Ladders是美国最受欢迎的招聘网站之一,专门从事高端职位,在安全失效后,已经有超过1370万用户信息被泄露。
这家总部位于纽约的公司离开了亚马逊-hosted Elasticsearch数据库在没有密码的情况下公开,允许任何人访问数据。Sanyam Jain是一名安全研究员,也是GDI基金会的成员,GDI基金会是一家旨在保护暴露或泄露数据的非营利组织,他们找到了数据库并向TechCrunch报告了调查结果,以确保数据安全。在TechCrunch伸出援助之后的一个小时内,Ladders已将数据库拉下线。
Marc Cenedella, 首席执行官在一份简短的声明中证实了这一曝光:“AWS确认我们的AWS托管弹性搜索是安全的,只有Ladders员工可以在指定的IP地址访问。我们将调查这种潜在的盗窃行为,并感谢您的协助。“
TechCrunch通过联系该网站的十几个用户来验证数据。有几个人确认他们的数据符合他们的梯形图。一位回复的用户表示他们在违规后“不再使用该网站”。每条记录都包括姓名,电子邮件地址及其雇佣历史,例如雇主和职位。用户档案还包含有关他们正在寻找工作的行业以及他们目前以美元计算的薪酬的信息。
部分记录,包括一个人的姓名,地址,电话号码,职位描述和安全许可的详细信息,许多记录还包含他们过去就业的详细职位描述,类似于简历。虽然部分数据可以公开查看网站上的其他用户,但大部分数据包含个人和敏感信息,包括电子邮件地址,邮政地址,电话号码以及基于其IP地址的大致地理位置。
该数据库包含多年的记录。一些记录包括他们的工作授权,例如他们是美国公民还是签证,如H1-B。其他人列出了他们的美国安全许可以及相应的工作,如电信或军事。虽然数据不那么敏感,但还有超过379,000名招聘人员的信息被曝光。安全研究人员Jain最近发现了一个泄漏的Wi-Fi密码数据库和一个暴露的后端数据库,用于家庭跟踪应用程序,包括儿童的实时位置数据。
在《2018年全球数据泄露成本研究》报告中显示,数据泄露的平均成本从2017年的362万美元上升到386万美元,平均每条失窃记录的成本从去年的141美元上升为148美元,而未来两年发生重大数据泄露的可能性是也略有上升。此外,事件应急响应团队能够挽回的成本约为平均每条记录14美元。报告还表示,过去一年对于数据泄露事件的MTTI(平均识别/发现时间)是197天,平均遏制时间是69天。
与2017年同期相比,2018年数据丢失、被盗或受损的数量大增133%,其中社交媒体领域共发生了6次重大数据泄漏事件,包括Facebook等事件。
2018年,全球范围内公共数据泄露事件严重程度指数,共涵盖945次事件,导致45亿条信息泄露。
而在这么多的数据泄露事件中,总结发现:47%的数据泄露事件涉及恶意或犯罪行为,25%是由于员工或承包商疏忽(人为因素),28%涉及系统故障,包括IT和业务流程故障。
近年,恶意攻击已经成为数据泄露的重要原因。黑客们通过漏洞攻击、SQL注入等手段窃取敏感数据,这些包含个人隐私或商业机密的数据流入黑产市场,经过多手倒卖之后为黑客谋取巨大的利益,而这也使得黑客攻击更加难以防范。
SSL证书抵御网络攻击威胁
在未安装SSL证书时,用户和服务器之间的信息传输是明文的,容易被外界截取;而且对最终用户来讲,他们在浏览服务器时,并不知道这个服务器、网页是否真的存在,如果存在,信息是否真实可信。
安装证书以后,整个信息传输的过程将被加密,即使中间有人试图截取,也只会得到一段乱码,保证了信息传输的安全;同时,SSL证书需在CA机构核实服务器身份后签发,从而保证了网页的真实有效。
所以,SSL证书虽然看上去并不起眼,但用处却不容小觑,对企业来说,可以验明网站真身,减免流量损失,赢得用户信赖;同时,通过加密方式传输数据,有效保证了信息安全,尤其是用户隐私、金融支付等敏感数据;此外,对网站优化、提升搜索权重也有裨益。
不要犹豫了,赶快向数安时代申请权威可信SSL证书,提升网站安全防护能力,保护用户的数据安全。数安时代是全国三家经过WEBTRUST国际认证CA机构的其中一家,拥有丰富的行业经验和专业的技术支持团队,除了自主品牌GDCA,还有Symantec、Globalsign、GeoTrust等品牌,选择更多,一次性对比,提供行业最优惠的价格。有需要可以咨询客服了解产品。
閱讀更多 GDCA數安時代 的文章
關鍵字: 黑客 数据库 TechCrunch
