Equifax诉讼提供了更多针对密码的证据
英特尔预览Optane持久存储器,QLC SSD甚至PLC
最新邮局地平线问题修复了软件更新责备
芬兰的安全机构在网络攻击后合作
网络犯罪分子挖掘Web社交工程工具包
Techuk说,行业反对No-Deal Brexit Farens说
新加坡忍者面包车的谷歌云诱惑
政府规划“无法送达”ESN
IBM,McAfee在开源安全联盟的创始人中
HMRC与Capgemini延伸合同,但嵌入灵活性
大学诱人的网络罪犯目标,警告NCSC
数据挑战危害政府的服务条款
趋势科技购买云安全公司扩大产品
McAfee警告建筑控制器的严重安全缺陷
自由钢与Infor造成未来的增长
IBM介绍Z15大型机与安全数据护照
formjacking占主导地位有关的网络相关数据泄露
Norman Remave Cryptominer征服网络
西米兰兹齿轮的下一阶段为5克
CommVault添加了金属SaaS备份和HEDVIG功能
Brexit扰乱了FCA探索批发银行的数据使用
市长推出建立建筑物的指导,以增加移动覆盖
RSA说,无密码的企业已经成为可能
跨政府合作是克服遗产问题的关键
私募股权在Sophos上播一
Fireeye说,医疗保健面临三联网络威胁
NVIDIA需要聊天距离会话AI的一步
华为:新鲜心态需要加快5G开发
TFL使用人工智能运行伦敦的道路网络
大多数英国公司都忽略了科技投资的安全性
SAP CEO Bill McDerMott下降
APAC企业温暖到S / 4 HANA
恶意软件仍然是最重要的安全威胁,说Infosec Pros
Gartner:5G推出无法淘汰智能手机销售
边缘计算,5G刺激移动混合现实市场
政府推出AI采购指南
澳大利亚准备开放银行
Data Drives如何在梅赛德斯-Metronas Motorsport上获胜
瑞典当局介绍机器人来帮助社会工作者
Splunk.conf 2019:技术倡导,宣传和对技术妇女的信心
尽管“退休”,但甘刀赎金软件作家仍然活跃
TSB与Silicon Valley Tech公司合作,帮助中小企业客户带卡付款
NHSX旨在精神卫生服务转型
NHS共享业务服务集“简化”公共部门云采购框架直播
阿布扎比国家石油公司为集团间网络使用区块链
云paks在红色帽子上炫耀一个'大胆的步骤'为IBM
CIO采访:Matt Harris,It Head,Mercedes-Amg Petronas Motorsport
Microsoft Nixes更新推迟设置,但为我们提供了一个TargetReleaseversionInfo
OpenReach测试农村宽带构建的新挖掘技术
邮局更改IT领导力重新洗牌决定
您的位置:首页 >产品 > 智能硬件 >

Equifax诉讼提供了更多针对密码的证据

2021-09-04 15:44:11 [来源]:

“粗俗不足”的数据保护措施“未能满足最基本的行业标准”,以及使用用户名和密码“管理员”保护用于管理信用纠纷的门户只是陷入困境的一些指控信用服务提供商Equifax。

这些指控在2017年9月违约的证券欺诈课程诉讼中,违反了数百万用户的个人详细信息。

2019年1月在美国向美国北部地区法院提交了诉讼,并详细阐述了Equifax的无数危险网络安全缺陷,导致2017年曝光数百万的个人数据。

随后的反冲已经包括在美国征收高达700万美元的罚款,英国500,000英镑,最高的优势前GDPR,以及Equifax在其用户之间的声誉的裁判。

诉讼详细规定了数据违规方式是如何完全忽略基本网络安全卫生的“Equifax数据安全系统中广泛缺点的必然结果”。

除了使用可笑的用户名和密码之外,这些还包括未能实施修补协议,其中一个不知不觉的唯一任务,在其整个网络中管理修补;未能加密敏感数据,而是将其存储在公共可访问服务器上的纯文本中;网络监测不足和威胁警报实践;认证措施不足;并使用过时的软件。

“总的来说,根据网络安全专家的说法,由于系统组织无视网络安全和网络卫生最佳实践”,“诉讼”,“灾难性违规的突破性的系统是不可避免的,”诉讼说。失败也加剧了违约的影响。

ONELOGIN副总裁Stuart Sharp Stuart Sharp表示,来自两岁突破的最新突破又称,密码是改变所需的适当安全措施的想法。

“人类是我们网络安全防御战略中仍然最薄弱的联系,以及没有人认为更改默认的'管理员的用户名和密码是单独密码无效的另一个原因,”夏普说。

“组织仍然太随意,敏感数据。IT部门需要实现​​进程来强制执行默认密码和黑名单使用常用密码的更改。另一种解决方案是实现MFA [Multifactor认证]。如果已实现MFA,那么如果您的用户名和密码受到损害并不重要。“

Hugo Van Denorn,Outpost24进攻安全的经理,承认它可能是艰难的 - 确实几乎是不可能的 - 跟踪每个系统及其安全姿势,特别是在与有机种植的景观的组织中。

虽然使用管理员作为用户名和密码“听起来很容易”,但他说,“有一个原因在每笔钢笔测试中,我们仍然尝试使用默认和易于猜测的凭据登录”。

“特别是在不构成任何关于这种情况的情况下,数据分类和安全评估应该在保护组织中发挥着重要作用。如果系统用于访问,改变,交易或以其他方式与分类为敏感的数据交互,则组织应考虑建立适当的安全措施,“梵德说。

“这应该在系统投入使用之前完成,最好是在其生命周期的设计阶段。每当系统受到变更或合规性的情况下,整个安全措施的有效性,应重新评估。当系统受违规影响时,同样适用。

“如果发生了一些事情,请回去和主观评估您是否仍然在做正确的事情。这应该包括查看密码策略,访问控制和数据分类 - 在这种情况下,这应该涵盖“管理员”不是强密码的事实。“

托德彼得森,身份和访问管理福音师在一个身份中添加:“equifax违规是一个非常聪明和激励的黑客做一些惊人的东西来获得数据,这将是一件事。

“但由于它是目标的情况,忽略了最低最佳实践并支付了潜入的重要价格,发生了令人震惊的事情。在Equifax的情况下,只需做正确的事情(这将是大约一分钟实施)就会将公司从一个麻烦的世界中拯救出来。“

彼得森表示,企业无法从其网络安全姿势的任何其他方面对待数据库安全 - 显然不是不共享管理员密码,如果他们必须这样做,那么跟踪谁拥有它以及他们需要它的原因。

企业还应该做更多的是要确定是否有人使用管理员凭据进入数据库,并使用正确设计的分析。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。