勒索攻击下,受害者的及时知情权似乎正在被剥夺。
Domino(达美乐)在给客户的电子邮件中说:公司在2021年3月24日发生了一次信息安全事件,相关系统遭到了黑客的攻击。我们迅速采取行动遏制了违规行为,并聘请了外部机构进行影响评估。
尽管达美乐没有明确表示哪些数据的详细信息被泄露,但它重申,与客户的财务信息有关的任何数据都没有受到损害。因为该公司原本就不会存储用户的详细财务信息,例如完整的信用卡号、CVV、密码等。
目前,达美乐已经向有关当局进行了事件上报,并且向网络犯罪小组提出了投诉,及雇用了一家全球法证机构来调查安全问题。
有趣的是,攻击事件发生在3月24日,而4月份相关数据已经在暗网上进行销售,此后,达美乐才开始通知客户。此次受影响的主要是1.8亿来自印度的客户,泄露数据包括邮件地址、手机号码以及客户的经度和纬度信息,并且黑客表示将很快公开付款细节和员工档案。
回顾近期发生的众多勒索攻击事件,可以发现不同企业的不同应对反应:
受害者 | 影响 | 处理方式 | 来源 |
国内某地产公司 | 3TB以上的数据库 | 隐瞒不报,未发布安全通告 | 2021年5月24日;凯勒网 |
音频设备公司Bose | 现任和前雇员的个人信息 | 未第一时间告知客户( 3月上旬遭到攻击,5月19日才通知受影响的客户) | 2021年5月26日;securitymagazine |
达美乐 | 1.8亿客户数据 | 未第一时间告知客户 | 2021年5月26日;prodigitalseva |
美保险公司CNA | 系统的访问权限 | 曾试图自行恢复数据,一周后仍未成功遂决定和攻击者进行谈判,并在两周后支付款项 | 2021年5月24日;propertycasualty360 |
1.是否支付赎金
目前国际上的声音更多表示:建议不支付赎金,否则会进一步助长勒索犯罪团伙的气焰,而高额赎金将刺激更多恶意分子成为勒索软件服务的加盟者。但是,以Colonial勒索事件为例,由于基础设施被勒索,巨大的潜在威胁和破坏性使得Colonial Pipeline 在5月7日就向Darkside支付了近 500 万美元赎金。因此,受害者的利益权衡导致了赎金是否支付问题的摇摆。
2、多久通知受影响的用户
勒索攻击往往伴随着数据泄露,而泄露的数据一般会被公布在勒索软件运营商的专用站点上或是在暗网上进行批量售卖。敏感信息泄露将为受影响的用户带来可能的攻击风险。而用户是否能拥有知情权?以及是否可以及时拥有知情权?目前大多数受到勒索攻击的企业会选择“内部处理”,而从发现网络攻击到告知用户,这一过程需要30-60天不等,甚至有些客户无法得知相关讯息。
根据Palo Alto Networks的数据,2020年的平均勒索赎金为312493美元,比上年增长171%,其中势必还有许多未被披露的勒索攻击事件,或是隐瞒了支付赎金行为的企业。在勒索盛行下,国家层面打击勒索犯罪的行为持续进行,与此同时,企业也应该为其客户的信息安全做好“事前”的安全保护,以及“事后”的及时通知。