阿什利麦迪逊攻击协助凭证盗窃
糟糕的管理员身份和访问管理控制是去年Avid Life Media Inc.(现称Ruby Corp.)巨额数据泄露的核心,Ashley Madison及相关全球交友网站的加拿大母公司Avid Life Media Inc.因此发布了3600万用户账户的个人和信息。
加拿大和澳大利亚的隐私专员在星期二发布的一份关于这一违约事件的联合报告中称,缺乏控制远程行政访问的多因素认证是一个“重大关切”。
这是一个古老但已知的问题:根据今年的年度Verizon数据违约调查报告,它去年在世界各地调查的3141起确认数据违规事件中,63%涉及利用弱密码、默认密码或被盗密码。
但该报告的结论是,这家自称拥有“100%谨慎服务”的公司没有足够的安全保障和政策,
《联邦个人信息保护和电子文件法》(PIPEDA)规定的所有加拿大组织都可以从这起国际事件中吸取教训。
微软宣布了另一个吸引CISO的诱惑,他们一直在阻碍在他们的环境中采用Windows10。
受两次数据泄露事件的影响,白宫上月下令实施所谓的“30天网络安全冲刺”,加强IT防护......
这些经验教训包括:
-组织应仔细考虑客户或合作伙伴在其监护下违反个人信息的所有潜在危害-而不仅仅是财务危害-以便他们能够适当评估和减轻风险。在ALM的业务中,个人数据的丢失可能——也确实——影响到人们的个人声誉;
-组织可能有防火墙和扫描仪,但这些保障措施应得到充分的信息安全治理框架的支持,以确保做法“适合风险”,并“一致理解和有效实施”。在ALM,调查得出结论,缺乏这样一个框架是一个“不可接受的缺点”,“未能防止多个安全弱点”。
-直接采用数据删除和保留政策。PIPEDA使个人能够撤回对收集和使用其个人信息的同意。ALM收取19美元的费用以完全删除用户的数据——报告指出,在数据是否被完全删除方面存在混乱。报告说,这种费用是否合理,必须根据组织实际费用相对于所收取的费用以及它可能对个人是否撤回同意的决定产生的影响等因素来评估。
报告补充说,即使收费是合理的,也必须在个人表示同意之前明确和明显地告知。“总的来说,”报告警告说,“各组织应该以适当的严肃性对待实施这一收费的决定。
数据保留政策应以可证明的理由和时间表为基础。由于法律原因,ALM合法持有删除了几个月的个人资料。但不活动和停用的配置文件信息被无限期地保存。
-要准确。需要ALM,但没有核实注册人的电子邮件地址。一方面,这允许人们否认与阿什利·麦迪逊的关系。另一方面,它在他人的生活中造成了不必要的声誉风险——有人可以使用他人的电子邮件地址创建一个假的个人资料。报告称:“保持准确性的要求必须考虑到所有可能收集到有关信息的个人的利益,包括非用户的利益。
-在安全方面保持透明。虚假或误导性陈述可能影响用户同意的有效性。ALM的主页以“可信安全”图标的形式显示了一个虚假的信任标记。报告称:“各组织应该意识到,欺骗性的言论会让人对同意的有效性产生质疑。
-说清楚。根据PIPEDA,只有在合理地预期一个人会理解他们同意的收集、使用或披露个人信息的性质、目的和后果时,同意才有效。报告称:“在ALM调查中,很明显,即使在注册前仔细阅读了所提供的信息,也没有提供可能影响某人是否注册的关键信息。”例如,没有提到从服务中删除个人信息的费用。各组织应注意到,不公开个人信息处理做法----包括遗漏或不清楚关键做法----可能会使同意的有效性受到质疑。
鲁比的新CEO已经签署了一份合规协议来解决这些问题。
但是,对于infosec的优点,关于远程管理员访问控制的弱点的部分将是最感兴趣的。
ALM认为它有一个很好的系统,要求那些拥有远程访问权限的人有三样东西:一个用户名、一个密码和一个所谓的共享秘密——一个密码。(此外,他们还需要知道VPN组的名称和ALM的VPN服务器的IP地址。)
但是,报告指出,这三件事都是“你知道的东西”——因此实际上是一个单一因素的ID。不仅如此,共享秘密被存储在ALM的谷歌驱动器上,因此任何在任何计算机上都可以访问ALM员工驱动器的人都有可能发现它。
如果该公司坚持要求管理员使用双因素或多因素身份验证,则攻击可能不会成功。
尽管ALM进行了法医调查,但发生的细节仍然模糊不清。报道说,该公司认为攻击者不知何故-钓鱼、社交媒体、键盘记录器?-获得雇员的证书。这次攻击是在2015年7月12日首次注意到的,当时IT工作人员在数据库管理系统中“检测到异常行为”,暗示未经授权的访问。
然而,该公司认为入侵实际上发生在几个月前-这是合乎逻辑的,因为数据的数量被删除-攻击者四处移动,以了解网络地形,并获得更多的管理员访问。
报告指出,法医分析人员无法确定一些细节,因为一旦获得管理员访问权限,日志就会被删除。攻击者还采取措施避免被发现,包括通过代理服务访问公司VPN网络,允许它欺骗多伦多IP地址。
对于一个收入1亿美元的组织来说,ALM没有入侵检测或预防系统、安全信息和事件管理(S IE M)系统或数据丢失预防监控,这并没有帮助。
只对VPN登录进行了每周跟踪和审查。报告称,不寻常的登录行为——在这种情况下,攻击者的行为是否会被视为不寻常——没有得到很好的监控。事实上,只有在调查这次攻击时,ALM的第三方网络安全顾问才发现,在2015年7月12日发现之前的几周内,存在未经授权访问ALM系统的情况-使用有效的安全凭据。“这进一步强化了我们的观点,即ALM没有充分监测其系统的入侵迹象或其他未经授权的活动,”报告说。
Ruby现在对管理员采用了双因素身份验证。