內部威脅導致的十大損失事件
雖然外部黑客對企業環境構成的威脅永遠存在,但有時最大的風險來自內部。波耐蒙研究所的調查數據顯示,內部人威脅導致大型企業平均每年損失1792萬美元。由可信員工和合作伙伴導致的這些事件,往往不僅涉及個人身份信息(PII),還涉及企業產生和處理的一些最敏感的數據——秘密配方、敏感財務信息和任務關鍵基礎設施的訪問權限。下面我們就列舉幾個近期此類風險導致的重大事件案例,按行業劃分。
醫療行業:未披露名稱的醫藥包裝公司
公司:未披露名稱的醫藥包裝公司
事件類型:破壞
事件發生時間:2020年
公開披露時間:2020年
去年,一家醫療器械包裝公司的一名前雇員因計算機輔助破壞行為而被聯邦檢察官判定有罪:該員工的行為導致新冠病毒最初響應高峰期間個人防護設備(PPE)發貨延誤。
美國佐治亞州北區檢察官辦公室稱,在被這家未披露名稱的公司解雇后,Christopher Dobbins利用他在職期間以管理員權限創建的虛假賬戶訪問了公司的裝運系統,中斷并延遲了公司的PPE發貨流程。然后他創建了第二個假賬戶,并使用該訪問權限編輯或刪除了118,000多條公司記錄,造成進一步延誤和超過20萬美元的損失。
制造業:通用電氣(GE)
公司:通用電氣公司
事件類型:知識產權盜竊,詐騙
事件發生時間:2011年–2012年
公開披露時間:2019年
經過長達數年的調查和冗長的法庭訴訟程序,美國聯邦調查局(FBI)去年揭露了兩位前通用電氣員工Miguel Sernas和Jean Patrice Delia公然竊取知識產權和商業機密的行為。Delia在2011年實施了最初的盜竊,當時他在通用電氣擔任性能工程師,支持客戶操作該公司制造的高度復雜的渦輪機。
Delia不僅下載了如何以其現有賬戶權限運行這些渦輪機的商業機密文件,還說服IT部門的一名員工授權他訪問關于該性能咨詢的成本模型、提案及合同的文件。利用這些信息,他和Sernas成立了一家競爭公司,以低價競爭策略損害通用電氣的利益,并在FBI暗中調查此案期間運營多年。FBI的調查涉及傳喚出示電子郵件和云存儲賬戶,并最終趁Sernas在美國旅行逗留途中搜查了一臺筆記本。
制造業:豐田
公司:豐田
事件類型:商務電郵入侵,3700萬美元詐騙
事件發生時間:2011年–2012年
公開披露時間:2019年
一名BEC騙子成功誘使豐田某歐洲子公司財務團隊成員將3700萬美元劃轉至外國賬戶。正如BEC攻擊者一貫所為,這名騙子偽裝成該公司業務合作伙伴,用以假亂真的騙術拿下了這筆巨款。
BEC騙局通常針對此類粗心大意的內部人員長期作戰,攻擊者以此悄悄獲得目標公司的網絡訪問權限,進行深入偵察,并觀察內部員工或員工與合作伙伴之間的通信模式,從而在詐騙時機成熟時完美模仿目標公司的可信實體。
電信行業:AT&T
公司:AT&T
事件類型:賄賂助長的惡意軟件安裝,2億美元欺詐
事件發生時間:2012年–2017年
公開披露時間:2019年
因握有該公司系統訪問權的員工被賄賂解鎖價格昂貴的iPhone供在AT&T網絡之外使用,電信供應商AT&T遭受長期犯罪活動侵害。攻擊者的主要策略是買通呼叫中心員工,讓他們在AT&T系統上安裝惡意軟件,從而獲得立足點,并最終入侵該公司基礎設施,實現按需自動解鎖AT&T電話。該事件使AT&T損失了200萬部未鎖定手機的訂閱費用,共2億美元。2018年,巴基斯坦居民Muhammad Fahd因此項犯罪活動而被捕,并于本月早些時候被美國地方法院判處12年監禁。
金融行業:Capital One
公司:Capital One
事件類型:1億信用卡申請及賬戶數據泄露
事件發生時間:2019年
公開披露時間:2019年
據稱,AWS一名前軟件工程師能夠濫用她在職期間獲得的有關客戶云部署缺陷的行業知識,導致AWS客戶Capital One發生重大數據泄露。今年夏天,美國司法部針對這起2019年的事件提起七項指控,涉及計算機欺詐與濫用以及訪問設備欺詐,聲稱Thompson利用Capital One錯誤配置的防火墻提取特權賬戶憑證,并竊取和傳播來自1億信用卡申請人和賬戶持有人的信息。
金融行業:未披露名稱的紐約信用合作社
公司:未披露名稱的紐約信用合作社
事件類型:通過保留賬戶權限進行破壞
事件發生時間:2021年
公開披露時間:2021年
這是一起典型的權限撤銷失敗案例,紐約一家信用合作社的前雇員在被解雇幾天后仍然能夠登錄公司系統。該公司的IT支持公司沒有按照信用合作社的要求禁用這名員工的賬戶,于是她得以保留賬戶訪問權。美國檢察官辦公室稱,Juliana Barile在40分鐘的暴行中刪除了21.3 GB的公司數據,其中包括2萬個文件和3500個目錄。被刪除的文件包括按揭申請及反勒索軟件。此外,她還讀取了包括董事會會議記錄在內的敏感文檔。
科技行業:Vertafore
公司:Vertafore
事件類型:暴露2770萬條PII記錄
事件發生時間:2020年
公開披露時間:2020年
因公司員工無意中將數據文件存儲在不安全的外部存儲服務上,保險軟件開發商Vertafore致使2770萬得克薩斯州駕駛員敏感信息泄露。這些文件包含數百萬個駕駛執照的信息,用于該公司為其軟件創建保險評級功能。這是云時代人為錯誤風險的一個典型例子,而像這家公司一樣粗心大意的機構仍在蒙受存儲失誤的暴露風險。雖然財務信息和社會安全號并未牽涉其中,但Vertafore仍必須承擔數據泄露響應的所有費用。由于這起事件,該公司可能面臨集體訴訟。
科技行業:亞馬遜
公司:亞馬遜
事件類型:利用機密信息進行內幕交易
事件發生時間:2016年–2018年
公開披露時間:2020年
據稱,亞馬遜稅務部門的一名高級經理利用財務信息訪問權限為其家人準備季度報表,幫助她的家人通過內幕交易獲利。根據美國檢察官辦公室的說法,Laksha Bohra向她的丈夫Viky提供了公司收入和收益信息,供其連續11次在亞馬遜發布收益公告之前使用這些信息進行非法股票和期權交易。在此過程中,這家人獲利140萬美元。不過,今年夏天敲定的認罪協議中,Viky被判入獄26個月并處罰款260多萬美元。
零售業:Garrett Popcorn Shop
公司:Garrett Popcorn Shop
事件類型:竊取商業秘密
事件發生時間:2019年
公開披露時間:2019年
根據2019年向美國伊利諾伊州北區地方法院提起的訴訟,芝加哥零售爆米花標桿企業Garrett Popcorn Shops指控前研發總監Aisha Putnam通過將公司數據復制到U盤并向自己個人郵箱發送郵件的方式,從該公司竊取了5000多份文件,包括成分、食譜、配方和制作方法等。
去年,Putnam反訴該公司,聲稱她被解雇和此前的訴訟是為了報復她向主管提出健康和安全投訴。無論真相如何,該事件都表明了訪問和處理敏感知識產權所固有的風險。
政府:達拉斯市政府
機構:達拉斯市政府
事件類型:意外刪除敏感數據
事件發生時間:2018年–2021年
公開披露時間:2021年
有時,疏忽的內部人員對技術基礎設施造成的破壞堪比意圖報復的惡意黑客。達拉斯市政府一名前IT員工就犯了這方面的錯誤。《達拉斯晨報》報道,通過該市發言人所謂的“錯誤模式”,這名員工刪除了大量重要的警方和市政記錄,而在內部審查暴露出這一事實后,這名員工也被解雇了。自2018年以來,該工作人員至少在三種不同情況下設法刪除了超過22 TB的信息,其中包括13 TB的警方文件(內含照片、視頻和案件記錄)。達拉斯市仍在調查,但似乎這些事件可能涉及在傳輸重大文件傳輸時未能遵守流程。
