阿什利麦迪逊的母公司被隐私专员批评存在巨大的漏洞

总部位于多伦多的Avid Life Media是阿什利•麦迪逊(Ashley Madison)约会网站的母公司,一年前该网站遭到严重破坏。目前,该公司因其糟糕的数据安全性能,遭到了两国隐私专员的严厉批评,称其违反了加拿大和澳大利亚的隐私法。

他说:“虽然ALM有一系列的个人资料保安措施,但并没有一个全面的资讯保安架构,以评估其资讯保安是否足够。”加拿大隐私专员办公室和澳大利亚信息专员办公室周二发布的报告称:“数据泄露时,某些地区的某些安全保障措施不足或缺失。”

“对于ALM这样的组织,或任何拥有大量敏感性质的个人信息的组织来说,在没有足够和一致的治理框架的情况下解决信息安全问题是不够的。”

违规行为包括:在网站上放置虚假的“值得信赖的安全奖”标志,“故意在潜在用户中造成一种虚假的总体印象,即该组织的信息安全实践已被独立第三方审查并认为是高质量的。”

(这张照片在去年遭到黑客入侵前曾出现在Ashley Madison Australia网站上。图片来自报告)

上月,Avid Life Media更名为Ruby Corp.。该公司今天上午宣布,它已与加拿大隐私专员(privacy commissioner)达成了一项合规协议,并与澳大利亚隐私办公室(privacy office)达成了一项可执行的承诺。

Ruby首席执行官Rob Segal在一份新闻稿中说:“我们希望通过公开谈论这次事件以及我们对OPC和OAIC的承诺,我们可以帮助其他组织和企业领导人应对日益严峻的网络安全挑战。”“在调查过程中,公司一直与这些专员合作,并将继续与他们分享信息,因为我们尊重合规协议的条款和可执行的承诺。”

报告的作者特别指出,ALM的安全框架存在缺陷

一个自称“影响小组”的组织声称对2015年7月的数据泄露事件负责,并威胁称,除非ALM关闭其Ashley Madison网站并建立男性约会网站,否则将公布被盗数据。ALM拒绝了,在奥古斯塔,大量文件被发布到网上,包括大约3600万Ashley Madison用户账户的详细信息。

报告指出,其中一些订阅者收到勒索企图,威胁说,除非他们付清费用,否则将向家人或雇主透露他们与网站的关系。报告补充称,并非所有用户都使用了真实姓名。但是,它说,“ALM可以合理地预见到,它所持有的信息被泄露给一个未经授权的人,或向整个世界,可能会对许多可以确定身份的人产生严重的不利后果。”

报告同意alm的观点,即不能期望它拥有与更大、更复杂的组织相同的文档化遵从性框架。“然而,”报告补充道,“在目前的情况下,有一系列的因素表明,ALM应该实施一个全面的信息安全计划。这些情况包括ALM持有的个人信息的数量和性质,如果个人信息被泄露对个人可预见的不利影响,以及ALM就安全和谨慎向其用户所作的陈述。”

报告认为,攻击者通过破坏一名员工的有效帐户凭证进入,然后通过网络移动。报告指出,ALM没有多因素认证。报告称:“考虑到ALM面临的个人隐私风险,在这种情况下,ALM决定不为管理远程访问实施多因素身份验证是一个重大问题。”

这并不是说ALM没有防御能力:报告说,网络保护包括对ALM及其用户之间所有网络通信的网络分割、防火墙和加密,以及将信用卡数据发送给ALM第三方支付处理器的渠道。所有对网络的外部访问都被记录下来。所有的网络访问都是通过aVPN进行的,需要基于每个用户的授权,需要通过“共享秘密”进行身份验证。有反恶意软件和反病毒软件。特别敏感的信息,特别是用户的真实姓名、地址和购买信息被加密,对这些数据的内部访问被记录和监控(包括ALM工作人员对不寻常访问的警告)。使用BCrypt算法对密码进行散列(不包括使用旧算法散列的一些遗留密码)。

但是,报告说,加密密钥和密码管理的做法很糟糕。

报告称:“攻击者采取了一系列措施,以避免被发现,并掩盖其踪迹。”“例如,攻击者通过代理服务访问VPN网络,允许它‘欺骗’一个多伦多IP地址。它在很长一段时间内以一种最小化ALM VPN日志中不寻常活动或模式的方式访问ALMcorporate网络,这些活动或模式很容易识别。一旦攻击者获得了管理访问权,它就会删除日志文件以进一步掩盖它的踪迹。因此,ALM无法完全确定攻击者所走的路线。”

ALM确实有一些检测和监控系统,但这些系统主要用于检测系统性能问题和员工对敏感用户数据解密的异常请求。ALM没有实施入侵检测系统或预防系统,没有安全信息和事件管理系统,也没有数据丢失预防监控。

“我们每周都会对VPN登录进行跟踪和审查,但是不寻常的登录行为(可能显示未经授权的活动)没有得到很好的监控。”例如,在调查当前事件的过程中,ALM的第三方网络安全顾问发现了其他使用有效安全证书未经授权访问ALM系统的实例,这些实例发生在ALM发现有问题的入侵之前的几周。这进一步强化了我们的观点,即ALM没有充分监控其系统,以发现入侵或其他未授权活动的迹象。”

报告还说,ALM声称,尽管没有风险管理框架的文件,其安全计划是基于对潜在威胁的评估。ALM确实按照PCI-DSSrules的要求进行了补丁管理和季度漏洞评估。“然而,它无法提供证据证明它对所面临的整体威胁进行了任何有组织的评估,或它通过内部或外部审计或评估等标准活动对其信息安全框架进行了评估。”

报告称,在黑客入侵时,一个安全培训项目刚刚开发出来,但只提供给了大约25%的员工——主要是新员工、c级管理人员和高级IT员工。

报告总结称:“虽然ALM有一些安全保障措施,但这些措施的实施似乎没有充分考虑到面临的风险,也没有一个充分和连贯的信息安全治理框架,以确保适当的做法、系统和程序得到一致理解和有效执行。”因此,ALM没有明确的方式来确保其信息安全风险得到妥善管理。这种缺乏适当框架的情况未能防止上述多重安全弱点,因此,对于持有敏感个人信息或大量个人信息的组织来说,如ALM,这是一个不可接受的缺点。”

在与隐私专员达成的协议中,Ruby承诺在12月31日前完成对其个人信息保护措施的全面第三方审查。此外,不迟于2017年5月31日,该公司将进一步扩大、记录和实施其信息安全框架,该公司表示,这一过程“正在顺利进行”。他说:“这包括对雇员进行强制性的保安及私隐意识训练,以及正在进行的保安加强程序。”

栏目推荐