資料來源

2007是資安缺口不斷創新紀錄的一年，不過專家們預測2008年可能會更遭。今年的資料外洩、漏洞等問題有多嚴重呢？往好的方面想，至少可能會比明年好。(資安之眼編譯)

伴隨著2008年各式各樣的資安預言 - 更多駭客社群的不法行為、更多網路應用程式的攻擊、更多網路釣魚、更多垃圾郵件、更多0day攻擊和虛擬化相關的威脅。我們可以開心回顧一下2007年相對平靜的日子。

這無法讓你振奮嗎？那麼讓我們一起來看看2007年一些值得注意的安全事件。你只要記住：一切都已經過去了….

2007年最糟糕的五件資料外洩事件

HMRC錯置了2500筆青少年的紀錄

英國稅務海關在11月遺失了2500萬青少年的記錄。當被揭露其遺失了儲存有2500萬青少年福利索賠資訊的光碟，英國稅務海關就成功到達了VA級的地位。這些沒有加密的光碟，是在運送到國家審計署的途中遺失的，裡面包括了銀行帳戶資料以及國民的身份證號碼。分析公司Gartner預計，由於此次資料洩露事件而需要進行賬戶關閉及重建來防止受到潛在的詐騙行為，大約需要花費5億美元。

一枝獨秀：TJX公司

2006年資料洩露的新聞中，大多數都與美國退伍軍人事務部有所牽連，但在今年，商業利益相關類別也能得獎——特別是麻薩諸塞州Framingham的零售巨頭TJX公司。它在一月時被揭發洩露事件，這成為有史以來最大的信用卡資料安全問題，而揭露時實際上已經是在事發之後幾個月了。

據TJX公佈，超過4560萬的消費者信用卡號在超過18個月間受到入侵。然而，一些銀行則對其提起控訴，指出實際的數量是9400萬張信用卡，其中大部分是Visa所發卡的。這次資料洩露事件引起了眾多訴訟官司以及對更強大的資料保護法律要求——此外，不幸的是，還引起了一陣信用卡盜刷事件。

雖然它的影響範圍很廣，以致Forrester Research預言，稱這次洩露事件將在接下來的幾年間花費TJX十億美元，但有些人則認為這種論斷有些言過其實。在洩露時間被揭發後大概11個月內，我們看到這個數字並沒有這麼誇張：TJX自己估計，公司大概為此次事件付出了將近兩億五千萬美元的費用。

Fidelity National Information Services

Fidelity National Information Services的子公司Certegy Check Services的資深資料庫管理員，非法下載資料並出售給掮客，導致超過8500萬個人資訊洩露。

Fidelity National是從著名的富達投資公司分離出來的，當此事件在7月份首度被披露時，它們表示僅有2500萬份記錄洩露出去。幾週後，它又悄悄地在美國證券交易委員會的檔案中將這個數字提高到8500萬。根據公司所說，被竊取的資料是出於直接行銷的目的，而非身份竊賊或者是其他類型的詐欺。

盜亦有道：TD Ameritrade

大型網路證券商TD Ameritrade在9月份被披露，有人入侵了他們其中一個系統，竊取了超過6200萬零售業和公共團體用戶的合同資訊，諸如名稱、地址和電話號碼。然而，根據公司所說，儲存在同一個資料庫中的社會安全碼和帳戶號碼卻完好無損。被竊取的資料似乎只是用來發送與股票相關的垃圾郵件。

駭客攻擊的產物

Monster.com大約有1600萬求職者的姓名、電子郵件位址、電話號碼和簡歷ID在8月份洩露。雖然其宣稱為駭客所為，但實際上這些資訊是由於攻擊者使用了非法的帳號和密碼而存取到的——這極有可能是從一些專業的招聘人員以及使用Monster.com服務的HR相關人員那裏竊取。慶幸的是，在這次資料洩露事件中，沒有社會安全號碼或者是金融資料被竊取。

值得注意的資安災難

你複製了自己嗎？：DHS自己創造的DDoS攻擊

透過Email訂閱來自國土安全部每日新聞的使用者發現他們的收件夾被彼此的郵件塞滿，這都多虧了一名在DHS承包廠商工作的管理員的明顯技術錯誤。在10月初，一名訂閱者發送了一封帶有更改投遞請求的回復到管理員處，這封電子郵件就自動地被在發送到列表中所有的訂閱者的Email中。

在數小時內，許多訂閱者都回復了最初的郵件，每封回復也就被發送到了列表上所有其他的訂閱者的Email。在當天要結束的時候，產生了超過200萬封電子郵件，結果造成了垃圾郵件的大浪，接著由於這樣而引起的不滿，又導致這些人發出了很多即興的評論、一些諷刺的言語以及取消訂閱的要求——這樣就造成了小規模的分散式拒絕服務(DDoS)攻擊。一些人的電子郵件位址、電話號碼以及聯絡人資訊，包括政府和軍方官員，都在這次騷動中暴露無遺。

Supervalu遭到釣魚攻擊

全美第二大的連鎖超市Supervalu在2月的時候，被釣魚者偽造的兩家供應商銀行賬戶所欺騙，向這兩個賬戶匯入1000萬美元。Supervalu收到了兩封電子郵件，一封稱自己是美國禮品公司，而另一封則來自百事公司的金融部門，要求公司將將來的貨款匯入佛羅里達和阿肯色州的兩個新銀行賬戶。

這兩封電子郵件迷惑了Supervalu，於是它向這兩個賬戶匯入了1000萬美元。對於這家零售商來說，幸運的是，這筆資金在提領之前就被聯邦調查局調查員所找回。

尷尬的關係處理：賽門鐵克在中國

賽門鐵克的防毒軟體在5月的一個更新讓中國數以千計的PC陷入癱瘓。防毒軟體認定簡體中文版的Windows XP SP2中兩個系統檔案為Trojan，因此將它們隔離，於是造成了大範圍的系統癱瘓。讓這次事件更糟糕的是，這兩個特定的檔案要求在安全模式下啟動受到影響的系統，確保所有的應用程式關閉，這在部落格圈引起了強烈抗議。五周之後，尷尬的賽門鐵克決定向用戶提供免費的備份軟體，來平復一些不良影響，並免費延長了這款讓使用者陷於苦惱的防毒軟體服務的訂閱期。

聽我、看我：議會出賣了揭發者

美國眾議院司法委員會在10月份向眾多的揭發人士道歉，因為他們不小心透漏了一些使用委員會網站秘密訂閱者的Email。這次混亂的發生，是由於一名委員會的書記員在發送郵件的時候在發送到區域中不小心包含了所有揭發者的電子郵件位址。在列表中大概超過150個電子郵件位址，包括了一部分個人的真實姓名，其中還包括副總統Dick Chene和一些使用了假名的個人的電子郵件位址。

啊!：WGA把人們視為盜版

8月份的時候，微軟一個伺服器的錯誤導致眾多Vista和XP系統合法用戶被微軟的WGA認定是盜版軟體的系統。這個問題持續了19個小時，在這段時間內，沮喪的使用者們失去了系統中的一些功能，而這些都只能在重新認證之後才能夠重新獲得。這次的技術故障發生在夏天的一個週末，也因此導致了公司的延誤處理。

2007頭條人物

Gary McKinnon

McKinnon是一名英國駭客，美國控告其為入侵最多軍方電腦的人，在2001及2002年他入侵了97台美軍電腦。他並宣稱破解了NASA系統，並發現其中存在著UFO及外星人的資料。McKinnon正面臨著被引渡的可能，如果受審他可能將服刑70年。美國在2002年控告McKinnon的行為造成超過90萬美金的損失，而目前英國法官同意McKinnon仍可對引渡之判決提出上訴。

John Schiefer

這個曾經擔任洛杉磯3G通訊公司安全顧問的人承認，11月時在25萬台PC上大規模地執行了僵屍網路，這些電腦由於廣告程式感染到其他的機器，同時還利用了間諜軟體竊取銀行和PayPal帳戶資訊。他由於四項重罪將面臨60年的監禁，包括網路和銀行詐欺以及非法存取受保護的電腦。法庭證據顯示這是一宗集團犯罪，包括一些未成年人，用密碼盜取的Trojan程式感染超過13萬5千台PC，接著再透過竊取資料存取PayPal和其他金融相關的帳戶。

Gary Min

在他離開杜邦公司去任職一家競爭公司的科學家這個職位前五個月，Gary Min秘密地存取並下載了公司機密的檔案，總共價值估計有4億美元。在那段時間內，他下載和存取檔案超過15次，成為杜邦資料庫系統中活動最頻繁的帳戶，但一直到他離開了公司，投效競爭對手公司後才被抓到。他承認，在2006年11月竊取杜邦公司的產業機密；這次事件在1月份被聯邦檢察官發現後才披露了細節。威爾明頓一名區法院的法官在11月判處Min18個月的監禁，並飭令其支付3萬美元的罰金，且需向杜邦公司賠償1萬4500美元。這個判決實際上比起Min能夠判處最多10年的監禁和25萬美元的罰金來說，已經是很輕的了。

Ivory Dickerson

這名北加利福尼亞土生土長的土木工程師在他承認參與入侵年輕女孩的電腦，並非法獲取資料，恐嚇她們發送她們自己一些照片給他們之後，他被判處了110年的監禁。Dickerson透過MySpace來尋找羅渥德郡內未成年的女孩。當他透過IM或者是電子郵件接觸上了可能上鉤的目標對象，他就誘使她們打開一個包含有木馬程式的檔案，這樣就能夠讓他的共犯們控制她的電腦。接著他就用他利用駭客手段獲取到的資訊來強迫這些女孩發送照片，如果她們拒絕的話就威脅會傷害她或者她的家人。這次的調查發現，不僅她有許多未成年人的照片，還有很多露骨低級的照片，足以令人作嘔。

Yung-Hsun Lin Lin

一名之前任Medco Health Solutions公司的Fair Lawn, N.J辦公室的Unix系統管理員Lin Lin認罪，承認他在9月份的時候製造了邏輯炸彈摧毀了超過70台伺服器上的一些關鍵資料，包括為個人配置的處方藥品資料。他在2003年製造這個炸彈最初是認為，他會在Medco與藥品製造商Merck & Co合作之後失去這份工作。這個炸彈最初是計劃在Lin 2004年的生日時爆炸，但設置失敗後他重新設置了日期，將其定在下一年的同一個日子。這個炸彈在2005年1月早期被發現，也就是在它計劃會觸發的前幾個月。Lin在法庭上認罪，他的行為導致了超過5000美元的損失。他預計在1月8日被審判。他面臨的是最長可達10年監禁的判決和25萬美元的罰金。

Maxwell Butler

也被人稱作是Max Vision，這個過去的安全顧問在9月被聯邦陪審團控告了三項網路詐欺的罪狀和兩項竊取身份資訊的罪狀。Butler使用了眾多網路化名，包括Iceman、Digits和Aphex，他利用駭客手段入侵多處金融機構以及信用卡公司的網路，並出售從這些系統中竊取的賬戶和身份資訊。他甚至出售盜刷所購買的商品，以作為支付給同夥的報酬。

Butler曾經是安全社群上一位著名的研究員，在2000年，他承認了一項重罪，那就是入侵軍事機構和政府的電腦，並為此度過了幾年牢獄生活。他還被指控入侵PC遊戲開發商Doom an Quake的網路，並竊取了數百個存取加州ISP的密碼。