金融领域的10大数据泄露

网络犯罪分子根据两个条件选择目标 - 最大影响和最大利润。金融机构完美地满足了这些条件，因为它们存储了非常有价值的数据，并且它们的数字化转型努力为网络攻击者访问这些数据创造了更多机会。这就是为什么金融部门成为网络犯罪分子不成比例的目标，仅次于医疗保健。

除了实施特定于金融服务的数据保护解决方案外，减少数据泄露的最佳方法之一是从他人的错误中学习。为了支持这项工作，我们列出了金融行业中 10 大数据泄露事件，按影响程度排名。此列表会定期更新，以包括美国、英国、澳大利亚、中国等主要国家/地区的 2022 年重要事件。

金融领域的 10 大数据泄露事件

每条记录都包含导致数据泄露的关键错误的摘要，以帮助您避免重蹈覆辙。

第一次美国金融公司数据泄露

日期： 2019 年 5 月

影响： 8.85 亿信用卡申请

数据泄露是如何发生的？

超过 8.85 亿条与房地产交易相关的财务和个人记录因常见的网站设计错误而暴露。

此错误在FIrst American Financial Corp网站上被称为“业务逻辑缺陷” 。这是指指向敏感信息的网页链接不受用于验证用户访问权限的身份验证策略的保护。

此次曝光并非由黑客发起，促成敏感数据访问的漏洞是由内部错误引起的——这一事件被称为数据泄露。

尽管数据泄露和数据泄露是两个不同的事件，但它们都有相同的潜在结果——敏感的客户信息落入网络犯罪分子手中。

哪些数据被泄露？

以下数据在 First American Corp 数据泄露事件中遭到破坏：

• 名称
• 电子邮件地址
• 成交代理和买家的电话号码

有了这些信息，就有可能进行广泛的网络犯罪，包括：

• 身份盗窃
• 勒索软件攻击
• 恶意软件注入

从这次违规中吸取教训

可以从 First American Financial Corp 违规事件中吸取以下教训：

• 实施代码审查政策——在发布任何代码之前，应该由质量控制官审查。
• 监控数据泄漏 -数据泄漏检测解决方案将在网络犯罪分子发现之前检测并关闭所有内部或第三方数据泄漏。

Equifax 数据泄露

日期： 2017 年 9 月

影响： 1.47 亿客户

数据泄露是如何发生的？

Equifax数据泄露事件简直就是一场灾难。一系列可怕的网络安全实践使网络犯罪分子几乎太容易造成安全漏洞。

有四个主要缺陷促成了安全漏洞。

1. 该公司未能为其开源开发框架 Apache Struts修补一个众所周知的漏洞 ( CVE-2017-5638 )。在漏洞发生时，CVE-2017-5638 的补丁已经发布了 6 个月。
2. Equifax未能对其生态系统进行细分，因此攻击者能够在通过门户网站漏洞获得访问权限后无缝访问多个服务器。
3. 黑客发现了以纯文本形式排序的用户名和密码，这些用户名和密码用于提升权限以实现更深入的访问。
4. 由于 Equifax 未能为其内部工具之一更新加密证书，黑客能够在数月内不被发现地窃取数据。

最重要的是，在 Equifax 最终公布违规行为之前已经过去了一个多月。在此期间，高管出售公司股票，引发内幕交易指控。

哪些数据被泄露？

超过 40% 的美国人口可能受到 Equifax 数据泄露的影响。

以下数据被泄露：

• 名称
• 出生日期
• 社会安全号码
• 驾驶执照号码
• 信用卡号码

由于个人身份信息 (PII)和被泄露的财务信息的高度敏感性，Equifax 被罚款 7 亿美元。

从这次违规中吸取教训

金融服务公司和小企业可以从这次违规中吸取许多重要的教训。

• 保持所有软件更新——如果 Equifax 修补了其开发漏洞，则本可以完全避免这种网络攻击。信息安全团队应定期参考CVE 数据库，以随时了解最新的软件暴露情况。使用攻击面监控解决方案可以自动发现现有的甚至潜在的软件漏洞。
• 细分您的生态系统 - 细分您的生态系统以混淆对所有敏感资源的访问。这项工作从创建数字足迹开始。一旦确定了通往敏感资源的所有路径，零信任架构将进一步减少恶意访问。
• 监控第三方 -供应商风险管理平台将通过未修补的漏洞揭示任何面临网络攻击风险的第三方服务。
• 实施及时的数据泄露通知政策——及时的数据泄露通知是金融法规的一项严格要求。不遵守可能会导致高额罚款甚至监禁。

Heartland 支付系统数据泄露

日期： 2008 年 1 月

影响： 1.3 亿个借记卡和信用卡号

数据泄露是如何发生的？

2008 年 1 月，俄罗斯黑客通过Heartland网站上的网络表单注入恶意软件，导致 1.3 亿个信用卡和借记卡号码组成。

网络攻击者使用 SQL 注入攻击来访问公司的公司网络。他们花了将近 6 个月的时间试图访问处理信用卡数据的资源。

在成功避开反病毒防御后，俄罗斯威胁行动者安装了嗅探器软件来拦截传输中的信用卡数据。

阿尔伯特冈萨雷斯和两名身份不明的伙伴一起被指控犯有袭击罪。冈萨雷斯被判处 20 年监禁。

为了纠正其下降的网络弹性声誉，Heartland 对其网络安全进行了重大升级，并大胆向其所有客户发出了以下数据泄露令：

“Heartland Payment Systems 对其支付处理技术的安全性非常有信心，以至于在 1 月 12 日，它宣布为其用户提供新的违约保证。保修计划将补偿商家因涉及 Heartland Secure 信用卡支付处理系统的数据泄露而产生的费用。”插入报价？

具有讽刺意味的是，在该公告发布后，网络犯罪分子闯入了公司的工资办公室并偷走了 11 台计算机，导致个人身份信息泄露，影响了 2,200 人。

哪些数据被泄露？

以下数据在 Heartland 数据泄露事件中遭到破坏：

• 信用卡号码
• 卡有效期
• 持卡人姓名

从这次违规中吸取教训

可以从 Heartland Payment Systems 漏洞中汲取以下教训。

• 合规性还不够 - Heartland 在事件发生时符合 PCI DSS，但不足以防止数据泄露。合规性不应与安全性相混淆。除了监管框架外，组织还必须实施额外的网络安全系统，专门解决促进数据泄露的漏洞。
• 实施内部安全协议——如果威胁行为者能够带着装有敏感资源的设备离开，那么外层安全防御将毫无用处。确保还保护所有实物库存。
• 保护所有第三方系统 - 与 Heartland 合作处理其付款的所有企业都受到此违规行为的影响。该事件突出了供应商风险管理的重要性，以防止易受攻击的第三方变成攻击媒介。

第一资本数据泄露

日期： 2019 年 3 月

影响： 1亿张信用卡申请

数据泄露是如何发生的？

前亚马逊网络服务软件工程师 Paige A. Thompson 非法访问了存储 Capital One 数据的 AWS 服务器之一，并窃取了可追溯到 2005 年的 1 亿张信用卡申请。

FBI 很快就确定了袭击者的身份，因为汤普森没有试图混淆她与事件的联系。

当她在GitHub 上发布被盗数据时使用了她的全名，甚至在社交媒体上公开吹嘘该漏洞。

一位 GitHub 用户向Captial One发送了一封电子邮件，通知他们数据转储被盗。

哪些数据被泄露？

Captial One 数据泄露影响了美国约 1 亿人和加拿大超过 600 万人。

以下类型的敏感数据被盗：

• 社会安全号码（约 140,000 条记录）
• 加拿大社会保险号码（约 100 万条记录）
• 银行帐号 (80,000)

受损数据的规模将此事件归类为金融服务行业中最具破坏性的数据泄露事件之一。

从这次违规中吸取教训

可以从第一资本数据泄露事件中吸取以下教训：

• 保护所有云技术 - 如果 Capital One 使用攻击面监控解决方案确保其向云存储过渡，则可能不会发生这种违规行为。这将突出任何增加数据泄露风险的数据安全漏洞。
• 保护所有防火墙配置 - 错误配置的 Web 应用程序防火墙使这种破坏成为可能。这种不安全的配置可以通过攻击面监控软件快速发现和解决。

摩根大通数据泄露

日期： 2014 年 10 月

影响： 8300 万个账户

数据泄露是如何发生的？

据称位于巴西的网络攻击者成功侵入了摩根大通的外围，获得了最高级别的管理权限，并获得了对其 90 多台服务器的 root 访问权限。

令人惊讶的是，没有利用可用的帐户权限来窃取财务信息，而是仅窃取了客户联系信息。这个非常不合时宜的结果表明，攻击的目的只是窃取特定的客户详细信息——可能用于未来的有针对性的网络攻击。

哪些数据被泄露？

以下数据在摩根大通数据泄露事件中遭到破坏：

• 摩根大通员工的内部登录详细信息
• 客户名称
• 电子邮件地址
• 电话号码

从这次违规中吸取教训

调查显示，这种破坏是由一个非常基本的安全漏洞造成的。
当摩根大通的安全团队升级其网络服务器之一时，他们未能实施多重身份验证 (MFA)。

这一事件表明，即使是最复杂的金融机构也容易受到网络安全卫生基本失误的影响。为了检测通过手动过程而被忽视的暴露，应始终通过攻击面监控解决方案来支持人工。

益博睿数据泄露

日期： 2020 年 8 月

影响： 2400 万客户

数据泄露是如何发生的？

自称是 Experian 一位客户的代表的威胁行为者说服 Experian 南非办事处的一名工作人员放弃敏感的内部数据。

Experian声称提供的信息不是高度敏感的，而是在正常业务过程中经常交换的数据。

据参与调查的当局之一南非银行业风险信息中心 (SABRIC) 称，2400 万客户和近 80 万家企业受到了此次违规行为的影响。

哪些数据被泄露？

以下客户信息已披露给威胁参与者：

• 手机号码
• 家庭电话号码
• 工号
• 电子邮件地址
• 住宅地址
• 工作地点
• 工作地址
• 职称
• 工作开始日期

根据 Experian 的说法，攻击者打算使用被盗数据为保险和信用相关服务创造营销线索。

从这次违规中吸取教训

在工作场所实施网络威胁培训

目标 Experian 员工几乎没有理由质疑威胁者电话的真实性。他们提供了 Experian 要求其客户提供的所有相关识别信息——姓名、姓氏和 RSA ID 号。

这表明现代社会工程活动的复杂性以及应对这种网络威胁的毫无准备的员工。

人永远是网络安全计划中最薄弱的环节。为了保护安全控制投资，金融服务必须在工作场所实施网络威胁意识培训。

该培训应涵盖如何识别 Linkedin 上的欺诈性查询，因为这是社会工程活动日益增长的攻击媒介。

实施数据泄漏检测解决方案

2021 年 10 月 24 日，Experian发现犯罪论坛上有一个暗网帖子，其中包含此违规行为的一些数据。在执法部门的支持下，该活动被拦截并删除了数据。

尽管此类数据泄漏仍未被发现，但数据泄露受害者及其受影响的客户面临持续数据泄露的风险增加。

通过实施数据泄漏检测解决方案，可以立即检测并关闭此类事件，而无需浪费时间等待外部安全援助。

阻止数据泄露

日期： 2022 年 4 月

影响： 820 万员工

数据泄露是如何发生的？

一名 Square（现称为Block）员工未经许可下载了详细说明客户信息的报告。据估计，报告中包括了大约 820 万当前和以前的客户。

哪些数据被泄露？

该报告包括以下信息。

• 全名
• 经纪帐号
• 经纪投资组合价值
• 经纪投资组合持股
• 一个交易日的股票交易活动

Block 表示，密码、社会保险号和支付卡信息等敏感信息并未在此次泄露中受到损害。

从这次违规中吸取教训

在管理日常任务中包含的流程时，内部威胁导致了此漏洞。由于不需要升级权限，因此使用传统的内部威胁监控策略很难检测到此事件。

在员工允许的流程范围内检测潜在的恶意行为需要一种具有高度针对性和定制化的方法。

Desjardins 集团数据泄露

日期： 2019 年 6 月

影响： 420 万客户

数据泄露是如何发生的？

加拿大最大的信用合作社Desjardins的一名心怀不满的员工未经授权访问了 420 万会员的数据，意图对公司造成伤害。

调查缩小了对单一来源的暴露范围，揭示了负责的员工。

事件发生 6 个月后，据透露，该违规行为还影响了 Desjardin 会员群之外的 1.8 名信用卡持有人。

这一更新可能导致估计损失成本大幅增加，从 7000 万美元增加到 1.08 亿美元。

造成损害成本上升的另一个原因是 Equifax 将 5 年的免费信用监控纳入受害者的补偿方案中。

Equifax 也遭受了数据泄露，但影响要大得多（见上文）。

哪些数据被泄露？

恶意员工访问了以下成员数据：

• 社会安全号码
• 名称
• 电子邮件地址
• 交易记录

Desjardins 保证不会在违规行为中访问任何信用卡、借记卡或支付卡号码、密码或 PIN 码。

从这次违规中吸取教训

此漏洞的独特之处在于它不是网络攻击的结果，而是内部威胁。

这类网络风险最难拦截，因为他们的恶意行为很容易被误认为是合法的日常任务。

内部安全团队也很难对内部威胁保持警惕，因为他们的风险管理任务已经超出了他们的带宽。

从这些见解以及导致海滩的关键事件中，可以吸取以下教训：

• 保护所有特权访问 - Desjardins 恶意内部人员不应该对大型个人数据资源进行如此自由和不受监控的访问。通过保护所有特权访问管理，可以防止此类未经授权的访问。
• 简化供应商风险管理 - 有效的供应商风险管理实践，例如供应商分层，保护安全团队免受超载，为内部威胁监控创造足够的带宽。
• 寻找员工不满的迹象——定期的内部服务器或一对一可以在员工不满升级为内部威胁之前突出他们的不满。

西太平洋银行数据泄露

日期： 2013 年 6 月

影响： 98,000 名客户

数据泄露是如何发生的？

此次数据泄露是通过 PayID 发生的——PayID 是 Westpac 的第三方提供商，用于通过手机号码或电子邮件地址促进银行之间的转账。

PayID 就像电话簿一样运作。通过 PayID 查找功能，任何人都可以通过搜索电话号码或电子邮件地址来确认帐户持有人的详细信息。

此漏洞使黑客有可能执行枚举攻击——当使用蛮力技术确认或猜测数据库中的有效记录时。

攻击结束后，黑客发现了 98,000 名西太平洋银行客户的银行详细信息。

哪些数据被泄露？

枚举攻击暴露了以下类型的客户数据：

• 全名
• 电子邮件地址
• 电话号码
• 帐户信息

有了这些细节，网络犯罪分子就可以通过广泛的网络钓鱼攻击不断重新定位受害者。

从这次违规中吸取教训

仅仅因为政府赞助了一个平台，并不意味着它可以抵抗网络。

尽管存在潜在安全风险的警告，澳大利亚政府还是批准了其新支付平台 (NPP)，向公众保证在开发 PayID 时“广泛考虑”了欺诈和安全问题。

具有讽刺意味的是，在此声明之后发生的数据泄露事件表明，政府解决方案容易受到与所有第三方软件相同的网络威胁，包括暴力攻击等过时的技术。

为防止此类事件发生，应实施解决暴力攻击的安全控制。

下面列出了一些示例。

• 限制登录尝试 - 限制来自单个 IP 地址的错误登录尝试。
• 使用设备 cookie -设备 cookie将阻止来自特定浏览器的恶意登录尝试。
• 阻止可疑登录 - 在一定次数的错误尝试后阻止登录功能。
• 不要透露正确的凭据 - 防止登录字段确认哪些特定详细信息是正确的。
• 使用验证码 - 选择每次错误登录尝试都会变得越来越难和更耗时的验证码。

Radius Financial Group 数据泄露

日期： 2022 年 2 月

影响： 16,000 名客户

数据泄露是如何发生的？

当未经授权的一方访问其服务器并窃取与 16,000 名客户有关的私人数据时，抵押贷款机构 Radius Financial Group成为数据泄露的受害者。

哪些数据被泄露？

受损数据可能包含以下信息：

• 姓名/个人信息
• 财务帐号
• 信用卡/借记卡号码
• 帐户安全码
• 访问代码
• 密码
• 针号

从这次违规中吸取教训

这一违规行为凸显了根据PCI DSS 法规制定的安全标准对所有信用卡数据实施加密的重要性。