現場活動設備製造商的數據洩露揭示了員工的個人和財務數據

上週，TAIT Towers Manufacturing LLC是一家現場活動和音樂會設備製造商，曾與Lady Gaga和Taylor Swift等公司合作， 發布了其中一份聲明，其中必須解釋如何非常重視數據安全性。你們中許多人可能知道，公司只有在遭受數據洩露後才這樣做。

攻擊實際上發生在大約兩個月前的2月，但該公司直到4月6日才知道。攻擊者在得知該漏洞後立即開始進行調查，該調查仍在進行中。儘管如此，TAIT還是很樂意與我們（以及直接受到襲擊影響的人們）分享發生了什麼。

黑客入侵了TAIT服務器和員工的電子郵件帳戶

2月16日，未經授權的一方破壞了TAIT的一台服務器和該公司某些員工的電子郵件帳戶。一旦進入內部，黑客就可以訪問TAIT人員的許多個人詳細信息，包括姓名，實際和電子郵件地址，出生日期，社會保險號和財務帳號。 TAIT結束了該漏洞，聘請了一家網絡安全公司來協助調查，並開始著手實施措施以確保將來不會再發生類似事件。

該公司堅持認為，沒有證據表明有任何數據被濫用，但是為了安全起見，該公司準備免費向受影響的員工提供身份盜用保護服務。該聲明提供了很多細節，說明人們需要做什麼才能使TAIT接受該報價。

缺少太多拼圖

正如我們已經提到的，調查仍在進行中，這表明TAIT尚未完全掌握。話雖如此，上週的聲明卻遺漏了太多細節，以致提出的問題數量超過了已回答的問題數量。

例如，我們不知道有多少電子郵件帳戶遭到攻擊。同樣，也沒有有關受影響員工人數的信息，我們甚至不知道此次攻擊是否針對某個特定地區的人員，還是是否影響了TAIT的全球辦事處。黑客用來破壞TAIT的IT系統的方法也是未知的，這意味著很難說出對手有多精明以及後果有多糟。這不是唯一的問題。

關於“我們非常重視安全性”聲明

經常因批評公司在數據洩露通知中添加樣板句子而被批評，這在說服人們被攻擊的組織“非常重視安全性”方面做得不好。該語句並沒有真正給通知帶來任何價值，在某些情況下，它似乎完全是空洞的。

例如，負責TAIT安全的負責人提出了相同的要求，但他們未能確保默認情況下HTTPS加載公司網站。他們還誇讚了他們引入的多因素身份驗證系統。多因素身份驗證已經存在多年了，它已被證明是確保更好的數據保護的最簡單方法。考慮到TAIT處理的數據的敏感性和數量，該公司可能應該考慮在網絡罪犯發動攻擊之前而不是之後進行實施。

總而言之，TAIT的違規通知證明，認真對待安全性要比實際操作容易得多。