2021 年报告 ： 《财富》 1000 强曝光

2021年报告：《财富》1000强曝光 2021年报告：《财富》1000强曝光 概述关键发现 一览：《财富》1000强企业凭证曝光的泄露按部门分列的公开公司证书密码重用：按行业划分的最差罪犯财富1000强员工最喜欢的密码恶意软件收集的凭据按资产类型划分的其他违约风险按部门划分的违约风险航空航天与国防服装商业服务化学品能源工程与施工财务食品和药品商店食品、饮料和烟草保健酒店、餐厅和休闲家居用品工业材料媒体汽车及零部件零售技术电信运输批发商 Overview 今年，我们在数据集中发现了超过5.43亿条违规资产，这些资产与财富1000强员工电子邮件直接相关，比去年的报告增加了29%。为了证明这些数据对企业安全构成的威胁，此分析按资产类型和部门（如财富定义的那样）处理数据。 鉴于近年来数字服务的爆炸式增长以及2020年全球向远程工作的转变，大多数人正在比以往任何时候都更多地在线登录。难怪用户通常会依赖易于记住的弱且重复使用的密码-犯罪分子也很容易利用这些密码。 对于企业而言，不良的密码卫生使敏感的公司资产容易被恶意行为者触及。即使在美国最大的公司中，数据泄露也会泄露员工重复使用的密码或个人信息，这可能有助于犯罪分子避开复杂的安全措施，并获得对公司资源的特权访问。每个新的漏洞都为不良行为者提供了更多的被盗数据来利用。 关于SpyCloud数据 真正可行的违规数据，以防止账户接管SpyClod使用Hma Itelligece(HUMINT)快速恢复数据，通常在数据泄露发生后的几天内。我们独特的数据清理和密码破解过程可以更快地显示受损的凭据，并具有更高的匹配率。访问这个庞大的漏洞数据库使企业能够快速识别暴露的账户并对其采取行动，防止这些风险进入账户收购。SpyClod保护了超过20亿个员工和消费者帐户，使其免受帐户接管和后续攻击，例如信用卡欺诈，网络钓鱼和勒索软件。.在spycloud.com上了解更多信息. SpyClod连续第二年分析了我们的整个数据库，以展示影响大型企业的漏洞暴露范围，特别是财富1000强的漏洞暴露。迄今为止，SpyClod已收集了超过1000亿的违规资产，它维护着业界最大的被盗凭证和PII存储库，在使用人类智能进行违规后尽快收集。SpyClod研究人员密切监视地下犯罪分子的被盗数据，这些数据已落入犯罪分子手中，帮助企业客户保护脆弱的用户，并领先于不良行为者。 为了执行我们的分析，我们搜索了包含财富1000公司电子邮件域的违规记录，不包括消费者可用的“freemail ”域。例如，如果财富1000员工使用其公司电子邮件地址（例如example @ employer. com）注册了受攻击的第三方网站，我们就能够将由此产生的违规记录与他们的雇主联系起来。 该分析排除了与公司员工的个人别名相关的违规数据，这些数据也可能与公司身份相关并用于非法获利。它将包括一些已经转移到其他公司的员工。但是，我们希望此分析提供了一个窗口，以了解大型企业面临的帐户接管风险的规模以及监视员工凭据以了解弱密码和重复使用密码的重要性。 关键发现 1.与财富1000强员工相关的数据泄露量惊人。 总体而言，我们发现与财富1000强员工相关的超过5.43亿笔违规资产，比去年增加了29%。在所有行业中，网络犯罪分子可以使用财富1000强员工的近2600万个明文密码，这意味着每个公司平均有25, 927个暴露密码（比去年增加了12%）。 2.即使在财富1000强员工中，跨多个帐户的密码重复使用仍然很普遍。 由于显而易见的原因，我们无法测试暴露的密码以找出哪些密码在工作中被重复使用。但是，在所有暴露多个密码的员工中，我们看到密码重复使用率为76.7％。如果员工在工作之外频繁重复使用密码，那么许多人也可能会回收他们的公司登录信息。 3.电信和技术公司拥有最暴露的公司证书和潜在感染的员工。 总体而言，技术部门拥有最多暴露的证书（670万），并且迄今为止潜在受感染的员工数量最多（13,897）。 其次是总数（分别为600万和2328）。但是，平均每家公司而言，电信行业的表现在这两个类别中最差，平均每家公司有552, 601个暴露证书和212名潜在感染员工，而每家技术公司分别为61, 747和127。 4.在2020年供应链泄露的背景下，航空航天和国防的错误密码引起了我们的关注。 虽然公司名称在所有行业都是流行的密码选择，但看到主要国防承包商的名字突然出现在受欢迎的员工身上，这是令人不安的密码-特别是当您考虑到这些漏洞来自第三方网站时。航空航天和国防部门最受欢迎的十大密码中有六个包括公司名称。 5.犯罪分子可获得133,927名财富1000强C级高管的证书-29％来自金融部门。 仅金融部门就有超过39, 328名暴露的C级高管。然而，平均而言，酒店，餐厅和休闲部门的每家公司的高管最多：每家公司320名，而金融部门的每家公司243名。 财富1000强的公司凭证曝光 按部门分列的公开公司证书 在SpyCloud数据集中，我们发现了近2600万对包含《财富》1000强企业电子邮件地址和明文密码的凭据。虽然并非每个凭据对都与企业登录详细信息匹配，但匹配的凭据对这些企业及其客户和合作伙伴来说都是巨大的风险。 当凭据在数据泄露中暴露时，网络犯罪分子不可避免地将其与其他各种在线站点进行测试，从而接管受相同登录信息保护的任何其他帐户。如果这些被盗凭据包含公司电子邮件域，则犯罪分子有明显的线索，即他们可以提供对有价值的企业系统，客户数据和知识产权的访问。 从理论上讲，考虑到公司密码保护的资产的重要性以及公司安全团队通常提供的强大指导，公司密码应该是强大的。在实践中，许多员工在工作中习惯了不良的密码卫生，一些公司的密码政策甚至鼓励不良习惯。过时的政策，如严格的复杂性规则和强制性的90天密码轮换，使密码更难记住，导致员工做出不安全的选择，如回收他们喜欢的密码版本。这就是为什么国家标准与技术研究所（NIST）的最新指南要求组织主动检查“常用，预期或受损”的用户密码，以有效减轻人类行为带来的风险。 密码重用：按部门划分的最糟糕的罪犯 密码重用十分猖獗。对SpyCloud数据库的分析发现，在2020年，我们数据库中的电子邮件地址的密码重用率达到了60%。对于财富1000强的员工来说，这一比率甚至更糟；尽管你可以想象风险（和安全措施）特别高，但我们发现平均密码重用率为76.7%。 在我们的财富1000强企业违规暴露数据集中，我们检查了有多少员工在多个网站上重复使用了相同的密码或相似的变体，然后为每个行业分配了密码重用索引。百分比越高，员工密码重用率越高。 在我们的数据集中有多个重复使用密码的员工可能会或可能不会在工作中重复使用密码-如果不检查他们的实际工作密码，我们无法确定。但是，跨个人帐户的密码重复使用确实提供了员工整体密码卫生状况的指示。 123456密码aaro431[公司名称]loparer456a33研究12345[已修改]关闭[公司名称]密码1abc123密码1[公司名称]123456789123456781234阳光111111欢迎[已修改]cd[已修改]dor[已修改][已修改][已修改]cb[已修改]cb qwarermagertymsh 财富1000强员工最喜欢的密码 有数百个帐户可以跟踪，难怪人们会采取捷径来记住他们的登录凭据。除了在每个帐户中回收一些收藏夹的变体之外，人们还经常使用简单的密码，这些密码很容易记住，而且很容易被犯罪分子猜测。犯罪分子经常在密码喷洒攻击中使用常用密码列表，即使用户没有故意重复使用该密码，也会将密码较弱的帐户置于危险之中。 names,whichappearedveryfrequently,aswellasseveralvariationofapopularfour-letterwordthatweoptednottoprint.) 虽然这些示例中的大多数都无法通过基本的公司密码策略，但人们倾向于以可预测的方式转换基本密码以绕过复杂性规则。例如，“password ”在工作时可能变为“ Password1 ”或“Passw0rd! ”。不幸的是，犯罪分子非常了解这些模式，复杂的帐户检查工具使犯罪分子可以轻松地大规模测试暴露密码的变化。 财富1000强员工遵循与我们其他人相同的模式。下面的每个密码在我们的数据集中出现了数百甚至数千次。(我们已经编辑了公司 111111123abc letmein 10pace 密码 足球 welcome1猴子妮可 [修订]cd [公司名称] 1234567 密码密码密码密码密码 123456 恶意软件收集的凭据 受感染员工的危险 本报告中并非所有暴露的数据都来自数据泄露。SpyCloud还恢复了僵尸网络收集的一些信息。带有键盘记录组件的恶意软件或“窃取程序”可以从不知情的用户受感染系统中窃取诸如浏览器历史记录，自动完成数据，cookie，屏幕截图，系统信息，加密钱包和登录凭据等信息。 与漏洞数据一样，僵尸网络窃取的信息由网络犯罪分子收集，在小圈子中共享，有时还会发布在黑客网络论坛上。当SpyClod能够恢复其中一些机器人日志时，我们会解析受感染受害者的用户名、URL和密码，以帮助消费者和组织保护自己。对于本报告，我们搜索了财富1000强公司电子邮件地址的这些记录，以识别可能正在使用受感染的个人或公司系统的员工。 SpyCloud总共确定了28,201名潜在感染的《财富》1000名员工，平均每家公司有28名受感染的员工。 这些感染捕获的数据的广度可能会给企业带来灾难性的后果，无论受影响的设备是个人还是企业。带有键盘记录组件的恶意软件可以记录员工的一举一动，捕获浏览器历史记录、文件、系统信息以及公司和第三方资源的登录数据。不良行为者可以使用此信息绕过多因素身份验证，登录公司网络，窃取敏感数据，授权欺诈性交易等。即使没有确切的公司登录，犯罪分子也可以很容易地勒索，勒索，欺骗或冒充受害者，以扩大他们对公司资源的访问权限。 受感染的消费者怎么办？ 除了受感染的员工，我们还确定了 财富1000强服务的1100万潜在感染消费者。这些是面向财富1000强消费者的网站的用户，其中僵尸网络日志显示他们在登录页面上输入用户名和密码时被感染（例如，jim@hotmail.com在登录signin.fortune1000company.com时被感染）。 由于本报告的范围，这些行业的受感染消费者的真实数量可能更高；例如，我们从该分析中排除了许多仅限消费者的领域。我们还删除了用户名而不是电子邮件地址的凭据，因为不清楚它们是员工还是消费者记录。但是，这些受感染的消费者中的每一个都面临着极高的帐户接管，身份盗窃和在线欺诈风险，这可能会给受影响的企业带来重大损失和品牌损害。 以下是网络犯罪分子利用消费者被盗信息的几种方式： 从加密钱包、投资组合、支付应用程序和其他账户转移资金使用帐户中存储的信用卡信息或礼品卡发出欺诈性订单与账户关联的虹吸忠诚度积分使用存储的设备信息进行保修欺诈更改送货地址，以方便包裹盗窃和送货使用浏览器历史记录和其他被盗数据跟踪或勒索受害者出售登录详细信息和浏览器指纹对其他罪犯 超越凭证：按资产类型划分的其他违约风险 违规资产是与单个违规记录相关的一条信息。除了登录凭据，违规资产还可以包括电话号码，地址，社会安全号码，信用评级等等-可以在数据违规中获得的任何类型的信息。虽然被盗凭证为恶意行为者提供了一个明显的切入点，但其他类型的违规资产也可以为网络犯罪分子提供巨大的价值，无论是用于消费者欺诈还是作为获取企业网络、数据、知识产权和资金的手段。 考虑到与这些目标相关的潜在回报，难怪犯罪分子愿意投入大量的精力和创造力来接管他们的账户。 SpyCloud总共收集了与财富1000强员工相关的543,802,413项违规资产。 犯罪分子可能会对受害者进行针对性强的手动攻击，这些受害者具有对公司资