数据泄露可能对各种类型和规模的组织造成极大伤害——但这些公司对事件的反应方式才是最后一击。虽然我们在过去一年中看到了一些关于公司应如何应对数据泄露的优秀示例——红十字会和国际特赦组织的透明度值得称赞——但 2022 年是如何不应对数据泄露的长达一年的教训。
回顾一下今年处理不当的数据泄露事件:
英伟达
芯片制造商巨头 Nvidia 在 2 月份证实它正在调查一起所谓的“网络事件”,后来证实这是一起数据勒索事件。该公司拒绝透露有关该事件的更多信息,并且在 TechCrunch 的追问下,拒绝透露它是如何遭到破坏的、哪些数据被盗了,或者有多少客户或员工受到了影响。
尽管 Nvidia 守口如瓶,但现在臭名昭著的 Lapsus$ 团伙很快对此次违规行为负责,并声称窃取了 1TB 的信息,包括“高度机密”数据和专有源代码。根据数据泄露监控网站Have I Been Pwned的数据,黑客窃取了超过 71,000 名 Nvidia 员工的凭证,包括电子邮件地址和 Windows 密码哈希值。
门冲
8 月,DoorDash 与 TechCrunch 接洽,提出独家报告暴露 DoorDash 客户个人数据的数据泄露事件。不仅在未公开泄露事件公布之前就得到消息是不寻常的,更奇怪的是让公司拒绝回答几乎所有关于它希望我们泄露的消息的问题。
这家食品配送巨头向 TechCrunch 证实,攻击者访问了 DoorDash 客户的姓名、电子邮件地址、送货地址和电话号码,以及一小部分用户的部分支付卡信息。它还证实,对于 DoorDash 送货司机或 Dashers,黑客访问的数据“主要包括姓名和电话号码或电子邮件地址”。
但 DoorDash 拒绝告诉 TechCrunch 有多少用户受到该事件的影响——甚至它目前有多少用户。 DoorDash 还表示,违规行为是由第三方供应商造成的,但在 TechCrunch 询问时拒绝透露供应商的名字,也不愿透露何时发现自己遭到入侵。
三星
在 7 月 4 日长假的前几个小时,三星悄悄地放弃了关于其美国系统数周前遭到破坏以及黑客窃取了客户个人信息的通知。在其准系统违规通知中,三星确认未指明的“人口统计”数据也被窃取,其中可能包括客户的精确地理位置数据、浏览和来自客户三星手机和智能电视的其他设备数据。
现在年底了,三星仍然没有就其黑客行为发表任何进一步的言论。三星没有花时间起草一篇博客文章来说明哪些客户,甚至有多少客户受到影响,而是在披露漏洞的同一天,在披露之前的几周内起草并推出了新的强制性隐私政策e 、允许三星使用客户的精确地理位置进行广告和营销。
因为那显然是三星的首要任务。
革命
金融科技初创公司 Revolut 在 9 月份证实它受到了“高度针对性的网络攻击”,并在当时告诉 TechCrunch,“未经授权的第三方”已经“短暂地”获得了一小部分 (0.16%) 客户的详细信息。一段的时间。”
不过, Revolut并未具体说明有多少客户受到影响。其网站称该公司拥有大约 2000 万客户; 0.16% 将转化为大约 32,000 名客户。然而,根据 Revolut 的违规披露,该公司表示有 50,150 名客户受到违规影响,其中包括欧洲经济区的 20,687 名客户和 379 名立陶宛公民。
该公司还拒绝透露访问了哪些类型的数据。在发送给受影响客户的消息中,该公司表示“没有访问任何卡详细信息、PIN 或密码。”然而,Revolut 的数据泄露披露指出,黑客可能访问了部分银行卡支付数据,以及客户的姓名、地址、电子邮件地址和电话号码。
NHS 供应商 Advanced
英国 NHS 的 IT 服务提供商 Advanced 在 10 月证实,攻击者在 8 月的勒索软件攻击中窃取了其系统中的数据。该事件导致该组织的多项服务中断,包括其 Adastra 患者管理系统,该系统可帮助非紧急呼叫处理人员派遣救护车并帮助医生访问患者记录,以及精神健康信托用于获取患者信息的 Carenotes。
虽然 Advanced 与 TechCrunch 分享其事件响应者——微软和 Mandiant——已将LockBit 3.0识别为攻击中使用的恶意软件,但该公司拒绝透露患者数据是否已被访问。该公司承认,与十几个 NHS 信托基金有关的“一些数据”被“复制和泄露”,但拒绝透露有多少患者可能受到影响或哪些类型的数据被盗。
Advanced 表示,“没有证据”表明相关数据存在于我们无法控制的其他地方,并且“对个人造成伤害的可能性很低”。当 TechCrunch 联系到 Advanced 首席运营官 Simon Short 时,他拒绝透露患者数据是否受到影响,也拒绝透露 Advanced 是否有技术手段(例如日志)来检测数据是否被泄露。
Twilio
10 月,美国消息传递巨头 Twilio 证实它遭受了第二次漏洞攻击,网络犯罪分子访问了客户联系信息。 8 月入侵 Twilio 的同一批“ 0ktapus ”黑客所为,有关此次泄露的消息隐藏在一份冗长的事件报告的更新中,几乎没有包含有关泄露性质和对客户影响的详细信息。
Twilio 发言人 Laurelle Remzi 拒绝确认受 6 月数据泄露事件影响的客户数量,也拒绝分享该公司声称已发送给受影响客户的通知副本。 Remzi 也拒绝透露为什么 Twilio 花了四个月的时间才公开披露这一事件。
机架空间
企业云计算巨头Rackspace 于 12 月 2 日遭到勒索软件攻击,导致全球数千名客户无法访问他们的数据,包括存档的电子邮件、联系人和日历项目。 Rackspace 因其对事件或恢复数据的努力只字未提的回应而受到广泛批评。
在公司于 12 月 6 日发布的第一批更新中,Rackspace 表示尚未确定“哪些数据(如果有)受到影响”,并补充说如果敏感信息受到影响,它将“酌情通知客户”。现在已是 12 月底,客户对他们的敏感信息是否被盗一无所知。
最后通行证
最后,但绝不是最不重要的:陷入困境的密码管理器巨头 LastPass 在圣诞节前三天证实,黑客在几周前窃取了其王国的钥匙并泄露了客户的加密密码库。对于使用 LastPass 的 3300 万客户来说,这一漏洞的破坏性与它所造成的破坏一样大,他们的加密密码保险库的安全性与用于锁定它们的客户主密码一样安全。
但 LastPass 对漏洞的处理招致了安全社区的迅速谴责和猛烈批评,尤其是因为 LastPass 表示客户没有采取任何行动。然而,根据对其数据泄露通知的解析阅读,LastPass 知道客户的加密密码库可能早在 11 月就已被盗,此前该公司确认其云存储是使用一组员工的云存储密钥在一次攻击中被盗的8 月份早些时候的违规行为,但该公司并未撤销。
错误和责任完全在于 LastPass 的违规行为,但其处理方式极其糟糕。公司会生存吗?可能是。但由于其对数据泄露的残酷处理,LastPass 已经声名狼藉。
一切都在(缺乏)细节中:最初发表在TechCrunch上的卡莉·佩奇 ( Carly Page ) 2022 年处理不当的数据泄露事件
原文: https://techcrunch.com/2022/12/27/badly-handled-data-breaches-2022/