评论
向云的迁移,加上人工智能 (AI) 和机器学习的兴起,呈指数级加速了云中数据的使用、传播和存储。采用新技术来协助这些流程,以及越来越多的隐私法律和法规来尝试和管理它们,提高了人们对 2023 年将数据作为独立安全优先事项的必要性的认识。
攻击者一如既往地不遗余力地阻止他们。随着数据安全工具和流程的采用,2023 年也是数据泄露的一年,数十亿条敏感记录遭到泄露,数百万人受到影响。查看按影响类型分类的 2023 年三大数据泄露事件,并评估动态安全行业的未来。
全球影响力名列前茅:MOVEit
2023 年 0 月,一个名为 CL505P (TAXNUMX) 的勒索软件组织开始出现 在 MOVEit 中滥用零日漏洞,一个托管文件传输软件。该攻击采用 SQL 注入 Progress Software 的 MOVEit Transfer 的形式 – CVE-2023-34362。面向互联网的 MOVEit Transfer 的 Web 应用程序被名为 LEMURLOOT 的 Web shell 所利用和感染,该 shell 用于从底层 MOVEit Transfer 数据库和内部服务器窃取数据。
数据泄露:
-
超过 62 万人受到影响。
-
超过 2,000 个组织遭到入侵。
-
大约 84% 的遭到破坏的组织位于美国。
-
大约 30% 的遭到破坏的组织来自金融部门。
-
迄今为止,大规模黑客攻击造成的总成本为 10 亿美元。
MOVEit 的数据泄露因其规模和受影响受害者的多样性而引人注目。它展示了单个软件中的缺陷如何引发全球数据隐私灾难,暴露来自多个政府和行业的数据、财务信息以及敏感的医疗保健数据,而且范围还在不断扩大。
尽管 Progress Software 连续发布了三个补丁来缓解漏洞,但危害已经造成。自攻击开始以来,每个月都有新的组织报告称他们遭到了攻击,其中包括索尼互动娱乐、BBC、英国航空公司、美国能源部和壳牌公司。越来越多的网络事件与最初的 MOVEit 漏洞有关,因为 MOVEit 漏洞是暴露凭证和“网络钓鱼肥料”详细信息的渠道。
暴露数据量最高:印度医学研究委员会 (ICMR)
2023 年 0001 月,一名使用别名“pwn81.5”的威胁行为者在违规论坛上发布了一条帖子,代理获取 XNUMX 万印度公民的身份和护照详细信息(包括姓名、地址和电话号码)。他们通过提供这些文档的样本来证明自己的能力,其中有数十万条已确认的个人身份信息 (PII) 详细信息 取自 ICMR 的 COVID-19 数据库.
数据泄露:
-
这家总部位于新德里的组织的 5 万人的个人记录和新冠病毒检测详细信息被泄露。
-
90GB 数据售价为 80,000 美元。
这被认为是印度历史上最重大的数据泄露事件,应同时关注提取的数据量及其敏感性。由于缺乏管理如此庞大的战略数据库的数据安全流程和协议,政府机构和部委面临高风险。没有稳健和专注 数据安全计划 一旦到位,我们就可以预见类似的违规行为会利用敏感数据进行犯罪目的。
灵敏度最高:23andMe
2023 年 23 月,基因检测公司 XNUMXandMe 报告检测到未经授权的访问。据称袭击者 使用凭证填充方法 并取消了 23andMe 的 DNA 亲属功能,用户可以选择与朋友和家人分享更多数据。据 23andMe 称,检测到的黑客能够猜测经过验证的用户的登录凭据,从而获得对其 23andMe 帐户的访问权限。获得访问权限后,黑客利用 DNA 亲属功能获取更多有关其他用户的信息,包括姓名、电子邮件地址、出生日期、遗传血统和历史等。
数据泄露:
-
9 万个用户帐户遭到泄露——约占公司用户的一半。
-
超过 5.5 万条客户记录被抓取和泄露。
-
6 美元是被盗账户的黑市平均价格。
如果高度敏感的数据库中没有强大的数据安全卫生措施,威胁行为者可以使用被盗的凭据轻松获得访问权限,这种方法越来越受欢迎。 23andMe 的回应是要求所有客户使用两步验证,暂时禁用部分 DNA 亲属工具功能,并建议用户更改登录信息并启用多重身份验证。
2024 年数据安全规划的关键见解
对于了解攻击的不可避免性及其在防止损害和破坏方面的作用的组织来说,问责制和重建与客户的信任是关键原则。使用数据和保证数据安全之间的平衡将继续是一个挑战,特别是在生成人工智能工具的界限变得模糊的情况下。我们将继续看到挥之不去的影响攻击和“二次爆炸”的趋势,使用撞库等技术的基于身份的破坏的数量和影响不断增加。
有什么可以做什么?
存在多种级别的风险和不同程度的数据安全卫生,导致这些漏洞的发生。快速对公司的敏感数据负责,并通过消除不必要的数据、加密和访问权限来做出反应以降低风险,必须成为每个组织的攻击后安全协议的支柱。
承担“左侧”(攻击前)和“右侧”(攻击后)责任有助于组织快速做出反应并减少影响,前提是他们对其安全控制和安全控制有细粒度的可见性。访问政策。完整发现敏感数据(无论其位于组织内的何处)是一项核心能力,可帮助公司专注于降低风险并控制数据蔓延。
- :是
- :不是
- 000
- 2023
- 2024
- 7
- 8
- a
- 能力
- 对,能力--
- Able
- 关于
- 加速
- ACCESS
- 根据
- 账号管理
- 问责制
- 账户
- 获得
- 演员
- 地址
- 地址
- 采用
- 指导
- 影响
- 后
- 机构
- 向前
- AI
- 航空公司
- 所有类型
- 靠
- 已经
- 时刻
- 量
- an
- 和
- 预料
- 应用领域
- 保健
- 围绕
- 人造的
- 人工智能
- 人工智能(AI)
- AS
- 评估
- 协助
- At
- 攻击
- 攻击
- 关注我们
- 认证
- 意识
- 当前余额
- 英国广播公司
- BE
- 成为
- 很
- 开始
- 背后
- 之间
- 亿
- 十亿美元
- 分娩
- 都
- 违反
- 违规
- 英国的
- by
- 由数字
- CAN
- 挑战
- 更改
- 圆
- 公民
- 云端技术
- 公司
- 公司
- 完成
- 妥协
- CONFIRMED
- 考虑
- 继续
- 继续
- 控制
- 控制
- 核心
- 价格
- 评议会
- 再加
- Covid
- Covid-19
- 凭据
- 资历
- 刑事
- 顾客
- 合作伙伴
- 网络
- 损伤
- data
- 数据泄露
- 数据泄露
- 数据隐私
- 数据安全
- 数据库
- 数据库
- 重要日期
- 专用
- 证明
- 问题类型
- 详情
- 检测
- 检测
- 灾害
- 发现
- 瓦解
- 的DNA
- 文件
- 完成
- 动态
- 容易
- 工作的影响。
- 消除
- 邮箱地址
- enable
- 加密
- 能源
- 娱乐
- 特别
- 甚至
- 所有的
- 利用
- 剥削
- 成倍
- 裸露
- 家庭
- 远
- 专栏
- 特征
- 化肥
- 文件
- 金融
- 财务信息
- 金融部门
- 缺陷
- 专注焦点
- 针对
- 申请
- 论坛
- 朋友
- 止
- Gain增益
- 获得
- 生成的
- 生成式人工智能
- 遗传
- 基因
- 全球
- GOES
- 治理
- 治理
- 政府
- 政府机构
- 各国政府
- 团队
- 成长
- 黑客
- 黑客
- 半
- 伤害
- 有
- 医疗保健
- 提高
- 帮助
- 高
- 高度
- 历史
- 创新中心
- HTTPS
- 数百
- ICON
- 鉴定
- 确定
- 影响力故事
- 影响
- in
- 包含
- 增加
- 印度
- 印度
- 个人
- 行业
- 信息
- 可行的洞见
- 房源搜索
- 互动
- 内部
- 成
- 发行
- IT
- 它的
- JPG
- 保持
- 键
- 缺乏
- 大
- 法律
- 法律法规
- 学习
- Level
- 各级
- 借力
- 谎言
- 线
- 链接
- 登录
- 看
- 机
- 机器学习
- 管理
- 质量
- 可能..
- 医生
- 医学研究
- 方法
- 移民
- 百万
- 百万
- 减轻
- 月
- 更多
- 最先进的
- 多因素身份验证
- 必须
- 姓名
- 命名
- 名称
- 需求
- 全新
- 新技术
- 显着
- 数
- 数字
- 众多
- 获得
- 十月
- of
- 最多线路
- on
- 组织
- 组织
- 原版的
- 其他名称
- 支付
- 护照
- 补丁
- 权限
- 个人
- 亲自
- 钓鱼
- 电话
- 片
- 支柱
- 地方
- 地方
- 规划行程
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 政策
- 声望
- 发布
- 预防
- 车资
- 优先
- 隐私
- 过程
- 进展
- 协议
- 协议
- 证明
- 提供
- 优
- 目的
- 快速
- 很快
- 勒索
- 应对
- 重建
- 记录
- 减少
- 减少
- 法规
- 亲属
- 报告
- 报道
- 研究
- 居住
- 责任
- 上升
- 上升
- 风险
- 健壮
- 角色
- s
- 说
- 盐
- 鳞片
- 范围
- 次
- 扇形
- 安全
- 保安
- 看到
- 敏感
- 灵敏度
- 服务器
- Share
- 壳
- 应该
- 显著
- 类似
- 自
- 单
- So
- 至今
- 软件
- 一些
- 索尼
- 传播
- 独立
- 被盗
- Stop 停止
- 存储
- 善用
- 强烈
- 馅
- 这样
- 采取
- 服用
- 技术
- 技术
- 原则
- test
- 测试
- 比
- 这
- 其
- 他们
- 博曼
- 他们
- 数千
- 威胁
- 威胁者
- 三
- 至
- 了
- 工具
- 工具
- 最佳
- 合计
- 牵引
- 转让
- 趋势
- 触发
- 信任
- 尝试
- 类型
- 擅自
- 相关
- 理解
- 不必要
- us
- 使用
- 用过的
- 用户
- 用户
- 运用
- 各种
- 变化
- 企业验证
- 专利
- 受害者
- 能见度
- 是
- we
- 卷筒纸
- 网络应用
- 井
- 为
- 什么是
- 这
- 扩大
- 将
- 中
- 也完全不需要
- 年
- 和风网