TimeHop 数据泄露的三个教训

Brett McDowell,FIDO联盟执行董事

影响 2100 万用户的 Timehop 数据泄露事件为在线服务行业的其他部分提供了一个可教的时刻,特别是考虑到新的 GDPR 和 PSD2 要求在欧洲站稳脚跟。

正如 Timehop 所解释的那样,“违规行为的发生是因为对我们云计算环境的访问凭据遭到破坏”,并且显然是为了向客户保证这种情况不会再次发生,他们迅速补充说“我们现在已经采取了包括多因素身份验证在内的措施,以保护我们对所有帐户的授权和访问控制。

到目前为止,对于非常常见的数据泄露通知来说,这都是相当标准的。然而,引起我注意的是,他们以粗体字强调用户的社交媒体帖子和照片没有被破坏,同时澄清丢失的数据包括“姓名、电子邮件地址和一些电话号码”。我希望从这一事件中得出一些关键要点,希望能引起在线服务安全团队和负责其预算的高管的注意。

首先,为什么要等到被入侵后再投资多重身份验证 (MFA)? 行业数据要求服务提供商保护其用户。 去年,该行业不仅看到数据泄露同比增长了 45%,而且我们知道其中超过 80% 的事件是密码泄露的结果。 廉价的远程攻击(例如密码网络钓鱼)越来越成为违规的第一步。 您的风险每天都在增加。 对 MFA 的投资几乎是不可避免的。 降低企业成本的唯一方法是在被破坏之前进行投资。

其次,如果您有来自欧洲客户的个人信息,那么通过现已全面实施的《通用数据保护条例》,您已经被要求遵守更高的数据保护标准 (通用数据保护条例)。 这意味着,如果您无法向监管机构证明您在任何数据泄露事件发生之前采取了适当的风险措施,那么曾经被认为不如社交媒体帖子、个人照片甚至财务数据重要的东西现在至关重要。 如果您在欧洲处理付款和开展业务,PSD2 还将要求您为这些交易提供安全的客户身份验证,这明确要求身份验证的三个因素中至少有两个:您知道的东西(如密码)、您拥有的东西(如生物识别)和/或您拥有的东西(如来自受信任设备的加密签名)。

在考虑您的选择时,请注意 GDPR 对收集和处理生物识别数据也有特殊要求。 如果这是您选择的用户体验,那么使用内置的设备端生物识别匹配将节省大量额外的成本和责任。

最后但并非最不重要的一点是,不要浪费你的预算投资于昨天的MFA,因为业界刚刚为此目的提供了一个面向未来的开放标准。 太多的专业人士仍然认为 MFA 意味着密码和 SMS 发送的一次性密码。 这两种解决方案都是“共享机密”,它们本质上容易受到廉价的网络钓鱼式攻击,我们知道这些攻击正在上升并且非常有效。

去年,分析公司Javelin在发布一项关于强身份验证状态的研究时进一步澄清了这一事实 将“高确定性强身份验证”视为 MFA 的新类别。 Javelin引用了美国国家标准与技术研究院(U.S. National Institute of Standards and Technology)的最新指南,该指南现在要求其中一个因素是加密的所有权证明,以便在身份验证保证方面获得最高分。

在FIDO联盟,我们与W3C一起 制定了一个开放的行业标准 Windows 10、Android、全球最流行的 Web 浏览器以及 iOS SDK 和各种硬件安全密钥中已内置的高可靠性强身份验证。 由于这些本机功能已成为大多数新设备的标准配置,FIDO 已成为希望投资 MFA 功能的企业的最佳选择。 这是唯一的选择:提供最高级别的保护,避免数据泄露的商业和监管成本;以标准为基础,与供应商无关,面向未来;并且通过用轻松触摸按钮或看一眼传感器来代替输入密码,与同类最佳的用户体验兼容。 这就是为什么 Google、Facebook、Microsoft、PayPal、eBay、T-Mobile、ING、Mastercard、Intuit 等领先服务提供商投资于 FIDO 身份验证,以保护其业务免受数据泄露成本增加的影响。