現場活動設備製造商的數據洩露揭示了員工的個人和財務數據
上週,TAIT Towers Manufacturing LLC是一家現場活動和音樂會設備製造商,曾與Lady Gaga和Taylor Swift等公司合作, 發布了其中一份聲明,其中必須解釋如何非常重視數據安全性。你們中許多人可能知道,公司只有在遭受數據洩露後才這樣做。
攻擊實際上發生在大約兩個月前的2月,但該公司直到4月6日才知道。攻擊者在得知該漏洞後立即開始進行調查,該調查仍在進行中。儘管如此,TAIT還是很樂意與我們(以及直接受到襲擊影響的人們)分享發生了什麼。
Table of Contents
黑客入侵了TAIT服務器和員工的電子郵件帳戶
2月16日,未經授權的一方破壞了TAIT的一台服務器和該公司某些員工的電子郵件帳戶。一旦進入內部,黑客就可以訪問TAIT人員的許多個人詳細信息,包括姓名,實際和電子郵件地址,出生日期,社會保險號和財務帳號。 TAIT結束了該漏洞,聘請了一家網絡安全公司來協助調查,並開始著手實施措施以確保將來不會再發生類似事件。
該公司堅持認為,沒有證據表明有任何數據被濫用,但是為了安全起見,該公司準備免費向受影響的員工提供身份盜用保護服務。該聲明提供了很多細節,說明人們需要做什麼才能使TAIT接受該報價。
缺少太多拼圖
正如我們已經提到的,調查仍在進行中,這表明TAIT尚未完全掌握。話雖如此,上週的聲明卻遺漏了太多細節,以致提出的問題數量超過了已回答的問題數量。
例如,我們不知道有多少電子郵件帳戶遭到攻擊。同樣,也沒有有關受影響員工人數的信息,我們甚至不知道此次攻擊是否針對某個特定地區的人員,還是是否影響了TAIT的全球辦事處。黑客用來破壞TAIT的IT系統的方法也是未知的,這意味著很難說出對手有多精明以及後果有多糟。這不是唯一的問題。
關於“我們非常重視安全性”聲明
經常因批評公司在數據洩露通知中添加樣板句子而被批評,這在說服人們被攻擊的組織“非常重視安全性”方面做得不好。該語句並沒有真正給通知帶來任何價值,在某些情況下,它似乎完全是空洞的。
例如,負責TAIT安全的負責人提出了相同的要求,但他們未能確保默認情況下HTTPS加載公司網站。他們還誇讚了他們引入的多因素身份驗證系統。多因素身份驗證已經存在多年了,它已被證明是確保更好的數據保護的最簡單方法。考慮到TAIT處理的數據的敏感性和數量,該公司可能應該考慮在網絡罪犯發動攻擊之前而不是之後進行實施。
總而言之,TAIT的違規通知證明,認真對待安全性要比實際操作容易得多。