第三方IT提供商暴露了有价值的航空公司数据,专家称这些数据可能是网络犯罪分子的金矿
马来西亚航空公司向常旅客计划成员发送了一封电子邮件,向他们保证,在第三方供应商遭受供应链攻击后,“没有证据”滥用了他们的个人数据。
但是,专家认为这不太可能。而且,他们说,影响可能很大。
马来西亚航空的常旅客计划Enrich在2010年3月前后的某个时候遭到破坏—并一直暴露到2019年6月,留下了成千上万名会员的个人数据,包括姓名,出生日期,性别,联系信息,身份证号码,状态和等级该公司发给成员的一封电子邮件未受保护。
马来西亚航空尚未发布正式声明,但其官方Twitter帐户 MAS在3月1日对用户的回复中提供了一些解释,并链接到违规消息。
“……数据安全事件发生在我们的第三方IT服务提供商而非马航的计算机系统上。”航空公司的帐户已回复。“但是,航空公司将监视有关其会员帐户的任何可疑活动,并与受影响的IT服务提供商保持持续联系,以保护Enrich会员的数据并调查事件的范围和原因。”
该航空公司随后发布了一条推文,“请注意,马航没有证据表明该事件影响了任何帐户密码。不过,我们鼓励会员更改密码,以防万一。”
Threatpost要求马来西亚航空新闻和隐私办公室发表评论的请求尚未得到答复。
违反马来西亚航空数据的威胁
从忠诚度计划等来源收集的被盗个人数据可以与其他详细信息组合在一起,以创建受害者的完整,令人难以置信的详细资料,可用于从社会工程化的鱼叉式网络钓鱼活动到直接欺诈的攻击。
安全公司Sotero的首席执行官Purandar Das表示,攻击者的坚持不懈表明他们在马来西亚航空数据中看到了多少价值,同时还展示了缺乏防御措施。
达斯解释说:“这些被盗的数据构成了消费者档案的一部分,该档案是由从许多地方被盗的数据创建的。”“这一违规行为发生了很长时间,没有被发现,这表明服务提供商缺乏安全性。”
Das补充说,如果黑客不利用被盗的个人信息牟取暴利,他们恐怕就不会闲逛。
他说:“如果数据泄露持续的时间很长,那么也不会因为错误的原因而使用这些数据。”“如果数据无用,黑客就会继续前进。即使是在服务提供商手中,组织也是时候控制他们的数据及其保护了。”
对于试图建立这些错综复杂的消费者形象的不良行为者而言,航空公司是理想的目标。
“一般来说,航空公司是一个备受瞩目的目标,忠诚度数据可以很容易地被货币化,海量数据(通常包括大笔支付数据)在英国航空公司的违规事件中是很明显的,”网络安全顾问安德鲁·巴拉特(Andrew Barratt)与Coalfire一起对Threatpost说。
为什么时间表如此重要
首先,Barratt告诉Threatpost,马来西亚航空公司提供的九年暴露时间告诉他,服务提供商缺乏任何常规的安全监控,可以帮助查明攻击的时机。
他补充说,由于2014年马来西亚航空公司370失踪事件就在这一时限之内,该航空公司也可能面临监管影响。
Netenrich的Brandon Hoffman通过电子邮件告诉Threatpost:“这里的问题是这是否在九年内发生,他们直到现在才透露,还是在九年内发生,而现在才发现。”“基于奇异的九年窗口,这个问题似乎在整个九年或九年前都一直持续着,而他们只是在发现它。如果事实确实如此,那么将存在一系列完全不同的问题,需要从网络卫生的角度来解决这些问题。”
第三方服务提供商很容易成为网络目标
马来西亚航空只是最新屈服于第三方IT服务提供商的供应链攻击的组织。
“这似乎是目前两个主题的转折点–持续攻击第三方服务提供商,然后利用这些服务来获取可能没有合适的第三方的其他第三方和知名企业的访问权限审查计划到位。”巴拉特说。
在最近对SolarWinds的攻击中,威胁参与者使用木马更新来访问美国政府内部可用的一些最敏感数据。专家称,从去年12月开始,来自Accellion的文件共享服务FTA就针对其最大的客户进行了武器打击,其中包括律师事务所Jones Day。
第三方服务提供商已经并将继续成为网络犯罪分子的主要攻击点。
“原因很简单。服务提供商在安全性方面的组织性较差。”“他们的基础设施安全性较低,更容易渗透。黑客以他们为目标,因为他们知道他们对潜在有价值的数据的访问更容易[破解]。”
Cerberus Sentinel的Chris Clements解释说,基本的尽职调查,持续的监视以及对供应商安全性的日益关注对于阻止此类攻击至关重要。
Clements说:“供应链攻击妥协的最坏方面之一是,与直接破坏组织相比,它甚至更难被发现。”“现在,企业比以往任何时候都需要全面审查和积极管理可能能够访问敏感系统或数据的供应商。”
