信息化觀察網(wǎng)

第三方IT提供商暴露了有價(jià)值的航空公司數(shù)據(jù)，專家稱這些數(shù)據(jù)可能是網(wǎng)絡(luò)犯罪分子的金礦

馬來(lái)西亞航空公司向常旅客計(jì)劃成員發(fā)送了一封電子郵件，向他們保證，在第三方供應(yīng)商遭受供應(yīng)鏈攻擊后，“沒有證據(jù)”濫用了他們的個(gè)人數(shù)據(jù)。

但是，專家認(rèn)為這不太可能。而且，他們說(shuō)，影響可能很大。

馬來(lái)西亞航空的常旅客計(jì)劃Enrich在2010年3月前后的某個(gè)時(shí)候遭到破壞—并一直暴露到2019年6月，留下了成千上萬(wàn)名會(huì)員的個(gè)人數(shù)據(jù)，包括姓名，出生日期，性別，聯(lián)系信息，身份證號(hào)碼，狀態(tài)和等級(jí)該公司發(fā)給成員的一封電子郵件未受保護(hù)。

馬來(lái)西亞航空尚未發(fā)布正式聲明，但其官方Twitter帳戶 MAS在3月1日對(duì)用戶的回復(fù)中提供了一些解釋，并鏈接到違規(guī)消息。

“……數(shù)據(jù)安全事件發(fā)生在我們的第三方IT服務(wù)提供商而非馬航的計(jì)算機(jī)系統(tǒng)上。”航空公司的帳戶已回復(fù)。“但是，航空公司將監(jiān)視有關(guān)其會(huì)員帳戶的任何可疑活動(dòng)，并與受影響的IT服務(wù)提供商保持持續(xù)聯(lián)系，以保護(hù)Enrich會(huì)員的數(shù)據(jù)并調(diào)查事件的范圍和原因。”

該航空公司隨后發(fā)布了一條推文，“請(qǐng)注意，馬航?jīng)]有證據(jù)表明該事件影響了任何帳戶密碼。不過(guò)，我們鼓勵(lì)會(huì)員更改密碼，以防萬(wàn)一。”

Threatpost要求馬來(lái)西亞航空新聞和隱私辦公室發(fā)表評(píng)論的請(qǐng)求尚未得到答復(fù)。

違反馬來(lái)西亞航空數(shù)據(jù)的威脅

從忠誠(chéng)度計(jì)劃等來(lái)源收集的被盜個(gè)人數(shù)據(jù)可以與其他詳細(xì)信息組合在一起，以創(chuàng)建受害者的完整，令人難以置信的詳細(xì)資料，可用于從社會(huì)工程化的魚叉式網(wǎng)絡(luò)釣魚活動(dòng)到直接欺詐的攻擊。

安全公司Sotero的首席執(zhí)行官Purandar Das表示，攻擊者的堅(jiān)持不懈表明他們?cè)隈R來(lái)西亞航空數(shù)據(jù)中看到了多少價(jià)值，同時(shí)還展示了缺乏防御措施。

達(dá)斯解釋說(shuō)：“這些被盜的數(shù)據(jù)構(gòu)成了消費(fèi)者檔案的一部分，該檔案是由從許多地方被盜的數(shù)據(jù)創(chuàng)建的。”“這一違規(guī)行為發(fā)生了很長(zhǎng)時(shí)間，沒有被發(fā)現(xiàn)，這表明服務(wù)提供商缺乏安全性。”

Das補(bǔ)充說(shuō)，如果黑客不利用被盜的個(gè)人信息牟取暴利，他們恐怕就不會(huì)閑逛。

他說(shuō)：“如果數(shù)據(jù)泄露持續(xù)的時(shí)間很長(zhǎng)，那么也不會(huì)因?yàn)殄e(cuò)誤的原因而使用這些數(shù)據(jù)。”“如果數(shù)據(jù)無(wú)用，黑客就會(huì)繼續(xù)前進(jìn)。即使是在服務(wù)提供商手中，組織也是時(shí)候控制他們的數(shù)據(jù)及其保護(hù)了。”

對(duì)于試圖建立這些錯(cuò)綜復(fù)雜的消費(fèi)者形象的不良行為者而言，航空公司是理想的目標(biāo)。

“一般來(lái)說(shuō)，航空公司是一個(gè)備受矚目的目標(biāo)，忠誠(chéng)度數(shù)據(jù)可以很容易地被貨幣化，海量數(shù)據(jù)（通常包括大筆支付數(shù)據(jù)）在英國(guó)航空公司的違規(guī)事件中是很明顯的，”網(wǎng)絡(luò)安全顧問安德魯·巴拉特（Andrew Barratt）與Coalfire一起對(duì)Threatpost說(shuō)。

為什么時(shí)間表如此重要

首先，Barratt告訴Threatpost，馬來(lái)西亞航空公司提供的九年暴露時(shí)間告訴他，服務(wù)提供商缺乏任何常規(guī)的安全監(jiān)控，可以幫助查明攻擊的時(shí)機(jī)。

他補(bǔ)充說(shuō)，由于2014年馬來(lái)西亞航空公司370失蹤事件就在這一時(shí)限之內(nèi)，該航空公司也可能面臨監(jiān)管影響。

Netenrich的Brandon Hoffman通過(guò)電子郵件告訴Threatpost：“這里的問題是這是否在九年內(nèi)發(fā)生，他們直到現(xiàn)在才透露，還是在九年內(nèi)發(fā)生，而現(xiàn)在才發(fā)現(xiàn)。”“基于奇異的九年窗口，這個(gè)問題似乎在整個(gè)九年或九年前都一直持續(xù)著，而他們只是在發(fā)現(xiàn)它。如果事實(shí)確實(shí)如此，那么將存在一系列完全不同的問題，需要從網(wǎng)絡(luò)衛(wèi)生的角度來(lái)解決這些問題。”

第三方服務(wù)提供商很容易成為網(wǎng)絡(luò)目標(biāo)

馬來(lái)西亞航空只是最新屈服于第三方IT服務(wù)提供商的供應(yīng)鏈攻擊的組織。

“這似乎是目前兩個(gè)主題的轉(zhuǎn)折點(diǎn)–持續(xù)攻擊第三方服務(wù)提供商，然后利用這些服務(wù)來(lái)獲取可能沒有合適的第三方的其他第三方和知名企業(yè)的訪問權(quán)限審查計(jì)劃到位。”巴拉特說(shuō)。

在最近對(duì)SolarWinds的攻擊中，威脅參與者使用木馬更新來(lái)訪問美國(guó)政府內(nèi)部可用的一些最敏感數(shù)據(jù)。專家稱，從去年12月開始，來(lái)自Accellion的文件共享服務(wù)FTA就針對(duì)其最大的客戶進(jìn)行了武器打擊，其中包括律師事務(wù)所Jones Day。

第三方服務(wù)提供商已經(jīng)并將繼續(xù)成為網(wǎng)絡(luò)犯罪分子的主要攻擊點(diǎn)。

“原因很簡(jiǎn)單。服務(wù)提供商在安全性方面的組織性較差。”“他們的基礎(chǔ)設(shè)施安全性較低，更容易滲透。黑客以他們?yōu)槟繕?biāo)，因?yàn)樗麄冎浪麄儗?duì)潛在有價(jià)值的數(shù)據(jù)的訪問更容易[破解]。”

Cerberus Sentinel的Chris Clements解釋說(shuō)，基本的盡職調(diào)查，持續(xù)的監(jiān)視以及對(duì)供應(yīng)商安全性的日益關(guān)注對(duì)于阻止此類攻擊至關(guān)重要。

Clements說(shuō)：“供應(yīng)鏈攻擊妥協(xié)的最壞方面之一是，與直接破壞組織相比，它甚至更難被發(fā)現(xiàn)。”“現(xiàn)在，企業(yè)比以往任何時(shí)候都需要全面審查和積極管理可能能夠訪問敏感系統(tǒng)或數(shù)據(jù)的供應(yīng)商。”