本周事件：Shopify内部数据泄露证明了内部威胁趋势

[公开的记录：200个||行业：电子商务攻击类型：内部人员] Shopify周二发布了一份声明，报告了由两名流氓员工实施的内部安全事件，该事件影响了不到200家电子商务商店。 该加拿大电子商务公司成立于2006年，是满足电子商务零售需求的首选供应商。 Shopify支持175个国家/地区的超过100万注册商家，包括特斯拉和丝芙兰（Sephora）之类的大名。减轻损害。尽管如此，该违规行为仍然足以使其在纽约证券交易所的股票下跌1.27％。
Shopify发布的声明将这一违规行为概括为两名流氓员工试图从Shopify商家窃取交易详细信息。根据Shopify的说法，此漏洞中的泄露数据包括：“…基本联系信息，例如电子邮件，姓名和地址，以及订单详细信息（例如购买的产品和服务）。”违反期间未访问支付卡号和其他敏感信息。
相关：p建立内部威胁程序比您想象的要容易 Shopify正在与FBI紧密合作，以进一步调查违规行为和实施该计划的前雇员。重要的是要注意，该突破并不是由于技术漏洞而发生的。 尽管调查仍处于初期阶段，但它遵循了最近的网络安全事件中出现的惊人趋势。
特斯拉最近受挫的内部攻击涉及俄罗斯工作人员试图贿赂内部员工。通过使用社会工程策略操纵内部员工，使得7月成为头条新闻的Twitter攻击成为可能。 网络犯罪分子越来越多地成为衡量人类脆弱性的专家。
实际上，他们的威力正从技术转向心理。勒索软件即服务（Raas）使技术水平较低的网络罪犯能够集中精力利用人类心理的漏洞来利用技术漏洞。 相关内容：安全供应商合作伙伴的10个关键特征 有些策略是显而易见的，例如向企业员工提供大量现金来交换数据或访问内部系统。
其他策略包括通过假装别人或掠夺忙碌的工作日程和/或粗心大意来操纵员工。例如，这些邪恶的参与者通过电子邮件或直接通信来熟练地唤起强烈的人类情感，例如恐惧或紧迫感，以说服或劝诱员工点击恶意链接或泄露敏感信息。 这些攻击的人为因素使企业难以缓解。
仍在开发和部署新的安全技术，以消除这些社会工程学威胁，例如： 尽管公司臭名昭著地（尽管应该如此）对网络安全软件进行了大量投资，但没有软件能够防止简单的人为错误，无论是有意还是无意。顶级网络安全专家恳请公司创建或提供强大的网络安全培训。甚至基本的员工教育课程，例如鼠标悬停技能和了解电子邮件地址或域名的解剖结构，都对企业漏洞产生积极影响。
了解更多：本周事件。