Equifax诉讼提供了更多针对密码的证据
“粗俗不足”的数据保护措施“未能满足最基本的行业标准”,以及使用用户名和密码“管理员”保护用于管理信用纠纷的门户只是陷入困境的一些指控信用服务提供商Equifax。
这些指控在2017年9月违约的证券欺诈课程诉讼中,违反了数百万用户的个人详细信息。
2019年1月在美国向美国北部地区法院提交了诉讼,并详细阐述了Equifax的无数危险网络安全缺陷,导致2017年曝光数百万的个人数据。
随后的反冲已经包括在美国征收高达700万美元的罚款,英国500,000英镑,最高的优势前GDPR,以及Equifax在其用户之间的声誉的裁判。
诉讼详细规定了数据违规方式是如何完全忽略基本网络安全卫生的“Equifax数据安全系统中广泛缺点的必然结果”。
除了使用可笑的用户名和密码之外,这些还包括未能实施修补协议,其中一个不知不觉的唯一任务,在其整个网络中管理修补;未能加密敏感数据,而是将其存储在公共可访问服务器上的纯文本中;网络监测不足和威胁警报实践;认证措施不足;并使用过时的软件。
“总的来说,根据网络安全专家的说法,由于系统组织无视网络安全和网络卫生最佳实践”,“诉讼”,“灾难性违规的突破性的系统是不可避免的,”诉讼说。失败也加剧了违约的影响。
ONELOGIN副总裁Stuart Sharp Stuart Sharp表示,来自两岁突破的最新突破又称,密码是改变所需的适当安全措施的想法。
“人类是我们网络安全防御战略中仍然最薄弱的联系,以及没有人认为更改默认的'管理员的用户名和密码是单独密码无效的另一个原因,”夏普说。
“组织仍然太随意,敏感数据。IT部门需要实现进程来强制执行默认密码和黑名单使用常用密码的更改。另一种解决方案是实现MFA [Multifactor认证]。如果已实现MFA,那么如果您的用户名和密码受到损害并不重要。“
Hugo Van Denorn,Outpost24进攻安全的经理,承认它可能是艰难的 - 确实几乎是不可能的 - 跟踪每个系统及其安全姿势,特别是在与有机种植的景观的组织中。
虽然使用管理员作为用户名和密码“听起来很容易”,但他说,“有一个原因在每笔钢笔测试中,我们仍然尝试使用默认和易于猜测的凭据登录”。
“特别是在不构成任何关于这种情况的情况下,数据分类和安全评估应该在保护组织中发挥着重要作用。如果系统用于访问,改变,交易或以其他方式与分类为敏感的数据交互,则组织应考虑建立适当的安全措施,“梵德说。
“这应该在系统投入使用之前完成,最好是在其生命周期的设计阶段。每当系统受到变更或合规性的情况下,整个安全措施的有效性,应重新评估。当系统受违规影响时,同样适用。
“如果发生了一些事情,请回去和主观评估您是否仍然在做正确的事情。这应该包括查看密码策略,访问控制和数据分类 - 在这种情况下,这应该涵盖“管理员”不是强密码的事实。“
托德彼得森,身份和访问管理福音师在一个身份中添加:“equifax违规是一个非常聪明和激励的黑客做一些惊人的东西来获得数据,这将是一件事。
“但由于它是目标的情况,忽略了最低最佳实践并支付了潜入的重要价格,发生了令人震惊的事情。在Equifax的情况下,只需做正确的事情(这将是大约一分钟实施)就会将公司从一个麻烦的世界中拯救出来。“
彼得森表示,企业无法从其网络安全姿势的任何其他方面对待数据库安全 - 显然不是不共享管理员密码,如果他们必须这样做,那么跟踪谁拥有它以及他们需要它的原因。
企业还应该做更多的是要确定是否有人使用管理员凭据进入数据库,并使用正确设计的分析。