究竟有多糟糕 2007年值得注意的安全事件(1)

2007年的网络安全缺口、漏洞还有一些破坏行为究竟有多糟糕呢?抱持着乐观的态度，它也许会被对2008年所预测的情况要好一些。关于2008年的安全方面，现在有许多各种各样的像冰川融化似的预言——更多的黑客社区的不法行为，更多网络应用程序的攻击，更多钓鱼攻击，更多垃圾邮件，更多零日攻击和与虚拟化相关的威胁——我们可以比较开心地让你去回顾一下2007年相对比较平静的日子。

　　这无法让你振作起来吗?好的，那么让我们一起来看看2007年一些值得注意的安全事件。你只要记住：这一切都已经过去了。

　　2007年最糟糕的五件数据泄露事件

　　一枝独秀：TJX公司

　　2006年数据泄露的新闻中，大多数都与美国退伍军人事务部有所牵连，但在今年，商业利益相关的事也能够拿奖——特别是马萨诸塞州Framingham的零售巨头TJX公司。它在一月时被揭发泄露事件，这成为有史以来最大的信用卡数据安全问题，而这时实际上已经是在事情发生之后几个月了。

　　TJX自己说，超过4560万的用户信用卡在超过18个月间受到隐秘地入侵;然而，一些银行则对其发起控诉，说实际的数量是9400万张信用卡，其中大部分是Visa所发布的。这次数据泄露事件引致了众多诉讼官司以及对更强大的数据保护法律的要求——此外，不幸的是，还引致了一阵信用卡盗刷事件。

　　虽然它的影响范围很广，以致分析公司Forrester Research所作的预言，称这次泄露事件能够在接下来的几年终结TJX十亿美元，但有些人还是认为，这种论断有些言过其实。在泄露时间被揭发后大概11个月内，我们看到这个数字并没有这么夸张：TJX自己估计，公司大概为此次事件付出了将近两亿五千万美元的费用。

　　英国的版的VA事件

　　英国税务海关在11月遗失了2500万青少年的记录。当被揭露其遗失了存储有2500万青少年福利索赔信息的磁盘，英国税务海关就成功上升到了VA级的地位。这些没有加密的磁盘，是在运送到国家审计署的途中丢失的，里面包括了银行帐户资料的详情以及公民的ID号。分析公司Gartner预计，由于此次数据泄露事件而需要进行账户关闭以及新账户建立来防止受到潜在的诈骗行为，这项花费大约需要5亿美元。

　　被经纪人攻破的系统

　　富达国民信息服务公司一家子公司Certegy Check Services的资深数据库管理员非法下载数据并将其出卖给经纪人，导致超过8500万个人信息泄露。

　　Fidelity National是从著名的富达投资公司分离出来的，当事件7月份第一次被披露时，它说仅有2500万份记录泄露出去。几周后，它又悄悄地在美国证券交易委员会的档案中将这个数字提高到8500万。根据公司所说，被窃取的数据起先被转卖是出于直接的营销目的，而不是ID窃贼或者是其它类型的欺诈。

　　盗亦有道

　　大型网上证券商美国交易公司的经济公司在9月份被披露，有人入侵了他们其中一个系统，窃取了超过6200万零售业和公共团体用户的合同信息，诸如名称、地址和电话号码。然而，根据公司所说，似乎存储在同一个数据库中的社会安全码和帐户号码却完好无损。被窃取的数据似乎只是用来发送与股票相关的垃圾邮件。

　　黑客攻击的产物

　　Monster.com大约有1600万求职者的姓名、电子邮件地址、邮箱地址、电话号码和简历ID在8月份通过访问了Monster.com的简历数据库泄露。虽然大都称是黑客所为，但实际上这些信息是由于攻击者使用了非法的用户名和密码而访问到的——这极有可能是从一些专业的招聘人员以及使用Monster.com来找寻职位应征者的人力资源的相关人员那里窃取的。庆幸的是，在这次数据泄露事件中，没有社会安全码或者是金融数据被窃取。