阿什利麦迪逊的母公司被隐私专员批评存在巨大的漏洞
总部位于多伦多的Avid Life Media是阿什利•麦迪逊(Ashley Madison)约会网站的母公司,一年前该网站遭到严重破坏。目前,该公司因其糟糕的数据安全性能,遭到了两国隐私专员的严厉批评,称其违反了加拿大和澳大利亚的隐私法。
他说:“虽然ALM有一系列的个人资料保安措施,但并没有一个全面的资讯保安架构,以评估其资讯保安是否足够。”加拿大隐私专员办公室和澳大利亚信息专员办公室周二发布的报告称:“数据泄露时,某些地区的某些安全保障措施不足或缺失。”
“对于ALM这样的组织,或任何拥有大量敏感性质的个人信息的组织来说,在没有足够和一致的治理框架的情况下解决信息安全问题是不够的。”
违规行为包括:在网站上放置虚假的“值得信赖的安全奖”标志,“故意在潜在用户中造成一种虚假的总体印象,即该组织的信息安全实践已被独立第三方审查并认为是高质量的。”
(这张照片在去年遭到黑客入侵前曾出现在Ashley Madison Australia网站上。图片来自报告)
上月,Avid Life Media更名为Ruby Corp.。该公司今天上午宣布,它已与加拿大隐私专员(privacy commissioner)达成了一项合规协议,并与澳大利亚隐私办公室(privacy office)达成了一项可执行的承诺。
Ruby首席执行官Rob Segal在一份新闻稿中说:“我们希望通过公开谈论这次事件以及我们对OPC和OAIC的承诺,我们可以帮助其他组织和企业领导人应对日益严峻的网络安全挑战。”“在调查过程中,公司一直与这些专员合作,并将继续与他们分享信息,因为我们尊重合规协议的条款和可执行的承诺。”
报告的作者特别指出,ALM的安全框架存在缺陷
一个自称“影响小组”的组织声称对2015年7月的数据泄露事件负责,并威胁称,除非ALM关闭其Ashley Madison网站并建立男性约会网站,否则将公布被盗数据。ALM拒绝了,在奥古斯塔,大量文件被发布到网上,包括大约3600万Ashley Madison用户账户的详细信息。
报告指出,其中一些订阅者收到勒索企图,威胁说,除非他们付清费用,否则将向家人或雇主透露他们与网站的关系。报告补充称,并非所有用户都使用了真实姓名。但是,它说,“ALM可以合理地预见到,它所持有的信息被泄露给一个未经授权的人,或向整个世界,可能会对许多可以确定身份的人产生严重的不利后果。”
报告同意alm的观点,即不能期望它拥有与更大、更复杂的组织相同的文档化遵从性框架。“然而,”报告补充道,“在目前的情况下,有一系列的因素表明,ALM应该实施一个全面的信息安全计划。这些情况包括ALM持有的个人信息的数量和性质,如果个人信息被泄露对个人可预见的不利影响,以及ALM就安全和谨慎向其用户所作的陈述。”
报告认为,攻击者通过破坏一名员工的有效帐户凭证进入,然后通过网络移动。报告指出,ALM没有多因素认证。报告称:“考虑到ALM面临的个人隐私风险,在这种情况下,ALM决定不为管理远程访问实施多因素身份验证是一个重大问题。”
这并不是说ALM没有防御能力:报告说,网络保护包括对ALM及其用户之间所有网络通信的网络分割、防火墙和加密,以及将信用卡数据发送给ALM第三方支付处理器的渠道。所有对网络的外部访问都被记录下来。所有的网络访问都是通过aVPN进行的,需要基于每个用户的授权,需要通过“共享秘密”进行身份验证。有反恶意软件和反病毒软件。特别敏感的信息,特别是用户的真实姓名、地址和购买信息被加密,对这些数据的内部访问被记录和监控(包括ALM工作人员对不寻常访问的警告)。使用BCrypt算法对密码进行散列(不包括使用旧算法散列的一些遗留密码)。
但是,报告说,加密密钥和密码管理的做法很糟糕。
报告称:“攻击者采取了一系列措施,以避免被发现,并掩盖其踪迹。”“例如,攻击者通过代理服务访问VPN网络,允许它‘欺骗’一个多伦多IP地址。它在很长一段时间内以一种最小化ALM VPN日志中不寻常活动或模式的方式访问ALMcorporate网络,这些活动或模式很容易识别。一旦攻击者获得了管理访问权,它就会删除日志文件以进一步掩盖它的踪迹。因此,ALM无法完全确定攻击者所走的路线。”
ALM确实有一些检测和监控系统,但这些系统主要用于检测系统性能问题和员工对敏感用户数据解密的异常请求。ALM没有实施入侵检测系统或预防系统,没有安全信息和事件管理系统,也没有数据丢失预防监控。
“我们每周都会对VPN登录进行跟踪和审查,但是不寻常的登录行为(可能显示未经授权的活动)没有得到很好的监控。”例如,在调查当前事件的过程中,ALM的第三方网络安全顾问发现了其他使用有效安全证书未经授权访问ALM系统的实例,这些实例发生在ALM发现有问题的入侵之前的几周。这进一步强化了我们的观点,即ALM没有充分监控其系统,以发现入侵或其他未授权活动的迹象。”
报告还说,ALM声称,尽管没有风险管理框架的文件,其安全计划是基于对潜在威胁的评估。ALM确实按照PCI-DSSrules的要求进行了补丁管理和季度漏洞评估。“然而,它无法提供证据证明它对所面临的整体威胁进行了任何有组织的评估,或它通过内部或外部审计或评估等标准活动对其信息安全框架进行了评估。”
报告称,在黑客入侵时,一个安全培训项目刚刚开发出来,但只提供给了大约25%的员工——主要是新员工、c级管理人员和高级IT员工。
报告总结称:“虽然ALM有一些安全保障措施,但这些措施的实施似乎没有充分考虑到面临的风险,也没有一个充分和连贯的信息安全治理框架,以确保适当的做法、系统和程序得到一致理解和有效执行。”因此,ALM没有明确的方式来确保其信息安全风险得到妥善管理。这种缺乏适当框架的情况未能防止上述多重安全弱点,因此,对于持有敏感个人信息或大量个人信息的组织来说,如ALM,这是一个不可接受的缺点。”
在与隐私专员达成的协议中,Ruby承诺在12月31日前完成对其个人信息保护措施的全面第三方审查。此外,不迟于2017年5月31日,该公司将进一步扩大、记录和实施其信息安全框架,该公司表示,这一过程“正在顺利进行”。他说:“这包括对雇员进行强制性的保安及私隐意识训练,以及正在进行的保安加强程序。”
热点推荐
- · 看看在黑暗中发光的三菱Evo汽车
Dip Your Car进行了一项实验,将三菱Evo转变为夜光汽车,其结果发布在同名的YouTube频道上。事实证明,将荧光漆涂在具有光亮层的身体上并
- · Memoji现在可以在最新的苹果iOS 1...
我认为这是我们只能与Emojis聊天的时候了,您的朋友仍然会理解您要说的话。如今,随着疯狂的表情符号数量的增加,您可以从表情符号选项卡中
- · 联想使用高通Snapdragon 865制造...
根据在weibo com上发布的图像,看来联想可能会推出自己的游戏智能手机,该智能手机将配备高通公司的顶级Snapdragon 865芯片组。此外,发布
- · 新消息确认荣耀X50Pro5G智能手机的...
昨天,realme宣布将在线发布 realme X50 Pro 5G。但很明显,该公司无意放弃这种戏弄,最新消息证实该智能手机的显示屏将具有90Hz的刷新
- · 在2020年亚马逊Prime Day期间可获...
亚马逊2020年Prime Day为各种耳机带来了很多优惠,包括索尼的新型WH-1000XM4无线耳挂式耳机,该耳机具有市场上最好的噪音消除功能。这套特
- · 索尼最好的降噪耳机在Prime Day上...
如果您从Verge链接购买商品,Vox Media可能会赚取佣金。请参阅我们的道德声明。2020年黄金日的第二天也是最后一天,但接下来的几个小时仍
- · Spotify现在拥有自己的iOS 14小部件
自iOS 14发布以来的几周内,越来越多的应用程序在增加新功能,以利用Apple最新更新中的功能。现在,Spotify也加入了。今天,领先的订阅音
- · 苹果TV应用程序出现在Sony的一些最...
如果您从Verge链接购买商品,Vox Media可能会赚取佣金。请参阅我们的道德声明。苹果的Apple TV应用程序首次进入了Android TV。索尼宣布
- · 宏G支持G-Sync的27英寸4K 144Hz游...
如果您从Verge链接购买商品,Vox Media可能会赚取佣金。请参阅我们的道德声明。宏A在亚马逊上的27英寸4K Predator游戏显示器的闪电交易持
- · 谷歌Glass正在添加Meet 以便远程...
您可能已经有一段时间没有考虑过Google Glass了,但其抬头显示器的企业版却有了一个巧妙的新技巧:它将能够使用Google Meet(以前称为Hang
- · 贝尔金的首批MagSafe产品是外观精...
苹果公司新的MagSafe配件生态系统还没有建立一天,但是Belkin已经开始使用新的使用磁性充电系统的充电配件,并推出了新的BoostCharge Pro
- · 谷歌的新手势系统将可用于所有Pixel设备
除了触摸屏幕或按下按钮外,我们还有许多其他方式可以与智能手机进行交互。借助最新的Google Pixel 4 系列的Motion Sense ,我们可以
- · 华为于2020年推出其6nm麒麟820 5G芯片
华为最近宣布,他们可能会推出新的麒麟820 5G芯片组,该芯片组将在2020年2月24日晚上9点举行的在线会议上揭晓。根据gizchina com的声明,
- · 华为将开发一款具有多达8个摄像头...
最近花姐发现有诸多的小伙伴们对于华为将开发一款具有多达8个摄像头传感器的智能手机吗这个问题都颇为感兴趣的,大家也都想要及时了解到华
- · 配备64MP AI Quad相机的荣耀6系...
realme在其官方网站上发布了一张图片,其中提到realme 6系列(包括realme 6以及Pro变体)将于2020年3月5日发布。虽然关于上述智能手机的完
- · 未来的智能手机会使用用户可更换的...
根据fd nl上的一份报告,看来欧盟正在制定一项提案,要求智能手机具有用户可更换的电池。这是由于以下事实:用户通常将旧的智能手机换成较
- · FlyPods 3是HONOR为您呈现的全新...
除了HONOR View 30 Pro 和HONOR 9X Pro,HONOR在巴塞罗那举行的发布会上也给我们带来了另一个惊喜。该公司已经宣布了名为HONOR FlyP
- · LG推出V60 ThinQ 5G智能手机和改...
大约两周前,我们得到了LG即将推出的旗舰智能手机的渲染图 ,暗示了其内部外观。好吧,渲染似乎很准确。LG正式发布了V60 ThinkQ 5G,已
- · 据说苹果的2020年WWDC将举行 传闻...
由于使用了COVID-19病毒,该疾病已成功地减慢了速度,并取消了大多数事件。最近的一次是2020年世界移动通信大会,也有谣言说东京奥运会也将
- · 三星为下一代智能手机推出12GB LPDDR4X DRAM
三星宣布将发布其用于下一代智能手机的新型12GB LPDDR4X DRAM,该芯片旨在用于未来的手机。我们可以预计,今年新的12GB LPDDR4X DRAM将