近日,eBay宣布:一个包含加密密码和非财务数据的数据库遭到黑客攻击,数据出现泄露,因而建议其1.45亿注册用户修改密码。据悉,此次数据泄密发生于今年2月底至3月初,被盗数据库中包含eBay用户的姓名、加密密码、电子邮件地址、通信地址、电话号码和生日等信息,但并不包含任何财务信息和其他敏感的个人信息。eBay于两周前发现,有员工的账号登录信息被窃取。
针对此次事件,卡巴斯基实验室的安全专家Alex Gostev表示:“eBay作为国际大型在线销售平台之一,一直是网络犯罪分子的攻击目标。此次攻击则属于典型的针对性攻击。虽然目前eBay表示被攻击的数据库不包含财务信息和敏感个人信息,但是PayPal在线支付服务已被攻破,eBay用户被钓鱼”风险加剧。”
据卡巴斯基的安全专家研究,由于PayPal在线支付服务被攻破,且eBay用户的姓名、加密密码、电子邮件地址、通信地址、电话号码和生日等信息被泄露,网络犯罪分子可以据此向其用户发送伪装性更强的钓鱼攻击。可以说,用户面临的风险不在于数据库是否被窃,而在于受此新闻启发的黑客会虚构eBay或PayPal的警告钓鱼邮件来持续窃取受骗用户的数据
此次事件再次给企业用户敲响了安全警钟,毕竟eBay这样的在信息安全方面较慎重的国际企业都难免沦陷,国内的企业们应当引以为戒。
企业信息安全建设有时不仅要考虑投入和成本问题,更重要的选择正确、可靠地产品。网络犯罪的技术化进程近几年来一直呈上升趋势,企业安全防御也许与时俱进。选择什么样的安全服务提供商,应用的安全解决方案的是否具备足够的技术含量、产品部署是否符合自身业务特点和需要均是需要企业IT部门仔细斟酌的关键点。