最近, Aetna 遭受了泄露,丢失了 65,000 个 SSN。他们永远无法找到所发生事件的审计线索,这可能暗示攻击利用了 XSS 或类似技术。
是否有特定的已知攻击被坏人反复利用来进行此类攻击?
问问题
440 次
4 回答
3
人们会犯一些常见的错误,人们会使用一些常见的平台。如果不打补丁,每个人都可以使用简单的脚本闯入。
但是,如果有人专门追踪某些东西,在这种情况下是社会安全号码,在有组织的犯罪团伙中具有很高的价值,我本来希望有人花更多的时间来弄清楚该网站是如何工作的,并应用一个自定义漏洞来获取数据。
我也不明白为什么它必须是 XSS。如果他们的系统没有将访问日志发送到服务器之外,甚至没有记录每个入口点,那么有人可以通过多种方法利用可利用的服务器并随后进行清理。
于 2009-06-02T11:28:55.297 回答
2
目前还不清楚这是一次技术故障,鉴于尚无定论的取证,在我看来,这更有可能是人为故障,无论是社会工程、火车座位上留下的数据还是心怀不满的员工.
AFAIK 真正留下零审计线索的唯一方法是不编写审计。单独记录 HTTP 流量总是会给你一些基于 HTTP 的攻击的证据。
于 2009-06-02T11:27:46.970 回答
1
我已经看到了一些自动攻击的结果,他们做的第一件事就是禁用日志记录,并删除所有日志。
这就是为什么将日志记录位置更改为非标准路径很常见的原因 - 它不会对坚定的攻击者做任何事情,但它会在自动攻击的情况下为您提供更多信息。
于 2009-06-02T12:03:15.773 回答
0
至少可以说,缺乏审计线索并不奇怪。没有多少公司保留有意义的审计线索。当然,通常会有千兆字节和千兆字节的日志,但谁会经历所有这些呢?大多数 IT 地方只会在它足够老的时候就将其转储,因此完全有可能发生这种违规行为,并且他们已经转储了日志,因为从文章中看起来他们直到垃圾邮件才知道可能的违规行为开始进来了。
我怀疑是糟糕的 IT,而不是一些导致缺乏审计线索的巧妙攻击。
于 2009-06-02T12:16:14.577 回答