Tor浏览器共同创造者:Experian Breach显示加密可能不是安全性灵棍
一些安全专家周五表示,experian / T-Mobile Hack可能比Experian的仔细措辞描述更令人担忧。
一个是Tor Secure Browser,David Goldschlag的共同创建者(现在在脉冲安全的策略SVP)。Goldschlag以前是McAfee的Mobile Head,也曾在NSA工作。
我问Goldschlag一个简单的问题:“在人事管理办公室和experian Hacks之后,有理由担心黑客现在有手段窃取银行或保险公司的实际财务信息(信用卡号码等)吗?”
Goldschlag没有直接回答这个问题,但他的答案很令人不安。
“Experian在个人识别未存储加密的信息和被加密的信用卡信息之间进行区分 - 既被黑了攻击,”Goldschlag写在通告博格的纸条中。
“Experian补充说,黑客可能也能够解密加密的信息,”他说。(Experian的首席执行官承认了这一点。)“因此,以加密的形式存储信息可能不是人们期望的灵丹妙药。”
他解释道,“Experian有理由拥有信用卡信息,也许可以查看账户余额,这意味着Experian有解密加密信息的系统和应用程序。如果黑客使用这些系统窃取信息,那么黑客将看到解密的信用卡号码。“
实际上,如果黑客能够解密数据,它会绘制攻击的非常不同的图片及其含义。“如果加密的数据受到损害,那将表明Experian网络的非常有效和广泛的折衷,最有可能因某种管理员凭证受到损害而导致的,”趋势科学的克里斯托弗·佛州在一份声明中表示。
Goldschlag认为更好的身份验证是将脆弱性和其他安全威胁的脆弱性降低的关键。基本身份验证技术通常用于保护银行信息,但最近在Ashley Madison,人事管理办公室的大规模违规,以及Experian的大规模违规,表明某些类型的信息需要更大程度的身份验证作为一种防御形式。
回到2012年,黑客通过窃取德克萨斯州银行的账户凭据来获得对experian服务器的访问权限。黑客可能通过窃取T-Mobile帐户持有人的凭据来获得对Experian服务器的访问权限。
“Experian Breach是一个由其第三方供应商之一受到影响的公司的另一个例子,”趋势科技的奉献趋势说。“这种情况类似于心脏地带支付系统违约,进一步重申,负责处理财务信息的公司如何继续成为链条的薄弱环节。”
在Experian的问答页面上,它表示有关信用卡数据的曝光:“根据我们的调查,在迄今为止的调查中访问的文件中没有包含的信用卡号码或帐号。”
一家安全公司表示已经发现它已经发现了销售了窃听的暗网上的T-Mobile数据的广告。
只有时间将告诉来自Experian Hack的数据最终将其陷入身份盗贼之手,以及他们对其的伤害。