互联网黑客近来侵入公司IT系统太成功了,以至于对大多数此类事件人们都懒得评论。但是,难有案例像拍卖网站eBay上周所公布的入侵事件那样令人震惊。
该公司公布称,在今年2月末至3月初对其数据库的一次入侵中,黑客获取了几名员工的登录授权。黑客由此掌握了1.28亿eBay活跃用户的姓名、地址、电话号码、电子邮箱地址以及密码。
eBay表示,其在两周前才知晓这次入侵事件。因此,现在它要求活跃用户重设个人密码,希望对事件作出补救——这可能是互联网历史上最大规模的数据泄露之一。
eBay承认此事之后,其全球客户有理由向eBay提出一些尖锐问题。为何eBay花了至少两个月时间才发现公司遭到网络攻击?在发现此事之后,为何又过两周才通知给客户?
令人担忧的是,eBay看来试图淡化该事件。它强调,黑客仅仅获取了“少量”员工的登录授权——但仅仅盗取一套员工登录信息就可以危害到一家公司。它坚称,集团的贝宝(PayPal)在线支付平台没有被攻破。但几百万客户的个人数据失窃,可能给近几个月来发生在银行和其他公司的网络盗窃打开方便之门。
无论eBay数据失窃案具体情形如何,它都导致我们提出有关数字经济脆弱性的更广泛问题。毕竟,如果资金充足的大牌互联网公司都容易发生这类数据库遭袭事件,那么这理应引起全球商业界的深思。
有两个问题值得特别注意。第一,尽管很多公司都意识到网络攻击的风险,但很少有公司建立完善的系统来发现此类攻击。
一项由电信集团Verizon发起的对数据失窃的著名调查显示,在超过70%的事件中,涉事公司是由外部人告知(而并非通过内部系统)才知道自己遭到了攻击。这表明,有太多公司所依照的原则是,他们只是可能会、而不是一定会受到伤害。
第二个令人担心的问题是,公开宣布自己遭到网络攻击的公司太少了,因为它们害怕公司声誉和股价受损。这导致政府和私人部门很难对网络罪犯的具体攻击行动发起共同回击。
没错,有些公司愿意公开身份,以帮助政府追查黑客。上周美国司法部(DoJ)起诉5名中国军官盗取多家美国公司的知识产权时,就是如此。
美国司法部在起诉过程中,公布了据称遭到中国人攻击的多家美国公司的名称。但愿意站出来承认遭攻击的公司仍非常少。互联网咨询机构曼迪昂特(Mandiant)去年发布报告称,有141家美国公司遭到了中国人民解放军(PLA)的网络攻击,但未提及这些公司的名称。其中大多数公司仍拒绝公开宣布遭攻击的事。
在美国和欧洲,企业领导人仍未对网络攻击的风险予以重视。对企业网络安全领域管理不当的老板们,现在再也找不到借口了。各企业必须更认真地防范和应对这些风险。
译者/邢嵬
必须吸取eBay数据失窃的教训
内容版权声明:除非注明,否则皆为本站原创文章。