佛吉尼亚大学在周五时发表声明称,有黑客入侵了学校的人力资源系统,并且访问了大量存储于系统中的敏感数据,其中就包括该大学职工详细的银行信息和个人身份信息。
该大学在有关此事件的安全公告中说到,执法部门在近期曾对佛吉尼亚大学进行过一次调查,在此之后,美国联邦调查局便发现该大学发生了数据泄漏。而此次数据泄漏事件发生之后,相关的国外涉案嫌疑人也被警方依法拘留了。
在佛吉尼亚大学与美国联邦调查局的合作调查过程中,该大学证实了,有一名未经授权的用户非法访问了佛吉尼亚大学的人力资源系统,并且将该大学学术研究部门中一个研究小组的职工个人身份信息泄漏在了互联网中。
根据佛吉尼亚大学的公告,攻击者通过网络钓鱼邮件发动了此次恶意攻击,攻击者通过这封恶意邮件来欺骗目标用户去点击邮件中所附带的一条恶意链接,并在钓鱼网页中要求用户输入用户名和密码。
攻击者在成功获取到了有效的用户凭证之后,他便能够获取到佛吉尼亚大学人力资源管理系统的访问权限了。进入系统之后,攻击者从数据库中获取到了大约1400名职工的个人信息。除此之外,攻击者还获取到了40多名职工的银行账户信息。
在有关部门对此次事件进行了调查之后发现,从2014年11月初时,攻击者就已经开始获取该大学的人力资源记录了,但直到2015年2月初时有关部门才检测到了非法入侵。
幸运的是,该大学总共有两万多名在岗职工,此次数据泄漏事件只影响了其中一小部分的人。
IDT911的董事长兼创始人Adam Levin向SecurityWeek说到:“多年以来,网络钓鱼攻击对各大政府机构和企业产生了巨大的破坏和影响,而这一行为在2016年只会是有增无减。虽然我们不会将特定的安全协议信息泄漏出去,虽然相关机构的信息技术与信息安全部门所做的一切都是按照规定的,但很明显的是,如果其中的某一雇员点击了一条恶意链接之后,攻击者就可以在技术人员毫不知情的情况下盗取无数的个人隐私信息了。”
iboss Cybersecurity网络安全公司的首席执行官Paul Martini表示:“
即使此次数据泄漏事件只影响了一小部分人群,但此次事件对事件中的受害人而言,其威胁和影响是非常深远的。在佛吉尼亚大学的这次攻击事件中,黑客在盗取了类似银行账户和社保号等职工的个人身份信息以及财务信息之后,便可以直接将这些信息在黑市上出售,以换取巨额利润。”除此之外,此次事件还应该给我们敲响一个警钟,即使是再复杂的网络,也需要提高相应的安全保护措施来防止发生数据泄漏,而且当攻击者成功入侵了网络系统之后,还需要尽快移除网络中的恶意软件,以防止其继续盗取数据库中的敏感信息。