受新冠疫情、俄烏戰争及全球經濟下行等影響,2022年注定是不平靜的一年。
IDC曾預測,到2025年,全球資料量将比2016年的16.1ZB增加十倍,達到163ZB。全面的數字化轉型正推動數字經濟迅猛發展,社會資料存量同步增長的同時,安全專家也同步指出的是,網絡攻擊的增幅也幾乎與數字化轉型的速度成正比,網絡安全問題也成了全社會企業共同要面對的挑戰。從資料洩露角度來看,全球資料洩露事件無論是頻率、數量,還是影響範圍,在2022年都達到了高峰,并且有愈演愈烈的趨勢。
安全419與外部攻擊面管理廠商零零信安在年底聯合推出年度《2022年資料洩露觀察回顧》,從該視角思考安全核心本質問題。
近年來,随着大資料、網際網路、5G、企業數字化轉型的迅速發展,疫情原因各企業線上辦公普及率上升的同時,也導緻了攻擊面的擴大,為資料外洩網絡犯罪按上了“加速”鍵,造成資料洩露事件的頻率、規模和成本都在快速增長。疫情期間随“碼”出行,也帶來了很大安全隐患,暗網論壇中曾有人以4000美元(約合人民币26936元)拍賣某碼資料庫,稱其中有4850萬使用者的資料,包括使用者姓名、手機号碼、身份證号、碼的顔色,以及通用唯一識别碼等。
據零零信安過去一年時間全網監測資料顯示,2022年全球多個國家頻繁發生資料洩露事件,資料洩露事件總計超過20000件。洩露管道主要包括網站、電商消費平台、社交平台、交通出行購票平台等,涉及國防、科研、政府機構、跨國集團、金融業、教育機構,醫療等行業。從趨勢上看,2022年從3月份開始資料洩露事件數量明顯上升,到九月達到高峰,十月份到十二月份有所下降。與2021年同期相比,2022年的資料洩露事件增長了14%,公用事業企業、醫療機構、金融服務公司、制造企業是黑客的首要攻擊目标。
自2004至2022年資料洩露事件趨勢如下圖:
以下為零零信安按月份列舉的最具有政治和商業代表性的2022年資料洩露事件:
一月:
印尼央行遭勒索軟體襲擊,超13GB資料洩露
事件發現時間:2022-01-21
洩露資料類型:員工個人資訊資料。
印尼央行遭Conti勒索軟體襲擊,内部十餘個網絡系統感染勒索病毒。據勒索團夥稱,已成功竊取超過 13GB 的内部檔案,如印尼央行不支付贖金,将公開洩露資料。
編者按:2022年也被暗網使用者群稱為“印尼資料開源年”,全年暗網中共發現上千起販賣印尼資料的情報資訊,涉及到印尼幾乎全行業和全國民資料。
二月:
俄羅斯黑客入侵美國國防部承包商長達一年,敏感資訊失竊
事件發現時間:2022-02-18
洩露資料類型:文檔、電子郵件和其他資料。
美國情報部門披露俄羅斯國家黑客已經網絡入侵美國國防承包商長達一年,擷取敏感資訊并深入了解美國的國防和情報計劃及能力。FBI、NSA 和 CISA 透露,自 2020 年 1 月以來,俄羅斯黑客組織已經入侵了多個國防承包商(CDC)網絡,在某些情況下,至少持續了六個月,定期竊取數百份文檔、電子郵件和其他資料。
編者按:為了達成軍事和政治目的,各帶有政府屬性的黑客組織利用盡可能多的管道和手段擷取情報,其中也包括對組織上下遊供應鍊、網際網路開源情報分析、釣魚、M&A攻擊等多種手段的綜合利用。
三月:
俄羅斯參戰軍人個人資訊洩露,長達6616頁
事件發現時間:2022-03-21
洩露資料類型:12萬俄軍的名字、注冊編号、服役地點、職務等。
正值俄烏戰争緊要關頭,烏克蘭媒體3月1日在其網站釋出了在烏克蘭作戰的12萬俄羅斯軍人的個人資訊,稱這些資訊由烏克蘭國防戰略中心擷取,來源可靠。這12萬條個人資料詳細記錄了12萬俄軍的名字、注冊編号、服役地點、職務等資訊,頁數多達6616頁。美國約翰霍布金斯大學高等國際研究院教授Thomas Rid在其社交媒體中表示,如果該洩露資訊被證明,這将是有史以來最嚴重的個人資訊洩露事件,更是以人肉搜尋作為武器在戰争中的首次使用。
編者按:俄烏戰争以來,烏方的“斬首行動”以及針對參戰人員的定向打擊,對俄方帶來了較大影響,可以預見到,未來戰争中針對參戰人員以及使用“人肉搜尋”作為戰争武器的場景将逐漸走上戰争舞台。
四月:
GitHub資料洩露
事件發現時間:2022-04-15
洩露資料類型:代碼倉庫。
2022年4月15日Github對外透露,從4月12日開始有攻擊者使用被盜的OAuth使用者令牌從其私有存儲庫中下載下傳資料。攻擊者利用OAth應用程式(包括npm)通路并竊取了數十個組織的資料。目前Github仍在跟進調查此事,同時已将有關情況通知給了所有受影響的使用者群組織。
編者按:GitHub作為全球使用量最大、影響範圍最廣的代碼倉庫,幾乎所有資訊化都與其有或多或少的關聯。可以預見到,針對GitHub的攻擊及資料采集,針對源代碼、配置檔案等的攻擊,也将成為針對某類組織,間接但高效的攻擊手段之一。
五月:
富士康被勒索軟體攻擊
事件發現時間:2022-05-24
洩露資料類型:内部資料被盜。
電子制造巨頭富士康證明,其位于蒂華納(墨西哥)的生産工廠在5月下旬受到勒索軟體攻擊的影響。LockBit勒索軟體團夥聲稱對此次攻擊負責,并宣布如果該公司不支付贖金,将在2022年6月11日18:01:00之前釋放被盜資料。這是富士康墨西哥工廠第二次受到勒索軟體攻擊的影響,2020年,DoppelPaymer襲擊了奇瓦瓦州華雷斯城的工廠,并要求支付3400萬美元的贖金。
編者按:商業黑客近年來屢次通過勒索軟體、竊取資料等手段對商業組織進行财物勒索。除了本次事件外,發生在國内的美的公司事件,黑客以資料加密和竊取的TB級資料要挾勒索1000萬美元;蔚來汽車事件,黑客以車主資料勒索1500萬人民币。另外從曆史事件來看,無論企業是否繳納贖金,結果都并不理想。是以,企業應該更加重視安全,未雨綢缪、防患于未然。
六月:
美國大型銀行Flagstar二次資料洩露,包含客戶敏感資訊
事件發現時間:2022-06-02
洩露資料類型:社會安全号碼和姓名。
Flagstar是美國最大的銀行之一,在 2021 年 12 月遭受了網絡攻擊,當時入侵者侵入了銀行的公司網絡,導緻150 萬客戶資料洩露。經過調查,該銀行于 2022年6月2日發現,攻擊者未經授權通路了客戶的敏感資訊,包括全名和社會安全号碼。此次洩露事件共影響了美國1,547,169人。Flagstar曾在2021年1月份遭受勒索軟體攻擊,當時攻擊同時影響了與其有業務往來的實體公司,事件發生一年之後再遭攻擊,披露與調查則又過了半年之後。
編者按:每年全球因銀行資料和使用者日志洩露造成的直接損失高達數百億美元,包括轉存、詐騙、洗錢等,每個全量資料的一手空賬戶資訊可在黑市賣到幾十美元,這些也是導緻商業黑客猖獗、黑産市場瘋狂的原因之一。
七月:
超過540萬的推特使用者資訊被售賣
事件發現時間:2022-07-14
洩露資料類型:使用者資訊
2022年7月,有攻擊者在黑客論壇以3萬美元的價格出售超過540萬的推特使用者資訊。經過調查,這些資訊是利用2021年12月的一個推特API漏洞(送出到了HackerOne)竊取的,攻擊者利用該漏洞可以通過手機号和郵箱位址來提取相關的推特ID,竊取的資料包含推特ID、姓名、登入名、位置、驗證狀态等公開資訊,以及使用者手機号碼、郵件位址等非公開的個人隐私資訊。
編者按:推特作為全球最大的社交媒體平台之一,曆史上已經曆了多次資料洩露,本次洩露的資料系2021年未能完全解決的漏洞所緻,據悉目前相關部門已進行調查,推特或面臨上億美元罰單的處罰。
八月:
北約飛彈系統公司資料洩露
事件發現時間:2022-08-30
洩露資料類型:員工機密資訊、飛彈藍圖、裝置圖紙等。
北約一家歐洲飛彈系統公司MBDA Missile Systems發生資料洩露,黑客在俄語和英語論壇上出售來自MBDA的80GB被盜資料,價格為15個比特币,約合297,279美元。網絡犯罪分子聲稱已經将資料出售給了至少一位買家。黑客在他們的廣告中聲稱洩露的資料包含“參與開發封閉軍事項目的公司員工的機密資訊”以及“設計文檔、圖紙、示範文稿、視訊和照片材料、合同協定以及與其他公司的通信”。在50MB公開洩露檔案樣本中,有一個示範文稿似乎是陸地接收器通用防空子產品化飛彈(CAMM)的藍圖,包括其中的電子存儲單元的精确位置。樣本資料還包括标有“北約機密”、“北約限制”和“非機密受控資訊”的檔案。至少有一個被盜檔案夾包含MBDA裝置的詳細圖紙。
編者按:該資料第一次被黑客出售時,MBDA公司宣稱該公司并未出現資料洩露事件,這則聲明惹惱了黑客組織,随即放出了大量樣例資料并對MBDA進行了挑釁。按照黑客組織的描述,資料中包含人員資訊、設計圖紙、北約飛彈部署圖等機密檔案。這不禁讓我們想起《三體》中的名句:弱小和無知不是生存的障礙,傲慢才是。
九月:
葡萄牙武裝總參謀部遭網絡攻擊,數百份北約機密檔案洩露
事件發生時間:2022-09-08
洩露資料類型:北約機密檔案
葡萄牙武裝部隊總參謀部(EMGFA)遭到網絡攻擊,黑客竊取了大量北約機密檔案,直到美國發現幾百份檔案在暗網上出售并通知葡萄牙相關機構,後者才意識到自身遭受了網絡襲擊。
編者按:葡萄牙人是否真的不知道自己的資料在暗網被售賣了?對此我們無從得知,就像“你永遠叫不醒一個裝睡的人”。很多企業對于自身被攻擊以及資料被售賣的事實充耳不聞,本着“你隻要不告訴我,這件事情就沒發生過”的僥幸心理進行安全建設。這種自上而下的掩耳盜鈴、自欺欺人的态度,将是企業安全中最大的掣肘。
十月:
俄黑客組織發現烏軍總司令與大量女兵調情,拿到烏絕密資料
事件發生時間:2022-10
洩露資料類型:個人社交賬号
俄羅斯黑客組織“頓涅茨克小醜”,成功黑入了烏克蘭武裝部隊總司令紮盧日内的個人社交賬号,并下載下傳了大量聊天記錄與資訊,随後這位武裝部隊總司令的各種醜聞就被爆料了出來。包括大量烏機密軍事資訊及多位有染女兵資訊,這起醜聞的曝光再次讓全世界見識到烏軍内部有多腐敗。
編者按:這是一次典型的“VIP攻擊”,即針對某些特定重要人員發起的網絡攻擊。編者在2022年初的一次安全大會發表過觀點:曾經“社工庫”、“人肉搜尋”是對社會屬性人員進行網絡攻擊的主要途徑,随着個體對網際網路依賴程度的增加,以及随之而來的數字足迹的延展,針對特定重要人員的“VIP攻擊”也将在未來形成具備方法論和高效實操性的重要社工手段之一。
十一月:
Facebook洩露5.33億使用者隐私,被罰2.65億歐元
事件發生時間:2022-11-18
洩露資料類型:使用者個人資訊。
愛爾蘭資料保護委員會 (DPC) 因2021 年 Facebook 大規模資料洩露事件,向其母公司Meta開出 2.65 億歐元(約20億人民币)巨額罰單。
編者按:涉及重要的資料洩露事件評選,Facebook幾乎場場不落,而且每次均以少則數千萬,多則數億的資料洩露量高居榜單前列。本次資料洩露事件,Facebook不僅收到了2.65億歐元的罰單,還使股票下跌了2.36%。
十二月:
美國FBI關基設施關鍵聯絡人資料庫洩露
事件發生時間:2022-12-10
洩露資料類型:成員資訊資料庫
一個包含87,000多名美國聯邦調查局(FBI)審查資訊共享網絡-InfraGard成員聯系方式的資料庫被釋出在BreachedForums暗網論壇。FBI InfraGard計劃包括經過審查的名人錄,其中涉及管理國家大部分關鍵基礎設施的公司和制造公司、醫療保健供應商和核能公司的網絡和實體安全的私營部門關鍵人物。
編者按:不僅是美國,包括全球各國甚至大陸都出現過類似事件,此類事件對于國家安全存在不同程度的影響。目前相關法律對資料安全進行了明确規定和要求,但對于資料洩露的發現和研判仍然存在盲區,編者呼籲對此應該進行補充和加強。
資料洩露事件影響與總結
通過對以上具有代表性的資料洩露事件進行全面分析,零零信安總結指出:2022年度資料洩露事件雖然在數量和規模上有小幅下降,但資料二次洩露事件頻發,主要是以攻擊者竊密、資料庫配置錯誤、勒索軟體攻擊為主。資料洩露頻發國家有美國、澳洲、印度、俄羅斯、伊朗、烏克蘭、印度尼西亞等,呈現多國家多地區多行業的形态分布。
此外,俄烏戰争開始後僅2022年第一季度,俄羅斯、烏克蘭受大規模網絡攻擊已達數十次,各相關盟國也受到不同程度的網絡攻擊。全球代表各勢力的政治黑客組織猖獗,俄方和烏方均有大量政府、軍隊、關基、企業、民間等資料被洩露,以及被以各類型式進行出售和轉售。網絡安全已從企業和個人影響上升到對政府、軍隊的國家層面影響。
在分析資料洩露安全事件頻繁發生的原因方面,零零信安認為,企業正逐漸将資料保護作為一種新的常态工作,但傳統防火牆、反病毒軟體、入侵檢測、漏洞掃描等技術已難以獨立應對複雜的網絡安全環境,基于防禦者的視角制定的安全政策已無法有效阻擋攻擊者的腳步。零零信安以攻擊者的視角對企業安全進行黑盒分析,基于全量的公開網絡和暗網情報,為企業提供外部攻擊面和暴露面風險報告,進而解決與攻擊者資訊不對等的問題。
#資料安全#