7 月底,在线交友网站 Ashley Madison 的所有者 Avid Life Media (ALM) 证实其遭遇大规模数据泄露,数百万 Ashley Madison 用户的个人详细信息和身份信息可能被泄露。
一个月后,据称负责此事的黑客“Impact Team”公布了约 3200 万客户的姓名、地址、电话号码和信用卡交易详情,证实了该公司的担忧(更不用说其用户的担忧)。 该信息是通过“暗网”发布的,暗网是互联网的一个半匿名角落,只有使用特殊的Tor 浏览器和洋葱路由器才能访问。 自然而然地,关于如何获取数据的说明出现了,随后小报上就出现了大量关于伴侣找到自己另一半详细信息的故事。 进一步的报道包括对此次泄密事件是内部人员所为的指控,以及对许多人实际使用该网站的方式和原因的更深层次的社会反思。
然而,从网络安全角度来看,Ashley Madison 是网络攻击进入新黑暗阶段的最引人注目的例子。 网络犯罪分子不仅仅试图制造混乱和尴尬,或者为了获得一点自我宣传,他们越来越多地通过黑客攻击来索要赎金。 7 月初,电影流媒体服务 Plex 遭到黑客攻击,攻击者试图从该服务中窃取资金。 一个月前,中国银行和东亚银行均遭受 DDoS 攻击,黑客威胁这些机构,如果他们不支付巨额比特币,就会扩大攻击。
Impact Team 声称,这次攻击几乎是针对 Ashley Madison 背后公司的一次士气讨伐。 据黑客称,ALM 在 2014 年通过其完整删除服务赚取了 170 万美元的收入,该服务允许用户以 19 美元的一次性费用删除网站使用历史记录和个人身份信息。 Impact Team 声称事实并非如此,用户的付款详细信息仍然可以访问。
然而,黑客攻击更可能的原因是被窃取的信息具有高度敏感性,而且价值不菲。 想象一下,如果 3200 万人的数据被泄露到暗网,他们是否愿意支付 100 美元来删除这些数据? 如果你算一下(或者如果你不喜欢计算——贿赂收入可能高达 32 亿美元),就可以看出像 Ashley Madison 黑客事件这样的违规行为有多么严重。
那么,这对企业意味着什么? 很简单,我们需要认真对待网络安全问题,而且要迅速采取行动。 无论您对 Ashley Madison 及其提供的服务有何看法,这次黑客事件仍然是企业在保护付费客户数据方面面临的普遍挑战的一个例子,并且可能对未来收入产生影响。
许多公司并没有迅速调整其政策和保护措施以应对快速演变的安全威胁。 如果你还没有成为攻击目标,那么你很幸运。 如果组织不立即采取行动,黑客将继续寻找新方法来破坏他们的系统并窃取数据。
不幸的是,目前并没有灵丹妙药可以防范黑客。 然而,组织应该首先考虑他们想要保护什么以及黑客可能想要攻击什么。 这些攻击的载体越来越多地是多线程的。 例如,虽然 DDoS 攻击可能正在发生,但它通常旨在分散安全和 IT 团队的注意力,同时黑客会在其他地方精准攻击您的应用以获取您的数据。 这些攻击通常关注的是应用,黑客可能会利用应用逻辑或使用这些应用的人。
抛开有关 Ashley Madison 的道德争论,焦点应该放在黑客如何日益胜过公司,并在这一过程中侵犯个人自由或匿名权。 为了防止这些攻击成为每周甚至每天的事件,安全行业和各个行业的企业需要共同努力,抢占黑客的先机。