2022 年财富 1000 强身份曝光报告

目录 Overview03040506关键发现一览：财富1000强身份曝光财富1000强的公司凭证曝光按部门划分的暴露凭证密码重用：按部门划分的罪犯更糟糕财富1000强员工最喜欢的密码被恶意软件吸入的数据0809受感染员工的危险受感染消费者的风险同样高超越凭证：按资产类型划分的其他风险敞口按部门划分的财富1000强身份暴露1119 航空航天与国防服装家用产品Industrials商务服务化学品Materials媒体能源机动车辆及零件Retailing工程与建筑Financials技术食品和药品商店食品、饮料和烟草Health Care电信交通运输批发商酒店、餐厅和休闲 Overview 例如，如果财富1000强员工注册了使用其公司电子邮件地址侵入第三方网站，例如jonsmith @ example. com，我们能够将由此导致的违规记录给他们的雇主。 随着世界从上一次大流行开始反弹今年，迈向数字时代的步伐仍在继续。更多企业接受混合工作模式，而不是要求完全返还fiCE和员工继续处理Web和云的更多帐户登录apps。以及工作和个人空间之间的界限-和设备-仍然模糊。 对于我们的分析，我们查看了6.87亿违约资产在我们的数据库中，与财富1000强员工直接相关电子邮件。在这份报告中，我们来看看所有21个行业，找出风险最高的行业，然后对每一个进行更详细的分析。 这些趋势在网络犯罪分子手中发挥了很好的作用，特别是因为员工的不良密码习惯更改。回到弱和重复使用的密码已经长期以来一直是一个问题，但是数字的爆炸式增长工具是给恶意行为者的礼物。 关于SpyCloud数据 SpyCloud的专有引擎收集，策划，丰富，并分析从漏洞中重新捕获的数据，恶意软件-受感染的设备，以及来自犯罪分子的其他来源地下-将其转化为可操作的见解使企业能够快速识别合法用户潜在犯罪分子使用被盗信息，并采取行动以防止帐户接管，勒索软件和在线欺诈。 在过去的几年里，大公司大量投资于复杂的安全措施。每但是，员工添加的新设备或数字帐户，创造了另一条避开这些措施的途径，并且提供对公司资产的访问。所有恶意入侵者需要是一组员工凭据暴露在漏洞中，但在许多情况下，攻击者有很多他们掌握的更多信息，包括高度敏感的信息个人身份信息(PII)从受恶意软件感染的设备，可用于规避MFA和入侵企业网络。 了解更多信息spycloud. com. SpyCloud连续第三年分析了我们的整个 数据库了解违规暴露的范围影响《财富》1000强榜单上的大型企业。与好迄今为止，从犯罪分子手中夺回了超过2000亿资产地下，SpyCloud保持行业最大的已恢复的被盗凭证和PII的存储库，收集为在暴露后使用人类智能尽可能快。 为了执行我们的分析，我们搜索了包含财富1000强企业电子邮件域，不包括可供消费者使用的“freemail ”域。 关键发现 1.在财富1000强员工中，密码重用很普遍。 我们发现了一个64%的密码重用率在我们数据库中的财富1000电子邮件地址中，这些地址在更多这比我们在整个数据库中看到的60%的密码重用率高出4点，但它甚至更令人担忧，因为高密码重用是我们年复一年在财富1000强员工中看到的趋势。这意味着即使是他们的旧曝光也很重要；罪犯会用它们对付员工和他们的企业多年，只要习惯保持不变。鉴于勒索软件攻击的加剧，CISO也越来越关注源于暴露的、重复使用的凭据。 2.数据泄露的风险继续以两位数的速度增长。 与财富1000强员工相关的违规记录同比增长18%至1.266亿。违规记录是一组数据绑定到给定违规中的单个用户，并包括单个违规资产（记录中的数据片段），例如密码和电话号码。违规数量资产与财富1000强直接相关的员工同比增长26%to687.23百万。违约资产同比增长最高的five行业是电信、媒体、工业、技术和商业服务。 3.技术部门引领最高和最严重的暴露。 技术行业在违规记录和密码方面的曝光率最高，也是最高的数字受恶意软件感染的员工和消费者。我们发现2673万我们数据库中的违规记录科技公司。这个数字包括财富1000强公司中所有暴露的泄露记录的21% (所有行业中的最高份额)。此外，科技公司员工拥有超过7百万暴露的凭据，占财富1000强数据集总数的26% (也是所有行业中百分比最高的)。 当我们研究恶意软件感染时，情况变得更糟。到目前为止，科技公司的数量最多受感染的员工设备(34,078在69, 174个总数中)和受感染的消费设备(2060万总计2890万For all Fortune 1000 companies). For context, the numbers for the second highest sectors were 4, 584 infected employees（电信）和290万受感染的消费者（媒体）。随着技术行业拥抱远程或混合工作，工作和个人设备之间模糊的界限可能导致了这种极端的曝光-以及该行业的因此有风险。 4.PII风险敞口正在增长，尤其影响到fiNance、零售和电信等行业。去年，fi金融部门暴露的PII资产数量最高-70.78万(包括近18%的财富1000强的总PII暴露)。零售公司紧随其后，69百万暴露的PII资产。财务公司还拥有最高比例的暴露地理位置资产（23％）和电话资产（21％）。但是当它来与每家公司的PII资产的平均数量相比，电信的数量令人震惊-几乎275万与所有行业的平均值395, 633相比。网络犯罪分子在社会工程和网络钓鱼计划中使用PII获得对公司的访问权限并窃取敏感数据。尤其是在员工中看到大量PII曝光委托大量消费者数据的行业。 5.关键基础设施部门承受着最糟糕的密码卫生火炬。 在大多数财富1000强公司中，我们始终将公司名称排在最受欢迎的十大密码中。在远太多的情况下，我们看到多达一半的10个最受欢迎的密码在一个特殊的fic公司包含company ’ s name. These are foundational misses in password hyaracy overall the board—but especially worrisome for critical基础设施行业。总体而言，我们确定了4个关键基础设施行业(航空航天和国防、化学、工业、和能源)，其中公司名称是最受欢迎的3 - 5个密码之一。 财富1000强的公司凭证曝光 公开的公司证书Sector 在SpyCloud数据集中，我们发现几乎2736万双凭据与财富1000公司电子邮件地址和明文密码。这三个行业的风险敞口最高远是技术（707万），电信（635万）和fi金融（356万）。而高fi金融和技术的数字可能部分到期行业规模(分别为164家和120家公司)，电信行业的风险敞口极端鉴于它只包括10家企业。 虽然并非每个凭据对都与公司登录匹配细节，匹配的细节代表了巨大的风险为这些企业及其客户和合作伙伴。 当凭据在中公开时数据泄露,网络犯罪分子不可避免地对他们进行各种测试其他在线网站，接管任何其他帐户受相同的登录信息保护。如果那些被盗凭据包含公司电子邮件域，罪犯有一个明显的线索，他们可以提供访问到有价值的企业系统、客户数据和知识产权。 从理论上讲，公司密码应该是强大的他们保护的资产的重要性和通常由公司安全提供的强大指导团队。在实践中，许多员工使用错误的密码工作卫生，以及一些公司密码政策甚至鼓励坏习惯。过时的政策，如严格复杂性规则和强制90天密码轮换使密码更难记住，导致员工做出不安全的选择，如回收他们最喜欢的密码的版本。这就是为什么指导美国国家标准与技术研究所(NIST)呼吁组织主动检查“常用、预期或受损”密码有效降低人类行为带来的风险。 密码重用：最差的O夫enders Sector 在我们的财富1000强企业违规数据集中暴露，我们计算了平均密码重用率通过采用使用相同暴露的员工数量跨多个站点的明文密码，然后除以所有暴露密码的员工人数。我们发现了一个平均重用率64%，以及21个部门中的两个当涉及到他们的密码重用时，他们真的很突出百分比: 航空航天与国防（75%） 汽车及零部件（75%） 在我们的数据集中有多个重复使用密码的员工可能会也可能不会在工作中重复使用密码-我们无法分辨当然，没有检查他们的实际工作密码。然而，密码在他们的第三方漏洞中重复使用-暴露的帐户确实提供了员工的指示整体密码卫生。 重新使用的密码2021 通过123456密码123456789 12345678qwerty 12345 111111 1234567890 qwerty123123123 1234567 1q2w3e默认1234000000 qwertyuiop abc123 1233211q2w3e4r5t iloveyou11111111654321a123456 666666 123123123 1q2w3e4r 987654321admin x4ivygA51F asdasd password1 123456a1qaz2wsx密码zinch 112233 zxcvbnm123qwe qwe123 asdfghjkl fuk19600 1212127777777未知123456789a龙123654homelesspa azerty 5201314 555555 00000000159753 q1w2e3r4t5y6 1234qwer yuantuo2012Sojdlg123aljg aaaaaa abcd1234 qazwsx3rJs1la7qE 12345678910公主猴子足球88888888 q1w2e3r4 qwer1234147258369 0123456789口袋妖怪1qaz2wsx3edc asdfgh 0987654321阳光222222 Aa123456杀手2011 - 10 - 10[编辑]你mynoob迈克尔·阿什利col123456丹尼尔999999谷歌7777773Odi15ngxB超人火影忍者改变eme qwerty1123abc影子789456123 财富1000强员工最喜欢的密码 有了数百个帐户可以跟踪，难怪人们会采取捷径来记住他们的登录凭据。除了在每个帐户中回收一些收藏夹的变体，人们经常使用易于记住的简单密码-和犯罪分子很容易猜测。犯罪分子经常在密码喷射攻击，将帐户与弱密码处于危险之中，即使用户没有故意重复使用该密码。 员工可以采取的最糟糕的捷径之一是在他们的密码中包含他们公司的名称；这是第一件事当犯罪分子试图破解公司密码时，他们会进入他们的帐户检查工具。但是，禁止使用密码中的公司名称可能还不够。组织需要找到保护员工免受自身侵害的方法。 财富1000强员工遵循与我们其他人相同的模式。下面的每个密码都出现了数百个甚至我们已经编辑了公司名称，以及流行的四个字母的几种变体我们选择不打印的单词。有趣的是，我们观察到这个特定的单词，年复一年，在媒体中大多很受欢迎公司和财富1000强企业的员工比在他们的英国FTSE 100同行。 虽然这些示例中的大多数都无法通过基本的公司密码策略，但人们倾向于将基本密码转换为绕过复杂性规则的可预测方法。例如，“password”在工作时可能会变为“Password1”或“Passw0rd!”。 不幸的是，犯罪分子非常了解这些模式，而自动化工具使他们可以轻松地测试暴露的变化规模的密码。 密码 TopSecret123出现在9, 708密码中 123456出现在99, 913密码中 出现在235, 200密码中 被恶意软件吸入的数据 受感染员工的危险 并非此报告中的所有公开数据都来自数据漏洞。SpyCloud还会重新捕获由僵尸网络. Malwarehwithkeyloggingcomponents，或“infostealers ”，可以虹吸信息，如浏览器历史记录，自动完成数据，Web会话cookie，屏幕截图，系统信息，加密钱包和来自不知情的登