Ladders是美國最受歡迎的招聘網站之一,專門從事高端職位,在安全失效後,已經有超過1370萬用戶信息被洩露。
這家總部位於紐約的公司離開了亞馬遜-hosted Elasticsearch數據庫在沒有密碼的情況下公開,允許任何人訪問數據。Sanyam Jain是一名安全研究員,也是GDI基金會的成員,GDI基金會是一家旨在保護暴露或洩露數據的非營利組織,他們找到了數據庫並向TechCrunch報告了調查結果,以確保數據安全。在TechCrunch伸出援助之後的一個小時內,Ladders已將數據庫拉下線。
Marc Cenedella, 首席執行官在一份簡短的聲明中證實了這一曝光:“AWS確認我們的AWS託管彈性搜索是安全的,只有Ladders員工可以在指定的IP地址訪問。我們將調查這種潛在的盜竊行為,並感謝您的協助。“
TechCrunch通過聯繫該網站的十幾個用戶來驗證數據。有幾個人確認他們的數據符合他們的梯形圖。一位回覆的用戶表示他們在違規後“不再使用該網站”。每條記錄都包括姓名,電子郵件地址及其僱傭歷史,例如僱主和職位。用戶檔案還包含有關他們正在尋找工作的行業以及他們目前以美元計算的薪酬的信息。
部分記錄,包括一個人的姓名,地址,電話號碼,職位描述和安全許可的詳細信息,許多記錄還包含他們過去就業的詳細職位描述,類似於簡歷。雖然部分數據可以公開查看網站上的其他用戶,但大部分數據包含個人和敏感信息,包括電子郵件地址,郵政地址,電話號碼以及基於其IP地址的大致地理位置。
該數據庫包含多年的記錄。一些記錄包括他們的工作授權,例如他們是美國公民還是簽證,如H1-B。其他人列出了他們的美國安全許可以及相應的工作,如電信或軍事。雖然數據不那麼敏感,但還有超過379,000名招聘人員的信息被曝光。安全研究人員Jain最近發現了一個洩漏的Wi-Fi密碼數據庫和一個暴露的後端數據庫,用於家庭跟蹤應用程序,包括兒童的實時位置數據。
在《2018年全球數據洩露成本研究》報告中顯示,數據洩露的平均成本從2017年的362萬美元上升到386萬美元,平均每條失竊記錄的成本從去年的141美元上升為148美元,而未來兩年發生重大數據洩露的可能性是也略有上升。此外,事件應急響應團隊能夠挽回的成本約為平均每條記錄14美元。報告還表示,過去一年對於數據洩露事件的MTTI(平均識別/發現時間)是197天,平均遏制時間是69天。
與2017年同期相比,2018年數據丟失、被盜或受損的數量大增133%,其中社交媒體領域共發生了6次重大數據洩漏事件,包括Facebook等事件。
2018年,全球範圍內公共數據洩露事件嚴重程度指數,共涵蓋945次事件,導致45億條信息洩露。
而在這麼多的數據洩露事件中,總結髮現:47%的數據洩露事件涉及惡意或犯罪行為,25%是由於員工或承包商疏忽(人為因素),28%涉及系統故障,包括IT和業務流程故障。
近年,惡意攻擊已經成為數據洩露的重要原因。黑客們通過漏洞攻擊、SQL注入等手段竊取敏感數據,這些包含個人隱私或商業機密的數據流入黑產市場,經過多手倒賣之後為黑客謀取巨大的利益,而這也使得黑客攻擊更加難以防範。
SSL證書抵禦網絡攻擊威脅
在未安裝SSL證書時,用戶和服務器之間的信息傳輸是明文的,容易被外界截取;而且對最終用戶來講,他們在瀏覽服務器時,並不知道這個服務器、網頁是否真的存在,如果存在,信息是否真實可信。
安裝證書以後,整個信息傳輸的過程將被加密,即使中間有人試圖截取,也只會得到一段亂碼,保證了信息傳輸的安全;同時,SSL證書需在CA機構核實服務器身份後簽發,從而保證了網頁的真實有效。
所以,SSL證書雖然看上去並不起眼,但用處卻不容小覷,對企業來說,可以驗明網站真身,減免流量損失,贏得用戶信賴;同時,通過加密方式傳輸數據,有效保證了信息安全,尤其是用戶隱私、金融支付等敏感數據;此外,對網站優化、提升搜索權重也有裨益。
不要猶豫了,趕快向數安時代申請權威可信SSL證書,提升網站安全防護能力,保護用戶的數據安全。數安時代是全國三家經過WEBTRUST國際認證CA機構的其中一家,擁有豐富的行業經驗和專業的技術支持團隊,除了自主品牌GDCA,還有Symantec、Globalsign、GeoTrust等品牌,選擇更多,一次性對比,提供行業最優惠的價格。有需要可以諮詢客服了解產品。
閱讀更多 GDCA數安時代 的文章
