2023 年 1 月，英国运动服饰零售商 JD Sports 遭遇网络攻击，导致 1000 万客户的个人和财务信息可能被黑客窃取。泄露的数据包括姓名、地址、电子邮件地址、电话号码、订单历史记录和部分支付卡信息。JD Sports 已向受影响客户发出通知，并建议他们更改密码并密切关注其财务状况。公司还聘请了网络安全专家来调查违规行为并加强其系统。

很多人以为遭遇数据泄露事件没有什么大不了，认为只要重建一下系统或者向用户道个歉然后让用户重置一下密码就可以了。对此，昆明亭长朗然科技有限公司网络安全顾问董志军称：对于垄断机构来讲，这种说法可能有些道理。但是对于正常的商业企业来说，辛苦建立的客户信任，可以在数据泄露之后迅速消失。特别是对于个人信息非常看重的人群来讲，他们可不愿意遭受电信诈骗或广告骚扰，如果有厂商泄露了他们的个人信息，他们肯定会失望透顶。举例来讲，JD Sports 此次数据泄露事件可能对客户产生以下影响：

• 个人信息泄露风险：客户的个人信息（如姓名、地址、电子邮件地址、电话号码）可能被黑客获取，存在个人隐私泄露的风险。
• 财务信息泄露风险：部分客户的支付卡信息也可能受到影响，存在财务安全受损的潜在风险。
• 身份盗用风险：泄露的信息可能被不法分子用于进行身份盗用或其他欺诈活动，给客户带来经济损失和麻烦。
• 信任受损：客户对 JD Sports 的信任可能受到影响，影响其未来与该公司的交易和关系。

分析JD Sports 数据泄露事件的根本原因有助于类似的电商企业吸取经验教训，对于企业了解并采取措施防止今后发生类似事件非常重要。以下是几点根本原因分析：

• 网络安全措施不足： 报告显示，JD Sports 没有采取适当的网络安全措施，如适当的加密和访问控制，导致客户数据容易被利用。
• 缺乏员工培训： 对员工进行的有关数据安全和敏感信息处理的培训和宣传计划不足，可能是造成漏洞的原因之一。
• 过时的系统和软件： 使用不再受支持或已针对已知漏洞打补丁的过时系统和软件，会增加数据泄露的风险。
• 事件响应计划不足： 缺乏健全的事件响应计划和程序来检测、控制和缓解数据泄露，可能会使情况更加恶化。

从原因分析中，我们不难得出以下的经验教训：

• 优先考虑数据安全： 各组织必须将数据安全放在首位，并实施强有力的网络安全措施，包括加密、访问控制和定期安全审计。数据已成生产力，数据的丢失或损毁必将严重影响生产力，甚至影响到企业生存。
• 员工培训和提高认识： 定期对员工进行数据安全、敏感信息处理和潜在威胁识别方面的培训，提高他们的安全意识至关重要。人员是数据和系统的创造者和使用者，亦应当成为安全保护者。
• 不断更新系统和软件： 定期用最新的安全补丁更新系统和软件，更换过时的技术，有助于减少漏洞，降低数据泄露的风险。
• 制定和测试事件响应计划： 实施并定期测试事件响应计划可帮助企业更有效地检测、控制和缓解数据泄露，最大限度地减少对客户和利益相关者的影响。
• 遵守法规： 确保遵守相关数据保护法规，如《通用数据保护条例》（GDPR）、网络安全法、数据安全法、个人信息保护法或行业特定法规，可帮助企业保持适当的安全标准，避免潜在的罚款或法律后果。
• 第三方风险管理： 在与处理敏感数据的第三方供应商或服务提供商合作时，进行尽职调查并实施适当的安全措施至关重要。
• 持续改进： 企业应不断审查和改进其网络安全实践，保持警惕并适应不断变化的威胁和最佳实践。

通过了解 JD Sports 数据泄露事件的根本原因并吸取教训，企业可以加强其数据安全态势，保护客户信息，并保持与利益相关者的信任。如果有企业需要这方面的帮助，特别是员工培训和意识提升，欢迎联系我们。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：info@securemymind.com

MOVEit Transfer 数据窃取攻击是 2023 年发生的一系列网络攻击，由Cl0p 勒索软件团伙发起，目标是流行的文件传输软件 MOVEit Transfer，消息显示已经威胁到数百家组织。

这些攻击导致了重大的数据泄露，引起了依赖该软件进行安全文件传输的企业的广泛关注。以下是这些事件的根源分析和经验教训：

根本原因分析：

1. 软件漏洞： 这些攻击利用了 MOVEit Transfer 应用程序中的一个关键漏洞 (CVE-2023-0669)，该漏洞允许未经授权的远程代码执行。该漏洞的存在是由于软件中缺乏适当的输入验证和消毒机制。
2. 补丁发布延迟： 尽管安全研究人员早在 2023 年 1 月就发现了该漏洞，但供应商 Progress Software 直到 2023 年 5 月才发布补丁。这一延迟为攻击者利用该漏洞提供了大量机会。对此，昆明亭长朗然科技有限公司网络安全专员董志军质疑，某些媒体称该漏洞为零日漏洞，显然这都几个月了，根本算不上零天，Progress Software算是文件传输领域的小厂商，安全能力不足才是关键。
3. 缺乏及时的补丁：许多组织在补丁发布后没有及时应用，导致系统容易受到攻击。这凸显了保持强大的补丁管理流程和及时更新安全更新的重要性。对此，董志军再补充说：文件传输软件属于工具软件，人们的传统安全意识中，更新主要应该在操作系统以及主流的办公和浏览器应用软件，忽略小众的应用软件，这些小众软件的漏洞往往正是网络犯罪分子的残余生存空间。不过话说回来，小众软件也可能导致海量用户信息泄露，影响数百万人员的隐私及安危。
4. 监控和事故响应不足： 一些组织缺乏适当的安全监控和事件响应机制，从而延误了对攻击的检测和缓解，加剧了数据泄露的影响。

经验教训：

1. 优先考虑软件安全： 软件供应商必须在整个软件开发生命周期中优先考虑安全问题，实施安全编码实践、全面测试和强大的输入验证机制，以最大限度地减少漏洞。
2. 及时发布补丁和沟通： 供应商应优先考虑及时发布安全补丁，并向客户有效传达漏洞信息和缓解策略。
3. 强大的补丁管理： 企业必须建立并维护一个强大的补丁管理流程，确保在整个环境中及时测试、验证和部署安全更新。
4. 加强监控和事件响应： 实施强大的安全监控和事件响应机制对于及早发现和有效缓解网络威胁至关重要。这包括部署安全信息和事件管理（SIEM）解决方案、定期进行漏洞评估以及制定事件响应计划。
5. 数据保护和备份策略： 组织应实施全面的数据保护和备份策略，以最大限度地减少数据泄露的影响，并在攻击成功时迅速恢复。
6. 供应商风险管理： 在依赖第三方软件或服务时，企业必须进行全面的供应商风险评估，并实施适当的安全控制，以降低潜在风险。
7. 网络安全意识和培训： 提高员工的网络安全意识并为其提供定期培训，可以帮助企业培养强大的安全文化，使员工掌握识别和应对潜在威胁的知识和技能。

MOVEit Transfer 数据盗窃攻击事件严酷地提醒我们，积极主动的网络安全措施、及时的漏洞修复和有效的事件响应非常重要。通过从这些事件中吸取教训，企业可以加强其安全态势，更好地保护其敏感数据免受未来网络威胁的侵害。

自动化的补丁管理早已在不少组织实施，然而总是有些用户会使用小众软件，这需要在加强软件资产管理的同时，启迪用户们的网络安全责任感及安全漏洞修复意识。昆明亭长朗然科技有限公司创作了大量的员工信息安全意识动画视频和电子学习教程，我们也提供在线的安全意识提升服务，欢迎有兴趣的客户及伙伴联系我们，预览我们的作品，体验我们的系统，以及洽谈业务合作。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com