摩根大通确认泄露8300万用户信息,黑客只要数据不要钱

REU_JPMORGAN-CYBERSECURITY

9月初,安全牛曾报道摩根大通发现数据泄露事件,FBI和NSA都介入调查。当时据Bloomberg报道,数据泄露发生在8月初,黑客是利用银行网站的一个0day漏洞发起的攻击,FBI根据攻击的复杂性认为这是一个国家级黑客组织发起的攻击(编者按:自然又是俄罗斯黑客)。

一个月后的国庆节期间,安全牛曾无意中看到摩根大通在Twitter账号上表示将不会通知此次数据泄露事件中受影响的用户,这是一个非同寻常的信号!

果然,在上周四摩根大通向美国证券交易委员会提交的调查文件中,摩根大通确认了有大约7600万家庭用户和700万小企业账户泄露,黑客获取的信息包括用户联系信息(用户姓名、地址、电话号码和电子邮件地址)和摩根大通用户追踪代码,但是用户账户号码、密码、用户ID、生日和社会保险码并未泄露。

CISO是个“临时工”

家得宝5600万信用卡泄露事件问责:管理层作死一文中,我们注意到HomeDepot雇佣了一位有前科的罪犯担任安全总管,而摩根大通的数据泄露也与其首席信息安全官(CISO)是个“临时工”不无关系。

6月份黑客入侵摩根大通的网络系统时,正值摩根大通新任CISO——Greg Rattray刚刚走马上任,甚至还不太熟悉自己的停车位;来到摩根大通前Rattray曾任美国空军信息战指挥官,而在Rattray到任之前,摩根大通的前任首席安全官Anthony Belfiore今年年初就已辞职加盟其他几位摩根大通高管创办的企业,期间由Anish Bhimani兼任信息安全主管职位。

数据比钱值钱

据悉黑客找到摩根大通银行计算机软件的漏洞并加以利用,攻陷了超过90台服务器,但调查显示黑客对个人信息的兴趣大过金钱(数据比钱值钱?)。虽然银行账户密码等关键信息并未泄露,但是与此前的大规模用户数据泄露事件的影响类似,摩根大通的用户面临的鱼叉式钓鱼和社交工程攻击的威胁将大增,因为黑客掌握了海量用户极为详细的隐私数据拼图。

RedSeal网络的首席技术官Mik Lioyd博士认为,摩根大通的数据泄露事件中,黑客忙于窃取用户信息,甚至顾不上偷钱,这表明当今的网络犯罪集团极为看中用户数据的价值(用户数据的交易市场和深加工地下产业链已经成熟),这就好比军队的指挥官高度重视战地情报,胜过对武器装备的关注。

亡羊难补牢

参与调查的有关部门官员表示,摩根大通需要花费至少数月的时间才能清查其数以千计的软件应用并重新与技术供应商商议软件授权合同。纽约时报指出,这给黑客留出了一个很长的时间窗口,可以进一步攻击摩根大通内部系统中未被发现(未打补丁)的漏洞。

摩根大通的数据泄露事件还向全球企业发出了迄今最严重的安全警告:即使是最顶尖的安全响应技术和流程都不足以对付自动化的协同攻击。企业需要对整个端到端网络的访问路径进行自动化分析,使用安全工具及时发现错误配置以及任何由于网络复杂性导致的异常。(参考阅读:企业渗透测试自检的四项基本原则

摩根大通方面表示将持续关注检测与此次数据泄露事件有关的金融欺诈事件,而客户如果能够及时发现并通报账户的非授权交易,摩根大通将承担用户损失。

Target和HomeDepot的千万级大规模数据泄露事件一样,黑客对摩根大通进行了长时间攻击(据bloomberg报道,攻击始于6月,8月中旬才发现),而摩根大通毫无察觉,直到安全界内部消息人士捅到媒体。(参考阅读:家得宝5600万信用卡泄露事件问责:管理层作死

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

最牛的信息安全新媒体 (www.aqniu.com)