现场活动设备制造商的数据泄露揭示了员工的个人和财务数据

上周，TAIT Towers Manufacturing LLC是一家现场活动和音乐会设备制造商，曾与Lady Gaga和Taylor Swift等公司合作， 发布了其中一份声明，其中必须解释如何非常重视数据安全性。你们中许多人可能知道，公司只有在遭受数据泄露后才这样做。

攻击实际上发生在大约两个月前的2月，但该公司直到4月6日才知道。攻击者在得知该漏洞后立即开始进行调查，该调查仍在进行中。尽管如此，TAIT还是很乐意与我们（以及直接受到袭击影响的人们）分享发生了什么事。

黑客入侵了TAIT服务器和员工的电子邮件帐户

2月16日，未经授权的一方破坏了TAIT的一台服务器和该公司某些员工的电子邮件帐户。一旦进入内部，黑客就可以访问TAIT人员的许多个人详细信息，包括姓名，实际和电子邮件地址，出生日期，社会保险号和财务帐号。 TAIT结束了该漏洞，聘请了一家网络安全公司来协助调查，并开始着手实施措施以确保将来不会再发生类似事件。

该公司坚持认为，没有证据表明有任何数据被滥用，但是为了安全起见，该公司准备免费向受影响的员工提供身份盗用保护服务。该声明提供了很多细节，说明人们需要做什么才能使TAIT接受该报价。

缺少太多拼图

正如我们已经提到的，调查仍在进行中，这表明TAIT尚未完全掌握。话虽如此，上周的声明却遗漏了太多细节，以致提出的问题数量超过了已回答的问题数量。

例如，我们不知道有多少电子邮件帐户遭到攻击。同样，也没有有关受影响员工人数的信息，我们甚至不知道此次攻击是否针对某个特定地区的人员，还是是否影响了TAIT的全球办事处。黑客用来破坏TAIT的IT系统的方法也是未知的，这意味着很难说出对手有多成熟，后果如何严重。这不是唯一的问题。

关于“我们非常重视安全性”声明

公司经常因在数据泄露通知中添加样板句子而受到批评，这在说服人们被攻击的组织“非常重视安全性”方面做得不好。该语句并没有真正给通知带来任何价值，在某些情况下，它似乎完全是空洞的。

例如，负责TAIT安全的负责人提出了相同的要求，但他们未能确保默认情况下HTTPS加载公司网站。他们还夸赞了他们引入的多因素身份验证系统。多因素身份验证已经存在多年了，它已被证明是确保更好的数据保护的最简单方法。考虑到TAIT处理的数据的敏感性和数量，该公司可能应该考虑在网络罪犯发动攻击之前而不是之后进行实施。

总而言之，TAIT的违规通知证明，认真对待安全性要比实际操作容易得多。