

10 Biggest Data Breaches in Finance | UpGuard

网络犯罪分子选择目标基于两个条件——影响最大化和利润最大化。

金融机构完美地满足了这些条件,因为它们存储着高价值数据,而其数字化转型努力为网络攻击者获取这些数据创造了更多机会。这就是为什么金融行业成为网络犯罪分子不成比例的攻击目标,仅次于医疗保健行业。

除了实施针对金融服务的特定数据保护解决方案外,减轻数据泄露的最佳方法之一是从他人的错误中吸取教训。

为了支持这项工作,我们列出了金融行业影响最大的10起数据泄露事件,并按影响程度进行了排名。

了解 UpGuard 如何通过其第三方风险评估工具减少与供应商相关的数据泄露。

金融行业十大最严重的数据泄露事件

每条记录都包含导致数据泄露的关键错误摘要,以帮助您避免重蹈覆辙。

1. First American Financial Corp 数据泄露

日期: 2019年5月 影响: 8.85亿份信用卡申请

数据泄露如何发生? 超过8.85亿份与房地产交易相关的金融和个人记录通过一个常见的网站设计错误被暴露。 这个错误在First American Financial Corp网站上被称为“业务逻辑缺陷”。这是指指向敏感信息的网页链接未受到身份验证策略的保护以验证用户访问权限。 此次暴露并非由黑客发起,导致敏感数据访问的漏洞是由内部错误引起的——此类事件称为数据泄露。 尽管数据泄露和数据泄露是两种不同的事件,但它们具有相同的潜在结果——敏感客户信息落入网络犯罪分子手中。

哪些数据被泄露? 以下数据在First American Corp数据泄露事件中遭到泄露:

  • 结案代理和买家的姓名、电子邮件地址、电话号码

掌握这些信息后,可能实施广泛的网络犯罪,包括:

  • 身份盗窃
  • 勒索软件攻击
  • 恶意软件注入

从此事件中吸取的教训: 可以从First American Financial Corp数据泄露中吸取以下教训:

  • 实施代码审查策略 - 在将任何代码上线之前,应由质量控制官员进行审查。
  • 监控数据泄露 - 数据泄露检测解决方案将在网络犯罪分子发现之前,检测并关闭所有内部或第三方的数据泄露。

2. Equifax 数据泄露

日期: 2017年9月 影响: 1.47亿客户

数据泄露如何发生? Equifax数据泄露事件完全是一场灾难。一连串糟糕的网络安全实践使得网络犯罪分子几乎可以轻易地完成安全漏洞。 导致安全漏洞的主要缺陷有四个。

  1. 该公司未能为其开源开发框架Apache Struts修补一个众所周知的漏洞。在漏洞发生时,针对此漏洞的补丁已经发布了6个月。
  2. Equifax未能对其生态系统进行分段,因此攻击者在通过Web门户漏洞获得访问权限后,能够无缝访问多个服务器。
  3. 黑客发现了以明文存储的用户名和密码,并利用这些信息提升权限以获得更深层的访问。
  4. 黑客能够在数月内不被察觉地窃取数据,因为Equifax未能续订其某个内部工具的加密证书。 除此之外,Equifax在最终公开此漏洞之前已过去了一个多月。在此期间,高管们出售了公司股票,引发了内幕交易的指控。

哪些数据被泄露? 美国超过40%的人口可能受到Equifax数据泄露事件的影响。 以下数据遭到泄露:

  • 姓名、出生日期、社会安全号码、驾照号码、信用卡号码

由于被泄露的个人身份信息和财务信息高度敏感,Equifax因此次泄露被罚款7亿美元。

从此事件中吸取的教训: 金融服务公司和小型企业可以从此次泄露中吸取许多关键教训。

  • 保持所有软件更新 - 如果Equifax修补了其开发漏洞,此次网络攻击可能完全可以避免。信息安全团队应定期参考CVE数据库,以了解最新的软件漏洞。可以通过攻击面监控解决方案自动化发现现有的、甚至潜在的软件漏洞。
  • 对生态系统进行分段 - 对生态系统进行分段,以混淆对所有敏感资源的访问。这项工作的起点是创建数字足迹。一旦确定了所有通往敏感资源的路径,零信任架构将进一步减轻恶意访问。
  • 监控第三方 - 供应商风险管理平台将通过未修补的漏洞,揭示任何面临网络攻击风险增加的第三方服务。
  • 实施及时的数据泄露通知政策 - 及时的数据泄露通知是金融法规的严格要求。未能遵守可能导致巨额罚款甚至监禁。

3. Heartland Payment Systems 数据泄露

日期: 2008年1月 影响: 1.3亿个借记卡和信用卡号

数据泄露如何发生? 2008年1月,俄罗斯黑客通过Heartland网站上的Web表单注入了恶意软件,导致1.3亿个信用卡和借记卡号被泄露。 网络攻击者使用SQL注入攻击来访问公司的企业网络。他们花了近6个月时间试图访问处理信用卡数据的资源。在成功绕过防病毒防御后,俄罗斯威胁行为者安装了嗅探软件来拦截传输中的信用卡数据。 Albert Gonzales以及两名身份不明的同伙因此次攻击被起诉。Gonzales被判处20年监禁。 为了试图挽回其受损的网络弹性声誉,Heartland显著升级了其网络安全,并向所有客户大胆发布了以下数据泄露保证:

“Heartland Payment Systems对其支付处理技术的安全性充满信心,因此于1月12日宣布为其用户推出新的数据泄露保证计划。该保证计划将赔偿商家因涉及Heartland Secure信用卡支付处理系统的数据泄露而产生的费用。”

具有讽刺意味的是,在此公告发布后,网络犯罪分子闯入公司工资办公室,物理偷走了11台计算机,导致泄露了影响2200人的个人身份信息。

哪些数据被泄露? Heartland数据泄露事件中泄露了以下数据:

  • 信用卡号、卡有效期、持卡人姓名

从此事件中吸取的教训: 可以从Heartland Payment Systems数据泄露中吸取以下教训。

  • 法规遵从性不够 - 事件发生时Heartland符合PCI DSS标准,但这不足以防止数据泄露。合规性不应与安全性混淆。除了法规框架外,组织必须实施额外的网络安全系统,专门解决导致数据泄露的漏洞。
  • 实施内部安全协议 - 如果威胁行为者能够带走存储敏感资源的设备,那么外层安全防御就毫无用处。务必确保所有物理库存的安全。
  • 保护所有第三方系统 - 所有与Heartland合作处理支付业务的企业都受到了此次泄露的影响。此事件凸显了供应商风险管理的重要性,以防止脆弱的第三方变成攻击媒介。

4. Capital One 数据泄露

日期: 2019年3月 影响: 1亿份信用卡申请

数据泄露如何发生? 前亚马逊网络服务软件工程师Paige A. Thompson非法访问了存储Capital One数据的AWS服务器之一,窃取了可追溯到2005年的1亿份信用卡申请。 联邦调查局很快就确定了攻击者的身份,因为Thompson并未试图隐藏她与此事件的关联。她在GitHub上发布被盗数据时使用了全名,甚至在社交媒体上公开吹嘘此次泄露。 一位GitHub用户向Capital One发送了一封电子邮件,通知他们数据被盗。 通知Capital One其数据被盗的电子邮件 - 来源:heavy.com Paige Adele Thomson在网上吹嘘Capital One数据泄露 - 来源:heavy.com

哪些数据被泄露? Capital One数据泄露影响了美国约1亿人和加拿大超过600万人。被盗的敏感数据类型包括:

  • 社会安全号码
  • 加拿大社会保险号码
  • 银行账号 被泄露数据的规模将此事件归类为金融服务行业最具破坏性的数据泄露事件之一。

从此事件中吸取的教训: 可以从Capital One数据泄露中吸取以下教训:

  • 保护所有云技术 - 如果Capital One使用攻击面监控解决方案保护其向云存储的迁移,此次泄露可能不会发生。这将突出显示任何增加数据泄露风险的数据安全漏洞。
  • 保护所有防火墙配置 - 配置错误的Web应用程序防火墙使此次泄露成为可能。此类不安全配置可以通过供应商风险管理软件迅速发现和解决。

5. JPMorgan Chase 数据泄露

日期: 2014年10月 影响: 8300万个账户

数据泄露如何发生? 据称位于巴西的网络攻击者设法渗透了摩根大通的防线,获得了最高级别的管理权限,并实现了对90多台服务器的根访问。 令人惊讶的是,攻击者并未利用可用的账户权限窃取财务信息,而是只窃取了客户联系信息。这种非常平淡的结果表明,攻击的目标只是为了窃取特定的客户详细信息——可能用于未来的针对性网络攻击。

哪些数据被泄露? JPMorgan Chase数据泄露事件中泄露了以下数据:

  • 摩根大通员工的内部登录详细信息
  • 客户姓名、电子邮件地址、电话号码

从此事件中吸取的教训: 调查显示,此次泄露是由一个非常基本的安全漏洞造成的。 当摩根大通的安全团队升级其一台网络服务器时,他们未能实施多因素身份验证。 此事件表明,即使是最复杂的金融机构也容易受到基本网络安全卫生疏忽的影响。为了检测在人工流程中被忽略的暴露点,人的努力应始终得到攻击面监控解决方案的支持。

6. Experian 数据泄露

日期: 2020年8月 影响: 2400万客户

数据泄露如何发生? 一名声称是Experian客户代表的威胁行为者说服了Experian南非办事处的一名工作人员,使其交出了敏感的内部控制数据。 Experian声称,所提供的信息并非高度敏感,而是在正常业务过程中常见的数据。 根据参与调查的机构之一——南非银行风险信息中心的数据,此次泄露影响了2400万客户和近80万家企业。

哪些数据被泄露? 以下客户信息被披露给威胁行为者:

  • 手机号码、家庭电话、工作电话
  • 电子邮件地址、住址、工作地点、工作地址
  • 职位、入职日期 根据Experian的说法,威胁行为者打算将窃取的数据用于创建保险和信贷相关服务的营销线索。

从此事件中吸取的教训:

  • 在工作场所实施网络威胁培训 被针对的Experian员工几乎没有理由质疑威胁行为者电话的真实性。他们提供了Experian要求其客户提供的所有相关身份信息。 这展示了现代社交工程活动的复杂性,以及员工在应对这种网络威胁方面的准备不足。 人类始终是网络安全计划中最薄弱的环节。为了保护安全控制投资,金融服务机构必须在工作场所实施网络威胁意识培训。
  • 实施数据泄露检测解决方案 2021年10月24日,Experian发现一个犯罪论坛的暗网帖子中包含此次泄露的部分数据。在执法部门的支持下,该活动被拦截,数据被删除。 当此类数据泄露未被发现时,泄露受害者及其受影响的客户面临持续数据泄露的风险增加。 通过实施数据泄露检测解决方案,此类事件可以立即被检测并关闭,而无需浪费时间等待外部安全援助。

7. Block 数据泄露

日期: 2022年4月 影响: 820万员工

数据泄露如何发生? 一名Square员工在未经许可的情况下下载了包含客户详细信息的报告。据估计,约820万现有和以前的客户包含在该报告中。

哪些数据被泄露? 报告包含以下信息:

  • 全名、经纪账户号码
  • 经纪投资组合价值、持仓情况
  • 一个交易日的股票交易活动 Block表示,密码、社会安全号码和支付卡信息等敏感信息在此次泄露中未受影响。

从此事件中吸取的教训: 内部威胁在管理其日常任务中包含的流程时导致了此次泄露。由于不需要权限升级,这种事件很难用传统的内部威胁监控策略检测到。检测员工允许流程范围内的潜在恶意行为需要高度针对性和定制化的方法。

8. Desjardins Group 数据泄露

日期: 2019年6月 影响: 420万客户

数据泄露如何发生? 加拿大最大信用合作社Desjardins的一名心怀不满的员工,意图对公司造成损害,未经授权访问了420万会员的数据。 调查将暴露范围缩小到单一来源,查明了责任员工。 事件发生6个月后,有消息称此次泄露还影响了Desjardin会员基础之外的180万信用卡持有者。 这一更新很可能导致了估计损失成本的大幅上升,从7000万美元跃升至1.08亿美元。 损失成本上升的另一个因素是在给受害者的赔偿方案中包含了Equifax提供的5年免费信用监控服务。

哪些数据被泄露? 恶意员工访问了以下会员数据:

  • 社会安全号码、姓名、电子邮件地址、交易记录 Desjardins保证,在此次泄露中未访问信用卡、借记卡或支付卡号、密码或PIN码。

从此事件中吸取的教训: 此次泄露的独特之处在于,它并非网络攻击的结果,而是内部威胁。此类网络风险是最难拦截的,因为其恶意行为很容易被误认为是合法的日常任务。 对于内部安全团队来说,警惕内部威胁也很困难,因为他们已经因风险管理任务而超出了其带宽。基于这些见解以及导致泄露的关键事件,可以吸取以下教训:

  • 保护所有特权访问 - Desjardins的恶意内部人员不应该如此自由且不受监控地访问大型个人数据资源。通过保护所有特权访问管理,可以防止此类未经授权的访问。
  • 简化供应商风险管理 - 高效的供应商风险管理实践,如供应商分层,可以防止安全团队超负荷工作,为内部威胁监控创造足够的带宽。
  • 寻找员工不满的迹象 - 定期的内部调查或一对一沟通可以在员工的不满升级为内部威胁之前将其突显出来。

9. Westpac Banking Corporation 数据泄露

日期: 2013年6月 影响: 9.8万客户

数据泄露如何发生? 此次数据泄露通过PayID发生,PayID是Westpac的第三方提供商,用于通过手机号码或电子邮件地址促进银行间转账。 PayID的操作类似于电话簿。通过PayID查询功能,任何人都可以通过搜索手机号码或电子邮件地址来确认账户持有人的详细信息。 此漏洞使得黑客能够执行枚举攻击——即使用暴力技术来确认或猜测数据库中的有效记录。 攻击结束后,黑客揭露了9.8万名Westpac客户的银行详细信息。

哪些数据被泄露? 枚举攻击暴露了以下类型的客户数据:

  • 全名、电子邮件地址、电话号码、账户信息 掌握这些详细信息后,网络犯罪分子可以通过广泛的网络钓鱼攻击持续重新定位受害者。

从此事件中吸取的教训: 仅仅因为一个平台由政府赞助,并不意味着它具有网络抵抗力。 尽管存在潜在安全风险的警告,澳大利亚政府还是批准了其新支付平台,并向公众保证在开发PayID时“广泛考虑了”欺诈和安全问题。 此声明后讽刺性地发生的数据泄露事件表明,政府解决方案与所有第三方软件一样,容易受到相同的网络威胁,包括像暴力攻击这样的陈旧技术。 为了防止此类事件,应实施针对暴力攻击的安全控制措施。 下面列出了一些示例。

  • 限制登录尝试 - 限制来自单个IP地址的错误登录尝试次数。
  • 使用设备Cookie - 设备Cookie将阻止来自特定浏览器的恶意登录尝试。
  • 阻止可疑登录 - 在一定次数的错误尝试后阻止登录功能。
  • 不要透露正确的凭据 - 防止登录字段确认哪些具体信息是正确的。
  • 使用验证码 - 选择随着每次错误登录尝试而逐渐变难且更耗时的验证码。

10. Flagstar Bank 数据泄露

日期: 2022年6月 影响: 150万客户

数据泄露如何发生? 美国最大的金融服务提供商之一Flagstar Bank于2022年6月遭遇大规模数据泄露,泄露了近150万客户的社会安全号码。此次泄露是这家总部位于密歇根州的在线银行巨头两年内遭遇的第二次此类攻击。银行没有透露黑客如何成功渗透网络,但初步调查显示,攻击可能早在2021年12月就已发生。 Flagstar银行在发现数据泄露后立即启动了事件响应协议,并表示在调查期间没有发现被利用的证据。然而,他们仍建议客户密切监控其信用状况,并报告任何可疑活动。

哪些数据被泄露? 威胁行为者能够获取以下财务数据:

  • 社会安全号码
  • 银行信息
  • 个人信息

从此事件中吸取的教训: 尽管未指明确切的攻击媒介,但它突显了覆盖每一个可能漏洞的重要性,从第三方风险到内部威胁再到勒索软件防护。尽管在2021年3月解决了多起集体诉讼,Flagstar Bank未能及时实施足够的保护协议。 良好的安全实践应始终包括但不限于以下内容:

  • 年度渗透测试
  • 安全审计
  • 更新的事件响应计划
  • 提供网络安全培训
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次