安全牛|几乎所有网络安全公司都在泄露敏感数据
本文插图
网络安全公司是网络空间最安全的公司吗?这个问题似乎有些多余 , 谁会请一个经常被人劫道殴打的镖局呢?
前不久SANS在线安全教育平台的数据泄露也许只是一个“意外” , 但下面这个报告也许会惊掉你的下巴 。 根据ImmuniWeb的一项新研究 , 几乎所有网络安全公司都在线暴露了包括PII(个人隐私信息)和密码在内的敏感数据 。员工安全意识薄弱是造成这种糟糕局面的主要原因 。
报告调查了全球398个顶级安全供应商 , 然后检索了暗网、深网网站 , 包括黑客论坛和市场、WhatsApp群组、公共代码存储库以及社交网络等 。
报告声称 , 已发现经过验证的(来自网络安全公司的)敏感数据泄露事件超过63.1万次 , 其中这些“事件”中有17%具有重大风险 。 这意味着泄露数据包括使用纯文本密码的登录名 , 或者包括最近和/或唯一的数据泄漏(例如PII和财务记录) 。
本文插图
图表1:网络安全公司敏感数据泄露全球统计 , 泄露事件数量前三名分别为美国、英国和加拿大 , 中国排名15
总体而言 , 研究表明 , PII和公司数据占所有泄露事件的一半(50%) , 其中账户凭据占30% , 备份和转储占15% 。
同样令人担忧的是 , 泄露的密码中有29%是“弱密码” , 即密码的字符数少于8个 , 没有大写字母 , 没有数字和特殊字符 。接受调查的网络安全公司中 , 有41%的员工已在不同的被入侵系统上重复使用了密码 , 这使他们供职的企业面临进一步的潜在入侵风险 。
本文插图
图表2:全球顶级网络安全公司员工最常用的弱密码
该报告还显示 ,超过5100个账户出现在成人内容网站的数据泄露中 , 这意味着不少网络安全公司的员工堂而皇之地使用工作电子邮件在“P站”上进行了注册 。
总体而言 , 报告中研究的网络安全公司中有 97%被发现有敏感数据在线暴露 , 一些数据可以追溯到2012年 , 不过让人略感欣慰的是大多数事件的风险被分类为低(25%)或中(49%) 。
低风险是指“在组织中 , 其IT资产或员工在数据泄漏、样本或转储中没有附带敏感或机密信息的情况” , 而中度风险可能包括加密密码或“中等”敏感数据 , 例如源代码或内部文档 。
除了数据泄露外 , 全球顶级网络安全公司自身的安全合规和web安全现状也让人揪心:
超过一半的公司(63%)的主要网站未能满足这些PCI DSS要求 , 这意味着他们使用的是易受攻击或过时的软件(包括JS库和框架)或者没有启用WAF 。
191个网络安全公司网站(占48%)不符合GDPR要求 , 原因是软件易受攻击 , 缺少明显可见的隐私政策或Cookie包含PII或可追溯标识符时缺少cookie免责声明 。
最后 , 有91家网络安全公司网站发现了279个XSS漏洞 , 截至报告发表之日 , 已报告的漏洞中仍有26%尚未修复 。
ImmuniWeb首席执行官Ilia Kolochenko警告说:
网络安全供应商这样的第三方越来越多地成为网络攻击的目标 。
【安全牛|几乎所有网络安全公司都在泄露敏感数据】2020年 , 攻击者也许不必花费高昂的零日漏洞费用 , 而是找到几个“狗洞”打开的网络安全供应商 , 轻松获得特权账户 , 并迅速攻破目标企业最薄弱的环节 。
推荐阅读
- 不用油不用牛奶,教你做蜂蜜蛋糕,蒸或烤都可以,只需4种食材
- 意大利生牛肉沙拉做法
- 银屑病|对牛皮癣恢复有利的生活方式有哪些?
- 美食推荐:豆腐虾仁,丝瓜虾仁,爆炒牛肉,韭菜炒鸭血的做法
- 蒜泥肥牛只需1碗料汁
- 美食推荐:水煮鱼,孜然小炒牛肉,剁椒蒸排骨,香辣魔芋丝的做法
- 卤制牛肉,记住不要直接炖,2个小诀窍,卤制牛肉很香,无腥味
- 美食推荐:土豆炖牛肉,干锅带鱼,鱿鱼虾,小煎鸭子的做法
- 朝鲜族酱牛肉一口下肚,唇齿留香
- 用牛奶搭配做个甜品,味道香营养好,老公孩子抢着吃