近期,有安全人員在微軟雲服務器上發現了一個未採取加密手段,任何人都可訪問的數據庫,其中包含大約8000萬美國家庭的信息,這個數目超過了美國家庭總數的一半。
雖然目前沒有任何信息指出這洩露出的24GB數據屬於哪個公司,但vpnMentor的研究團隊正和Noam Rotem合作——正是他們在Microsoft雲服務器上發現了這個數據庫——試圖找出這個數據庫的所有者。
在這個數據庫中找到的所有記錄都包含“member_code”和“score”這兩個關鍵詞,看來這些數據涉及到某種產品的定位跟蹤功能。
洩露的家庭數據
如Rotem和Locar發佈的報告所述,洩露的數據庫似乎是以“家庭”為格式存儲信息,而不是像其他以個人為單位的數據記錄。
洩露的信息包括:
·完整住址,包括街道地址,城市,縣,州和郵政編碼
·精確的經度和緯度
·全名,包括名,姓和中間的字母
·年齡
·出生日期
除此之外,還有很多並非以明文表示的數據:
·標題
·性別
·婚姻狀況
·收入
·房主身份
·住宅類型
“這不是我第一次看到存在未授權問題數據庫。但是,這是我第一次看到如此規模的過於敏感的數據的洩露事件,”Rotem和Locar表示:“這個對外開放的數據庫可以說是惡意攻擊者的金礦。”
影響
雖然目前大規模數據洩露事件可以說變得非常普遍,但這起事件還是造成了罕見的影響。因為,8000萬這個數字只是表面上的統計數據,你無法想象這到底涉及到多少人。從目前來看,至少上億人的收入,住址和出生日期被洩露。
另一方面,安全專家發現數據庫中的個人信息中的年齡都在40歲以下,這大概是這些信息唯一的共同點。其次,每條數據記錄都帶有“收入”和“房主”這兩個標籤,這可能與“內部排名系統或者稅收統計”有關。
但是,正如vpnMentor的報告所述,這些數據很可能屬於抵押貸款公司或保險公司。不過,如果真是這樣,那就缺少關於付款,社會安全號碼或帳號等信息,一般來說這些都是必備信息。
Rotem曾在今年1月份發現了另一起數據洩漏事件,Amadeus航班在線預訂系統存在安全問題,攻擊者可以查看和更改數百萬國際航空公司客戶的航班預訂信息。
企業如何規避或者妥善解決?
代碼簽名證書可以對惡意代碼進行定期掃描,能確保用戶通過互聯網下載軟件時,確信此代碼沒有被非法篡改和來源可信,從而保護了代碼的完整性、保護了用戶不會被病毒、惡意代碼和間諜軟件所侵害。
目前,對企業官網進行HTTPS加密部署SSL證書是目前最有效的網絡安全保護!
相較於傳統的HTTP明文協議,HTTPS協議可以確保傳輸數據的完整性和機密性,建立一條從用戶端到網站服務器端的加密傳輸通道,通過複雜的握手協議,確保用戶的傳輸信息不被第三方竊取或篡改。
另一方面,HTTPS加密協議還可以實現對網站身份進行驗證,部署SSL證書後會在地址欄顯示https://開頭和鎖形標誌,用戶可以通過查看(鎖形標誌)證書信息來確定購票網站的真實性,避免被釣魚網站盜取個人信息甚至騙取財物。
而且,部署SSL證書能將企業網站SEO排名提高,SEO排名越高,不僅能讓用戶更快的搜索到網站,還能讓用戶更加信任網站,從而增加網站的營業額。這兩年各大瀏覽器都在推進HTTPS加密的進程,HTTPS多次握手和複雜的加密機制有效的加大了網站的安全性,加密機制與認證 機制可以減少網站被劫持和假冒的風險!所以谷歌、百度等各大瀏覽器先後將HTTP網站標註為不安全網站,還會優先收錄HTTPS網站,並給與排序優待。
HTTPS是現行架構下最安全的解決方案,並且它最大程度的阻止中間人攻擊,保護信息安全。部署SSL證書一定要選擇一個具有公信力的CA機構,最好就是想數安時代GDCA一樣經過WEBTRUST國際認證的。數安時代以最安全的解決方案、專業的技術支持團隊用戶提供最權威的認證服務和最安全的認證保障。擁有豐富的應對和解決各種複雜及突發情況的專業服務支持團隊,可以為用戶提供7*24一對一服務與技術支持。如有需要可到官網諮詢客服。
閱讀更多 GDCA數安時代 的文章
