虽然外部黑客对企业环境的威胁总是存在的,但有时最大的风险来自内部。波耐蒙研究所的调查数据显示,内部威胁每年损失1792万美元。可信员工和合作伙伴造成的这些事件往往不仅涉及个人身份信息(PII),一些最敏感的数据也涉及到企业生成和处理——秘密配方、敏感的财务信息和任务关键基础设施的访问权限。以下是一些近期由此类风险引起的重大事件,按行业划分。
医疗行业:未披露名称的医药包装公司
- 公司:未披露名称的医疗包装公司
- 事件类型:破坏
- 事件发生时间:2020年
- 公开披露时间:2020年
去年,一家医疗器械包装公司的一名前员工因计算机辅助损坏被联邦检察官判有罪:该员工的行为导致了新冠肺炎个人防护设备的最初响应(PPE)发货延误。
佐治亚州北区检察官办公室表示,在被该公司解雇后,Christopher Dobbins利用管理员在职期间创建的虚假账户访问公司的装运系统,中断和延迟公司PPE交货流程。然后他创建了第二个假账户,编辑或删除了1.8万多份公司记录,造成进一步延误和损失超过20万美元。
制造业:通用电气(GE)
- 公司:通用电气公司
- 事件类型:知识产权盗窃、欺诈
- 事件发生时间:2011年–2012年
- 公开披露时间:2019年
经过多年的调查和冗长的法庭诉讼,美国联邦调查局(FBI)去年揭露了两名前通用电气员工Miguel Sernas和Jean Patrice Delia公开窃取知识产权和商业秘密。Delia最初的盗窃是在2011年实施的,当时他是通用电气的性能工程师,支持客户操作公司制造的高度复杂的涡轮机。
Delia这些涡轮机的商业机密文件不仅下载了如何以其现有账户权限运行,还说服了它们IT该部门的一名员工授权他访问性能咨询的成本模型、提案和合同文件。利用这些信息,他和Sernas以低价竞争策略损害通用电气利益的竞争公司成立FBI暗中调查此案期间运作多年。FBI调查涉及电子邮件和云存储账户的传唤显示,最终利用Sernas在美国旅行的路上搜索了一个笔记本。
制造业:丰田
- 公司:丰田
- 事件类型:商务电子邮件入侵,诈骗3700万美元
- 事件发生时间:2011年–2012年
- 公开披露时间:2019年
一名BEC骗子成功诱使丰田某欧洲子公司财务团队成员将3700万美元转入外国账户。BEC攻击者一直在这样做,骗子伪装成公司的业务合作伙伴,以欺骗手段赢得了巨额资金。
BEC骗局通常对这些粗心的内部人员进行长期战斗,攻击者悄悄获得目标公司的在线访问权限,进行深入调查,观察内部员工或员工与合作伙伴之间的通信模式,以便在欺诈时机成熟时完美模仿目标公司的可信实体。
电信行业:AT&T
- 公司:AT&T
- 事件类型:安装贿赂助长的恶意软件,欺诈2亿美元
- 事件发生时间:2012年–2017年
- 公开披露时间:2019年
拥有公司系统访问权的员工受贿解锁价格昂贵iPhone供在AT&T网络外使用,电信供应商AT&T遭受长期犯罪活动。攻击者的主要策略是购买呼叫中心的员工,让他们在那里AT&T恶意软件安装在系统上,获得立足点,最终入侵公司基础设施,按需自动解锁AT&T电话。该事件使AT&T共计2亿美元,损失了200万部未锁定手机的订阅费。2018年,巴基斯坦居民Muhammad Fahd因此,这一犯罪活动被捕,并于本月早些时候被美国地方法院判处12年监禁。
金融行业:Capital One
- 公司:Capital One
- 事件类型:1亿信用卡申请及账户数据泄露
- 事件发生时间:2019年
- 公开披露时间:2019年
据称,AWS一名前软件工程师能够滥用她在职期间获得的有关客户云部署缺陷的行业知识,导致AWS客户Capital One重大数据泄露。今年夏天,美国司法部对2019年涉及计算机欺诈、滥用和访问设备欺诈的事件提出七项指控,声称Thompson利用Capital One1亿信用卡申请人和账户持有人的信息被盗和传播。
金融业:纽约信用合作社未披露其名称
- 公司:未披露姓名的纽约信用合作社
- 事件类型:保留账户权限破坏
- 事件发生时间:2021年
- 公开披露时间:2021年
这是一个典型的权限撤销失败案例。纽约一家信用合作社的前雇员在被解雇几天后仍能登录公司系统。该公司的IT该公司没有按照信用合作社的要求禁止该员工的账户,因此她可以保留账户访问权。美国检察官办公室表示,Juliana Barile删除了40分钟的暴行21.3 GB公司数据包括2万份文件和3500份目录。删除的文件包括抵押申请和反勒索软件。此外,她还阅读了敏感文件,包括董事会会议记录。
科技行业:Vertafore
- 公司:Vertafore
- 事件类型:暴露2770万条PII记录
- 事件发生时间:2020年
- 公开披露时间:2020年
保险软件开发商无意中将数据文件存储在不安全的外部存储服务中Vertafore导致2770万德克萨斯州司机敏感信息泄露。这些文件包含数百万个驾照信息,用于公司为其软件创建保险评级功能。这是云时代人为错误风险的典型例子,像公司这样粗心大意的机构仍然存在存储错误的暴露风险。虽然财务信息和社会保障不涉及,但Vertafore数据泄露响应的所有费用仍必须承担。该公司可能因此面临集体诉讼。
亚马逊是科技产业
- 公司:亚马逊
- 事件类型:使用机密信息进行内幕交易
- 事件发生时间:2016年–2018年
- 公开披露时间:2020年
据说亚马逊税务部门的一位高级经理利用财务信息访问权为家人准备季度报告,帮助家人通过内幕交易获利。据美国检察官办公室介绍,Laksha Bohra向她的丈夫Viky在亚马逊发布收入公告之前,提供公司收入和收入信息,用于非法股票和期权交易。在这个过程中,这个家庭赚了140万美元。然而,在今年夏天最终确定的认罪协议中,Viky被判入狱26个月,罚款260多万美元。
零售业:Garrett Popcorn Shop
- 公司:Garrett Popcorn Shop
- 事件类型:窃取商业秘密:
- 事件发生时间:2019年
- 公开披露时间:2019年
芝加哥零售爆米花标杆企业根据2019年向伊利诺伊州北区地方法院提起的诉讼Garrett Popcorn Shops指控前研发总监Aisha Putnam通过复制公司U从公司窃取了5000多份文件,包括成分、食谱、配方和制作方法。
去年,Putnam反诉该公司,声称她被解雇,之前的诉讼是为了报复她对主管的健康和安全投诉。事件显示了访问和处理敏感知识产权的固有风险。
政府:达拉斯市政府
- 机构:达拉斯市政府
- 事件类型:意外删除敏感数据
- 事件发生时间:2018年–2021年
- 公开披露时间:2021年
有时候,疏忽的内部人员对技术基础设施的破坏堪比意图报复的恶意黑客。达拉斯市政府前IT员工在这方面犯了错误。《达拉斯晨报》报道通过该市发言人所谓的发言人“错误模式”,该员工删除了大量重要的警方和市政记录,该员工在内部审查曝光后也被解雇。自2018年以来,该员工在至少三种不同情况下试图删除22 TB信息包括13 TB警方文件(包括照片、视频和案件记录)。达拉斯仍在调查中,但在传输重大文件时,这些事件似乎可能不遵守过程。