在约翰·库格怀旧颂歌《樱桃炸弹》中,他怀念往昔美好时光写道:"那时运动就是运动。"
上周,我怀念那些美好的旧时光,那时数据泄露就是数据泄露……
众所周知,5月3日美国银行宣布黑客从其ADP员工门户系统窃取了部分员工的W-2信息及其他数据。该事件被广泛报道并称为"5月3日ADP数据泄露事件"——事实证明,这个名称多少有些名不副实。
部分背景信息主要摘自始终出色的《克雷布斯安全专栏》 此处。
攻击者从未知来源(截至本文撰写时,既非ADP也非美国银行)窃取了受害者的个人信息(出生日期、社会保障号码等)。随后,这些不法分子:
- 不知通过何种途径获取了美国银行ADP门户的URL及公司代码,该银行承认其向员工发布该信息时几乎未设置任何限制。
- 黑客通过某种方式将窃取的姓名、社会安全号码和出生日期与尚未注册ADP门户登录账号的美国银行员工信息关联起来,这意味着他们能利用已公开的URL和公司代码,在ADP门户中为这些员工创建密码。
- 随后,他们入侵了员工的ADP门户系统,获取W-2表格及其他数据,进而用于提交虚假纳税申报表并骗取退税款项。
现在进行多项选择题测试。本案例中遭受"数据泄露"的组织是:
A. ADP
B. 美国银行
C. 美国国税局
D. 我不知道……
我选D。
那么,ADP是否需要重新审视其客户在企业门户中注册新员工的流程?当然需要。美国银行是否应更谨慎对待ADP门户注册网址及公司代码?毫无疑问。ADP是否遭遇了"数据泄露"?从传统意义上讲,绝非如此。
如果有人盗用我的信用卡在百思买购买平板电视,是否意味着百思买遭到了数据泄露?
人们常说谣言传遍半个世界,真相才刚穿上靴子,我觉得这句谚语在此或许也适用。
未来几周我们将逐步了解该事件的更多细节,但目前看来,将此事称为"ADP数据泄露事件"——这种描述会让人联想到黑客潜入ADP网络、窃取高级凭证并盗取大量W-2表格——显然更像是谣传而非事实。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
