员工资料泄露是索尼影业被黑事件最严重的后遗症
这次的索尼影业被“黑”事件 教会了我们很多东西 。它教会了我们在发送企业内部邮件的时候要留心,因为邮件的内容有可能会被公诸于世;让我们知道了在好莱坞工作的人跟其他行业的人一样 刻薄 (可能还有 种族歧视 的问题);还跟我们分享了查宁·塔图姆(Channing Tatum)对 票房击败《泰迪熊》的喜悦 。
但是其中最难接受的一个教训是,你已经 千方百计 地在网上保护自己的信息安全,但是你的老板却放任地让员工的信息泄露出去。这就是索尼影业超过 6500 位在职员工(还有许多离职员工)现在所处的境地。
来自 Gizmodo 的布莱恩·巴奈特(Brian Barnett) 写道 :
“这次泄露事件当中最令人痛心的是重复购买利他林药物的邮件、关于尝试怀孕的内容、同事之间互相在背后说的坏话、员工的信用卡信息。现在已经有成千上万个社保号裸露在公众的视线之下。那些在邮件中出现的日常琐碎内容在一夜之间被公诸于世,这些话语突然变得丑陋而险恶,就像是一本从网络攻击的狼藉中诞生的‘鬼书’(Babadook )一样。”
现在其中两位受害员工已经采取了行动——准确来说是发起了一次集体诉讼。索尼影业的员工克里斯蒂娜·马西斯(Christina Mathis)和迈克尔·克罗纳(Michael Corona)已经将自己的东家 告上了 联邦法院,指控索尼影业没有采取足够的预防措施来保护员工机器家人的数据安全。
这份起诉引用了一家 科技博客的报道 ,其中提到索尼影业之前已经意识到了企业网络的漏洞,但它没有采取补救措施。随后索尼采用 DDOS 攻击来保护遭到泄露的影片,但是它对流出的员工资料置之不理。诉状中还提到了索尼在 12 月 2 日遭到黑客攻击之后,没有将这个情况充分地通知已经离职的员工。
根据克什米尔·希尔(Kashmir Hill)的报道,索尼影业在遭受黑客入侵的时候,它的信息安全团队 只有 11 位成员 。
“真正的问题在于,他们根本没有对信息安全做出真正的投入,他们甚至不了解什么是信息安全。”一位离职员工说道。索尼影业这次泄露的敏感文件是没有进行内部加密或者使用密码保护的,这种做法也证明了该离职员工的观点。
黑客们还 发现 了一个含有索尼员工用户名和密码的文件,它的文件名就叫做“Usernames&Passwords”(用户名与密码)。
索尼影业的信息安全总监杰森·斯帕特洛(Jason Spaltro)在 2007 年 曾经接受过一次采访 ,他在这次采访中透露了索尼影业的安全漏洞:“接受安全漏洞的风险是一个正当的经营决策。我不会为了避免可能出现的 100 万美元损失而投入 1000 万美元。”他当时是这么说的。
这次的黑客入侵事件大约对索尼影业造成了 1 亿美元的损失 ,上次索尼的 PSN 服务被黑也让它付出了 1.71 亿美元的惨重代价 。
这两位起诉人希望这个案件可以进入陪审审判程序。可能一场代价高昂的公审可以引起其他反应迟钝的公司好好重视信息安全问题吧?
更新:好了,现在又出现了 第二份员工起诉 。
Sony Pictures Entertainment Suit
题图来自: MICHAELCORY / FLICKR ,根据 CC BY 2.0 协议授权
翻译:关嘉伟( @consideRay )
Employee Data Breach The Worst Part Of Sony Hack