FBI 提醒公众:恶意黑客可利用匿名 FTP 服务器漏洞入侵医疗系统
美国联邦调查局( FBI )称,恶意黑客可利用匿名文件传输协议( FTP )服务器漏洞入侵小型医疗机构与牙科诊所,获取医疗记录和其他敏感私人信息,并以此进行骚扰、恐吓、勒索甚至欺诈。
相应补救措施是删除服务器中所有个人身份信息( PII )与受保护的健康信息( PHI ),将现有 FTP 替换为更安全的文件传输服务。然而,尽管将敏感数据存储在 FTP 服务器的风险众所周知,小型企业通常并不具备专业升级技术或动机。
匿名 FTP 无需身份验证即可访问服务器文件,建议仅使用此类服务器存储公开文件。匿名 FTP 扩展允许用户使用“ anoymous ”或“ ftp ”等常见用户名在无需提交密码、通用密码或电子邮件地址的情况下通过 FTP 服务器进行身份验证。
《健康保险流通与责任法案》( HIPAA )通过对违规者惩处罚金的方式对 PHI 进行保护。此外,《隐私法》与相关条例也通过类似方法对 PII 进行保护。
Globalscape 产品战略和技术联盟副总裁 Peter Merkulov 表示,PII 和 PHI 数据泄露的代价远远超过替换为更安全的文件传输服务和支持(如 SFTP 或 FTPS )的成本。FTP 是一个早已过时的协议,即使在不匿名的模式下使用也极其危险。虽然现存数量较以往有所减少,但通常部署于多年前且从未进行过升级,甚至被遗忘。这种情况在大型组织机构尤为常见。
尽管如此,FBI 引用的《 2015 年度研究报告》仍显示,超过一百万台 FTP 服务器被配置为允许匿名访问。Merkulov推测 FBI 此举的动机源于实际调查工作中对 FTP 漏洞利用的发现。
摆脱匿名 FTP 服务其实十分简单,仅需花费数分钟更改服务器设置。如果根据访问服务器的客户端软件类型操作,整个过程会更复杂,需要对用户凭据和帐户进行设置。
原作者:Tim Greene,译者:青楚,校对:Liuf
本文由 HackerNews.cc 翻译整理
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平主席的G20峰会时间 7920781
- 2 孙颖莎王艺迪不敌日本削球组合 7902459
- 3 高三女生酒后被强奸致死?检方回应 7805662
- 4 二十国集团里约峰会将会卓有成效 7740329
- 5 国乒男队多场比赛遭遇一轮游 7697538
- 6 一个金镯子省出1200元 金价真跌了 7519809
- 7 胖东来:员工不许靠父母买房买车 7496580
- 8 俄导弹击中乌水电站大坝 7378764
- 9 马夫儿子回应父亲猥亵女驴友 7237177
- 10 智慧乌镇点亮数字经济新未来 7100851