Tidigare denna månad släppte vi en lista som sammanfattar de stora intrången på Internetsäkerheten 2017, från WannaCry till HBO: s 1,5 terabyte läckage till Petya ransomware attacker. Och naturligtvis har vi redan haft en ny cyberattack sedan dess. Läs allt om det här efter att ha tagit några sekunder att sucka kraftigt över cybersäkerhetstillståndet 2017.
Deloitte-överträdelsen
Guardian bröt nyheten i morse: Deloitte – ett av de största privata företagen i USA – hackades i en attack som fortsatte obemärkt i flera månader efteråt.
Deloitte erkänner bara att några få klienter har blivit offer för läckt information.
”Hittills har sex av Deloittes kunder fått höra att deras information” påverkades ”av hacket. Deloittes interna granskning av händelsen pågår.
Guardian förstår att Deloitte upptäckte hacket i mars i år, men man tror att angriparna kan ha haft tillgång till sina system sedan oktober eller november 2016, skriver The Guardian.
Den svaga punkten? Företagets globala e-postserver, som nås via ett administratörskonto som inte har tvåstegsverifiering. Med andra ord var det inte lika säkert som många människors smartphones. Av alla sätt ett företag ska säkra sin information är det en grundläggande information.
Vad det betyder
Stephen Cox, Chief Security Architect på SecureAuth, hade detta att säga till TechCo som svar på Deloitte-intrånget.
”Missbruk av administratörsuppgifter i Deloitte-händelsen är en stark bekräftelse på att identitet nu är i centrum för informationssäkerhet,” sade Cox i ett uttalande. ”Vi ser brott efter brott som utnyttjar stulna referenser som en attackvektor och även skickliga informationssäkerhetsutövare kämpar med detta hot. En del av problemet är en allmän brist på erkännande av vikten av identitetssäkerhet i förhållande till nätverks- och slutpunktssäkerhet. det här är nu de tre säkerhetspelarna. Vi har högt distribuerade organisationer över lokal infrastruktur och molninfrastruktur. Identitet är limet som binder allt ihop.
Organisationer bör ompröva sin inställning till identitetssäkerhet. Lösenordet är dött och till och med vanilj-tvåfaktorautentisering räcker inte. Vi måste höja ribban med adaptiva åtkomstkontrollmetoder som tillämpar riskanalys och inför en andra biometrisk faktor, vilket eliminerar den helt trasiga tekniken för lösenordsbaserad autentisering. ”
Och fler Equifax-fakta
Samtidigt fortsätter Equifax-nyheterna att utvecklas. Kreditrapporteringsföretagets läckage upptäcktes den 29 juli 2017 och såg informationen från 143 miljoner amerikanska konsumenter, inklusive namn, personnummer, adresser, födelsedatum och till och med vissa körkortnummer.
Nu är nyheter ute att företaget hade köpt ID Watchdog, en identifikationsskyddstjänst, den 10 augusti – två veckor efter att de visste om överträdelsen, men en månad innan de avslöjade det för allmänheten.
”Denver-baserade ID Watchdog, som grundades 2005, tillhandahåller tjänster som kreditövervakning och identitetsstöldmeddelande för $ 15 till $ 20 per månad. Equifax förra månaden sa att man förvärvade företaget för 63 miljoner dollar utan att avslöja vid den tidpunkten att dess system hade trängt igenom och därmed markant förbättrat marknaden för identitetsskyddstjänster, förklarar Fortune.
Polismyndigheter i “cirka 40 stater”, konstaterar Fortune, “undersöker Equifax beteende” som leder fram till och följer dataintrånget. Med risken att göra ett ord så dåligt blir jag målet för en cyberattack, alla dessa hackar räcker för att få mig att gråta.
Läs mer om teknikvärldens säkerhetsutmaningar här på TechCo
