網絡犯罪分子根據兩個條件選擇目標 - 最大影響和最大利潤。金融機構完美地滿足了這些條件，因為它們存儲了非常有價值的數據，并且它們的數字化轉型努力為網絡攻擊者訪問這些數據創造了更多機會。這就是為什么金融部門成為網絡犯罪分子不成比例的目標，僅次于醫療保健。

除了實施特定于金融服務的數據保護解決方案外，減少數據泄露的最佳方法之一是從他人的錯誤中學習。為了支持這項工作，我們列出了金融行業中 10 大數據泄露事件，按影響程度排名。此列表會定期更新，以包括美國、英國、澳大利亞、中國等主要國家/地區的 2022 年重要事件。

金融領域的 10 大數據泄露事件

每條記錄都包含導致數據泄露的關鍵錯誤的摘要，以幫助您避免重蹈覆轍。

第一次美國金融公司數據泄露

日期：?2019 年 5 月

影響：?8.85 億信用卡申請

數據泄露是如何發生的？

超過 8.85 億條與房地產交易相關的財務和個人記錄因常見的網站設計錯誤而暴露。

此錯誤在FIrst American Financial Corp網站上被稱為“業務邏輯缺陷” 。這是指指向敏感信息的網頁鏈接不受用于驗證用戶訪問權限的身份驗證策略的保護。

此次曝光并非由黑客發起，促成敏感數據訪問的漏洞是由內部錯誤引起的——這一事件被稱為數據泄露。

盡管數據泄露和數據泄露是兩個不同的事件，但它們都有相同的潛在結果——敏感的客戶信息落入網絡犯罪分子手中。

哪些數據被泄露？

以下數據在 First American Corp 數據泄露事件中遭到破壞：

• 名稱
• 電子郵件地址
• 成交代理和買家的電話號碼

有了這些信息，就有可能進行廣泛的網絡犯罪，包括：

• 身份盜竊
• 勒索軟件攻擊
• 惡意軟件注入

從這次違規中吸取教訓

可以從 First American Financial Corp 違規事件中吸取以下教訓：

• 實施代碼審查政策——在發布任何代碼之前，應該由質量控制官審查。
• 監控數據泄漏 -數據泄漏檢測解決方案將在網絡犯罪分子發現之前檢測并關閉所有內部或第三方數據泄漏。

Equifax 數據泄露

日期：?2017 年 9 月

影響：?1.47 億客戶

數據泄露是如何發生的？

Equifax數據泄露事件簡直就是一場災難。一系列可怕的網絡安全實踐使網絡犯罪分子幾乎太容易造成安全漏洞。

有四個主要缺陷促成了安全漏洞。

1. 該公司未能為其開源開發框架 Apache Struts修補一個眾所周知的漏洞 (?CVE-2017-5638 )。在漏洞發生時，CVE-2017-5638 的補丁已經發布了 6 個月。
2. Equifax未能對其生態系統進行細分，因此攻擊者能夠在通過門戶網站漏洞獲得訪問權限后無縫訪問多個服務器。
3. 黑客發現了以純文本形式排序的用戶名和密碼，這些用戶名和密碼用于提升權限以實現更深入的訪問。
4. 由于 Equifax 未能為其內部工具之一更新加密證書，黑客能夠在數月內不被發現地竊取數據。

最重要的是，在 Equifax 最終公布違規行為之前已經過去了一個多月。在此期間，高管出售公司股票，引發內幕交易指控。

哪些數據被泄露？

超過 40% 的美國人口可能受到 Equifax 數據泄露的影響。

以下數據被泄露：

• 名稱
• 出生日期
• 社會安全號碼
• 駕駛執照號碼
• 信用卡號碼

由于個人身份信息 (PII)和被泄露的財務信息的高度敏感性，Equifax 被罰款 7 億美元。

從這次違規中吸取教訓

金融服務公司和小企業可以從這次違規中吸取許多重要的教訓。

• 保持所有軟件更新——如果 Equifax 修補了其開發漏洞，則本可以完全避免這種網絡攻擊。信息安全團隊應定期參考CVE 數據庫，以隨時了解最新的軟件暴露情況。使用攻擊面監控解決方案可以自動發現現有的甚至潛在的軟件漏洞。
• 細分您的生態系統 - 細分您的生態系統以混淆對所有敏感資源的訪問。這項工作從創建數字足跡開始。一旦確定了通往敏感資源的所有路徑，零信任架構將進一步減少惡意訪問。
• 監控第三方 -供應商風險管理平臺將通過未修補的漏洞揭示任何面臨網絡攻擊風險的第三方服務。
• 實施及時的數據泄露通知政策——及時的數據泄露通知是金融法規的一項嚴格要求。不遵守可能會導致高額罰款甚至監禁。

Heartland 支付系統數據泄露

日期：?2008 年 1 月

影響：?1.3 億個借記卡和信用卡號

數據泄露是如何發生的？

2008 年 1 月，俄羅斯黑客通過Heartland網站上的網絡表單注入惡意軟件，導致 1.3 億個信用卡和借記卡號碼組成。

網絡攻擊者使用 SQL 注入攻擊來訪問公司的公司網絡。他們花了將近 6 個月的時間試圖訪問處理信用卡數據的資源。

在成功避開反病毒防御后，俄羅斯威脅行動者安裝了嗅探器軟件來攔截傳輸中的信用卡數據。

阿爾伯特岡薩雷斯和兩名身份不明的伙伴一起被指控犯有襲擊罪。岡薩雷斯被判處 20 年監禁。

為了糾正其下降的網絡彈性聲譽，Heartland 對其網絡安全進行了重大升級，并大膽向其所有客戶發出了以下數據泄露令：

“Heartland Payment Systems 對其支付處理技術的安全性非常有信心，以至于在 1 月 12 日，它宣布為其用戶提供新的違約保證。保修計劃將補償商家因涉及 Heartland Secure 信用卡支付處理系統的數據泄露而產生的費用。”插入報價？

具有諷刺意味的是，在該公告發布后，網絡犯罪分子闖入了公司的工資辦公室并偷走了 11 臺計算機，導致個人身份信息泄露，影響了 2,200 人。

哪些數據被泄露？

以下數據在 Heartland 數據泄露事件中遭到破壞：

• 信用卡號碼
• 卡有效期
• 持卡人姓名

從這次違規中吸取教訓

可以從 Heartland Payment Systems 漏洞中汲取以下教訓。

• 合規性還不夠 - Heartland 在事件發生時符合 PCI DSS，但不足以防止數據泄露。合規性不應與安全性相混淆。除了監管框架外，組織還必須實施額外的網絡安全系統，專門解決促進數據泄露的漏洞。
• 實施內部安全協議——如果威脅行為者能夠帶著裝有敏感資源的設備離開，那么外層安全防御將毫無用處。確保還保護所有實物庫存。
• 保護所有第三方系統 - 與 Heartland 合作處理其付款的所有企業都受到此違規行為的影響。該事件突出了供應商風險管理的重要性，以防止易受攻擊的第三方變成攻擊媒介。

第一資本數據泄露

日期：?2019 年 3 月

影響：?1億張信用卡申請

數據泄露是如何發生的？

前亞馬遜網絡服務軟件工程師 Paige A. Thompson 非法訪問了存儲 Capital One 數據的 AWS 服務器之一，并竊取了可追溯到 2005 年的 1 億張信用卡申請。

FBI 很快就確定了襲擊者的身份，因為湯普森沒有試圖混淆她與事件的聯系。

當她在GitHub 上發布被盜數據時使用了她的全名，甚至在社交媒體上公開吹噓該漏洞。

一位 GitHub 用戶向Captial One發送了一封電子郵件，通知他們數據轉儲被盜。

哪些數據被泄露？

Captial One 數據泄露影響了美國約 1 億人和加拿大超過 600 萬人。

以下類型的敏感數據被盜：

• 社會安全號碼（約 140,000 條記錄）
• 加拿大社會保險號碼（約 100 萬條記錄）
• 銀行帳號 (80,000)

受損數據的規模將此事件歸類為金融服務行業中最具破壞性的數據泄露事件之一。

從這次違規中吸取教訓

可以從第一資本數據泄露事件中吸取以下教訓：

• 保護所有云技術 - 如果 Capital One 使用攻擊面監控解決方案確保其向云存儲過渡，則可能不會發生這種違規行為。這將突出任何增加數據泄露風險的數據安全漏洞。
• 保護所有防火墻配置 - 錯誤配置的 Web 應用程序防火墻使這種破壞成為可能。這種不安全的配置可以通過攻擊面監控軟件快速發現和解決。

摩根大通數據泄露

日期：?2014 年 10 月

影響：?8300 萬個賬戶

數據泄露是如何發生的？

據稱位于巴西的網絡攻擊者成功侵入了摩根大通的外圍，獲得了最高級別的管理權限，并獲得了對其 90 多臺服務器的 root 訪問權限。

令人驚訝的是，沒有利用可用的帳戶權限來竊取財務信息，而是僅竊取了客戶聯系信息。這個非常不合時宜的結果表明，攻擊的目的只是竊取特定的客戶詳細信息——可能用于未來的有針對性的網絡攻擊。

哪些數據被泄露？

以下數據在摩根大通數據泄露事件中遭到破壞：

• 摩根大通員工的內部登錄詳細信息
• 客戶名稱
• 電子郵件地址
• 電話號碼

從這次違規中吸取教訓

調查顯示，這種破壞是由一個非常基本的安全漏洞造成的。
當摩根大通的安全團隊升級其網絡服務器之一時，他們未能實施多重身份驗證 (MFA)。

這一事件表明，即使是最復雜的金融機構也容易受到網絡安全衛生基本失誤的影響。為了檢測通過手動過程而被忽視的暴露，應始終通過攻擊面監控解決方案來支持人工。

益博睿數據泄露

日期：?2020 年 8 月

影響：?2400 萬客戶

數據泄露是如何發生的？

自稱是 Experian 一位客戶的代表的威脅行為者說服 Experian 南非辦事處的一名工作人員放棄敏感的內部數據。

Experian聲稱提供的信息不是高度敏感的，而是在正常業務過程中經常交換的數據。

據參與調查的當局之一南非銀行業風險信息中心 (SABRIC) 稱，2400 萬客戶和近 80 萬家企業受到了此次違規行為的影響。

哪些數據被泄露？

以下客戶信息已披露給威脅參與者：

• 手機號碼
• 家庭電話號碼
• 工號
• 電子郵件地址
• 住宅地址
• 工作地點
• 工作地址
• 職稱
• 工作開始日期

根據 Experian 的說法，攻擊者打算使用被盜數據為保險和信用相關服務創造營銷線索。

從這次違規中吸取教訓

在工作場所實施網絡威脅培訓

目標 Experian 員工幾乎沒有理由質疑威脅者電話的真實性。他們提供了 Experian 要求其客戶提供的所有相關識別信息——姓名、姓氏和 RSA ID 號。

這表明現代社會工程活動的復雜性以及應對這種網絡威脅的毫無準備的員工。

人永遠是網絡安全計劃中最薄弱的環節。為了保護安全控制投資，金融服務必須在工作場所實施網絡威脅意識培訓。

該培訓應涵蓋如何識別 Linkedin 上的欺詐性查詢，因為這是社會工程活動日益增長的攻擊媒介。

實施數據泄漏檢測解決方案

2021 年 10 月 24 日，Experian發現犯罪論壇上有一個暗網帖子，其中包含此違規行為的一些數據。在執法部門的支持下，該活動被攔截并刪除了數據。

盡管此類數據泄漏仍未被發現，但數據泄露受害者及其受影響的客戶面臨持續數據泄露的風險增加。

通過實施數據泄漏檢測解決方案，可以立即檢測并關閉此類事件，而無需浪費時間等待外部安全援助。

阻止數據泄露

日期：?2022 年 4 月

影響：?820 萬員工

數據泄露是如何發生的？

一名 Square（現稱為Block）員工未經許可下載了詳細說明客戶信息的報告。據估計，報告中包括了大約 820 萬當前和以前的客戶。

哪些數據被泄露？

該報告包括以下信息。

• 全名
• 經紀帳號
• 經紀投資組合價值
• 經紀投資組合持股
• 一個交易日的股票交易活動

Block 表示，密碼、社會保險號和支付卡信息等敏感信息并未在此次泄露中受到損害。

從這次違規中吸取教訓

在管理日常任務中包含的流程時，內部威脅導致了此漏洞。由于不需要升級權限，因此使用傳統的內部威脅監控策略很難檢測到此事件。

在員工允許的流程范圍內檢測潛在的惡意行為需要一種具有高度針對性和定制化的方法。

Desjardins 集團數據泄露

日期：?2019 年 6 月

影響：?420 萬客戶

數據泄露是如何發生的？

加拿大最大的信用合作社Desjardins的一名心懷不滿的員工未經授權訪問了 420 萬會員的數據，意圖對公司造成傷害。

調查縮小了對單一來源的暴露范圍，揭示了負責的員工。

事件發生 6 個月后，據透露，該違規行為還影響了 Desjardin 會員群之外的 1.8 名信用卡持有人。

這一更新可能導致估計損失成本大幅增加，從 7000 萬美元增加到 1.08 億美元。

造成損害成本上升的另一個原因是 Equifax 將 5 年的免費信用監控納入受害者的補償方案中。

Equifax 也遭受了數據泄露，但影響要大得多（見上文）。

哪些數據被泄露？

惡意員工訪問了以下成員數據：

• 社會安全號碼
• 名稱
• 電子郵件地址
• 交易記錄

Desjardins 保證不會在違規行為中訪問任何信用卡、借記卡或支付卡號碼、密碼或 PIN 碼。

從這次違規中吸取教訓

此漏洞的獨特之處在于它不是網絡攻擊的結果，而是內部威脅。

這類網絡風險最難攔截，因為他們的惡意行為很容易被誤認為是合法的日常任務。

內部安全團隊也很難對內部威脅保持警惕，因為他們的風險管理任務已經超出了他們的帶寬。

從這些見解以及導致海灘的關鍵事件中，可以吸取以下教訓：

• 保護所有特權訪問 - Desjardins 惡意內部人員不應該對大型個人數據資源進行如此自由和不受監控的訪問。通過保護所有特權訪問管理，可以防止此類未經授權的訪問。
• 簡化供應商風險管理 - 有效的供應商風險管理實踐，例如供應商分層，保護安全團隊免受超載，為內部威脅監控創造足夠的帶寬。
• 尋找員工不滿的跡象——定期的內部服務器或一對一可以在員工不滿升級為內部威脅之前突出他們的不滿。

西太平洋銀行數據泄露

日期：?2013 年 6 月

影響：?98,000 名客戶

數據泄露是如何發生的？

此次數據泄露是通過 PayID 發生的——PayID 是 Westpac 的第三方提供商，用于通過手機號碼或電子郵件地址促進銀行之間的轉賬。

PayID 就像電話簿一樣運作。通過 PayID 查找功能，任何人都可以通過搜索電話號碼或電子郵件地址來確認帳戶持有人的詳細信息。

此漏洞使黑客有可能執行枚舉攻擊——當使用蠻力技術確認或猜測數據庫中的有效記錄時。

攻擊結束后，黑客發現了 98,000 名西太平洋銀行客戶的銀行詳細信息。

哪些數據被泄露？

枚舉攻擊暴露了以下類型的客戶數據：

• 全名
• 電子郵件地址
• 電話號碼
• 帳戶信息

有了這些細節，網絡犯罪分子就可以通過廣泛的網絡釣魚攻擊不斷重新定位受害者。

從這次違規中吸取教訓

僅僅因為政府贊助了一個平臺，并不意味著它可以抵抗網絡。

盡管存在潛在安全風險的警告，澳大利亞政府還是批準了其新支付平臺 (NPP)，向公眾保證在開發 PayID 時“廣泛考慮”了欺詐和安全問題。

具有諷刺意味的是，在此聲明之后發生的數據泄露事件表明，政府解決方案容易受到與所有第三方軟件相同的網絡威脅，包括暴力攻擊等過時的技術。

為防止此類事件發生，應實施解決暴力攻擊的安全控制。

下面列出了一些示例。

• 限制登錄嘗試 - 限制來自單個 IP 地址的錯誤登錄嘗試。
• 使用設備 cookie -設備 cookie將阻止來自特定瀏覽器的惡意登錄嘗試。
• 阻止可疑登錄 - 在一定次數的錯誤嘗試后阻止登錄功能。
• 不要透露正確的憑據 - 防止登錄字段確認哪些特定詳細信息是正確的。
• 使用驗證碼 - 選擇每次錯誤登錄嘗試都會變得越來越難和更耗時的驗證碼。

Radius Financial Group 數據泄露

日期：?2022 年 2 月

影響：?16,000 名客戶

數據泄露是如何發生的？

當未經授權的一方訪問其服務器并竊取與 16,000 名客戶有關的私人數據時，抵押貸款機構 Radius Financial Group成為數據泄露的受害者。

哪些數據被泄露？

受損數據可能包含以下信息：

• 姓名/個人信息
• 財務帳號
• 信用卡/借記卡號碼
• 帳戶安全碼
• 訪問代碼
• 密碼
• 針號

從這次違規中吸取教訓

這一違規行為凸顯了根據PCI DSS 法規制定的安全標準對所有信用卡數據實施加密的重要性。