返回
电子商务安全案例

电子商务安全案例

ID:18933829

大小:232.27 KB

页数:12页

时间:2018-09-25

电子商务安全案例_第1页
电子商务安全案例_第2页
电子商务安全案例_第3页
电子商务安全案例_第4页
电子商务安全案例_第5页
资源描述:

《电子商务安全案例》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、电子商务安全案例泄密案例一、受害者:HBGaryFederal公司(2011年2月)随着为美国政府和500强企业提供信息安全技术服务的HBGaryFederal公司CEO的黯然辞职,人们骤然醒悟,云时代保障企业信息资产安全的核心问题不是技术,而是人,不是部门职能,而是安全意识!企业门户大开的原因不是没有高价安全技术,而是缺乏一道“人力防火墙”。2011年2月6日,在美式橄榄球超级碗决赛之夜,HBGaryFederal公司创始人GregHoglund尝试登录Google企业邮箱的时候,发现密码被人修改了,这位以研究“rootkit

2、”而著称的安全业内资深人士立刻意识到了事态的严重性:作为一家为美国政府和500强企业提供安全技术防护的企业,自身被黑客攻陷了!更为糟糕的是,HBGaryFederal企业邮箱里有涉及包括美商会、美国司法部、美洲银行和WikiLeak的大量异常敏感的甚至是见不得光的“商业机密”。对HBgaryFederal公司实施攻击的黑客组织“匿名者”随后将战利品——6万多封电子邮件在互联网上公布,直接导致HBgaryFederal公司CEOAaronBarr引咎辞职,由于此次信息泄露涉及多家公司甚至政府部门的“社交网络渗透”、“商业间谍”、“

3、数据窃取”、“打击WikiLeak”计划,HBGary公司的员工还纷纷接到恐吓电话,整个公司几乎一夜间被黑客攻击彻底击垮。  失窃/受影响的资产:60000封机密电子邮件、公司主管的社交媒体账户和客户信息。  安全公司HBGaryFederal宣布打算披露关于离经叛道的Anonymous黑客组织的信息后不久,这家公司就遭到了Anonymous组织成员的攻击。Anonymous成员通过一个不堪一击的前端Web应用程序,攻入了HBGary的内容管理系统(CMS)数据库,窃取了大量登录信息。之后,他们得以利用这些登录信息,闯入了这家公

4、司的多位主管的电子邮件、Twitter和LinkedIn账户。他们还完全通过HBGaryFederal的安全漏洞,得以进入HBGary的电子邮件目录,随后公开抛售邮件信息。汲取的经验教训:这次攻击事件再一次证明,SQL注入攻击仍是黑客潜入数据库系统的首要手段;Anonymous成员最初正是采用了这种方法,得以闯入HBGaryFederal的系统。但要是存储在受影响的数据库里面的登录信息使用比MD5更强大的方法生成散列,这起攻击的后果恐怕也不至于这么严重。不过更令人窘迫的是这个事实:公司主管们使用的密码很简单,登录信息重复使用于许

5、多账户。泄密案例二、受害者:RSA公司日前EMC旗下资安公司RSA发生资安产品SecurID技术数据遭窃,全球超过2亿名用户使用该项产品,台湾也有包括银行、高科技制造业、在线游戏等业者采用。EMCRSA总裁ArtCoviello在官网上坦言受害,但未公开更多遭窃细节。EMC执行总裁ArtCoviello在官网上发出公开信表示,该公司SecurID技术资料遭窃。ArtCoviello在官网上发出一封「致RSA客户的公开信」表示,该公司在3月17日遭受类似先前Google所受的APT(先进持续威胁)网络攻击,其中,包括该公司OTP(

6、一次性密码)Token产品SecurID的双因素认证技术资料遭到外泄。ArtCoviello则在公开信中强调,根据所清查的外泄数据,目前使用SecurID硬件Token产品的企业用户不用担心遭到任何攻击,RSA除会立即提供客户后续的因应对策外,RSA客户和员工的个人资料也没有遭到外泄。同样的,EMCRSA台湾分公司对此一遭受攻击事件,目前皆不能对外发表任何意见。  失窃/受影响的资产:关于RSA的SecurID认证令牌的专有信息。  RSA的一名员工从垃圾邮箱活页夹收取了一封鱼叉式网络钓鱼的电子邮件,随后打开了里面含有的一个受感

7、染的附件;结果,这起泄密事件背后的黑客潜入到了RSA网络内部很深的地方,找到了含有与RSA的SecurID认证令牌有关的敏感信息的数据库。虽然RSA从来没有证实到底丢失了什么信息,但是本周又传出消息,称一家使用SecurID的美国国防承包商遭到了黑客攻击,这证实了这个传闻:RSA攻击者已获得了至关重要的SecurID种子(SecurIDseed)。汲取的经验教训:对于黑客们来说,没有哪个目标是神圣不可侵犯的,连RSA这家世界上领先的安全公司之一也不例外。RSA泄密事件表明了对员工进行培训有多么重要;如果笨手笨脚的内部员工为黑客完

8、全敞开了大门,一些最安全的网络和数据库照样能够长驱直入。安全专家们还认为,这起泄密事件表明业界想获得行之有效的实时监控,以防止诸如此类的深层攻击偷偷获取像从RSA窃取的专有信息这么敏感的数据,仍然任重而道远。泄密案例三、受害者:Epsilon  失窃的资产:这家

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。