最近某車企被爆車主信息泄露,遇到相同問題的車企并非只有這一企業(yè)。去年6月,同為車企的某公司曾表示,有將近數(shù)萬名客戶或潛在買家的數(shù)據(jù)遭泄露,具體信息包括姓名、地址、手機號碼、郵件以及部分駕照號碼、車牌號碼、貸款號碼等。另一汽車企業(yè)也曾發(fā)布聲明稱,其注意到2022年4月11日—29日期間,部分在線客戶賬戶出現(xiàn)了可疑登錄,導致在未經(jīng)用戶授權的情況下,客戶的獎勵積分被兌換成了禮品卡。此外,今年10月,某汽車公司也在一份聲明中表示,使用其T-connect服務的約數(shù)萬名客戶的個人信息可能已被泄露,包括電子郵箱地址和客戶編號等。
數(shù)據(jù)庫中儲存著大量的機密信息,對于用戶和企業(yè)來說都至關重要。您是否泄露了敏感數(shù)據(jù)?是否存在潛在漏洞?您知道數(shù)據(jù)庫怎樣認證的嗎?使用數(shù)據(jù)庫交換數(shù)據(jù)的過程安全嗎?假如黑客攻擊了數(shù)據(jù)庫,又將會發(fā)生什么呢?
數(shù)據(jù)庫泄露問題的普遍性和嚴重性
因為外部入侵和部分人為因素造成的數(shù)據(jù)泄露仍然是用戶和企業(yè)的心腹大患。數(shù)據(jù)泄露事件呈快速增長的態(tài)勢,造成的危害也越來越嚴重。那么數(shù)據(jù)泄露問題現(xiàn)在有多普遍呢?
近年來,超過360億條的信息記錄被曝光,零零信安發(fā)現(xiàn)將近4500萬可在互聯(lián)網(wǎng)上公開訪問的映像文件。2021年1月,黑客免費公開泄漏了超過7700萬條的某用戶記錄數(shù)據(jù)庫,黑客公布的這個14GB的泄漏數(shù)據(jù)庫包含77,159,696條記錄,其中包含用戶的電子郵件地址、全名、哈希密碼、標題、公司名稱、IP地址以及其他與系統(tǒng)相關的信息。數(shù)十億這樣的文檔由于服務器配置錯誤或者是不安全的數(shù)據(jù)庫而被獲取泄露。研究發(fā)現(xiàn)在云計算服務器運行的193萬個的數(shù)據(jù)庫并沒有設置防火墻或采取其他安全保護措施,那么攻擊者完全可以利用這些數(shù)據(jù)庫的漏洞進行攻擊,并獲得對其數(shù)據(jù)的訪問權限,從而竊取數(shù)據(jù)。
為什么數(shù)據(jù)庫成為攻擊目標?
零零信安通過研究分析將數(shù)據(jù)庫作為攻擊目標的主要原因總結如下:
①經(jīng)濟收益,主要是是通過勒索軟件和身份信息盜竊。
②賬戶接管,特別是針對間諜活動來竊取機密或者知識產(chǎn)權。
③潛在意圖,表現(xiàn)為惡意破壞、尋求快感、干擾治安、損毀名譽等。
財務收益:
如果將數(shù)據(jù)比作石油,那么數(shù)據(jù)庫就是這種資源的寶貴存儲地。
數(shù)據(jù)庫作為企業(yè)或組織的核心知識庫,通常被用來存儲客戶記錄、聯(lián)系人、支付價格和其他機密的業(yè)務往來數(shù)據(jù),可能包括流程、設計、公式或其他有價值的知識產(chǎn)權、財務細節(jié)、政治或法律敏感信息、員工詳細信息、人力資源記錄或者是國家政府機密。
如果攻擊者從你的數(shù)據(jù)庫所泄露的信息中提取有效價值,他們可能會索要贖金,通常以比特幣支付。一般過程可能為前期需要支付贖金來獲取您所泄露的數(shù)據(jù)來保證業(yè)務的正常運作,后期如果沒有支付贖金或沒有滿足攻擊者的要求,勒索者可能會通過公開泄露數(shù)據(jù)來損毀企業(yè)的聲譽。
此外,零零信安的分析師發(fā)現(xiàn),近期未受保護的數(shù)據(jù)庫數(shù)量急劇上升,增長近75%,而去年則為1%至3%。
賬戶接管:
即使是一些日常非敏感的信息,比如電子郵件地址和登錄名,也可以被攻擊者用憑證進行填充,來訪問各種不同的賬戶,這就可能會導致帳戶接管。
因此,這不僅僅是信息被訪問了,重要的是訪問者是誰?有何意圖?如果是訪問國家政府的機密數(shù)據(jù),可能會被攻擊者利用來破壞談判或者用于間諜活動。例如在敵對行動時被賬戶接管,那么個人身份信息(PII)、工作人員、其他人的數(shù)據(jù)包括駕照號碼、銀行賬戶信息和出生日期,這些都可以用來打開新的信息,從而實施身份盜竊或收取欺詐性的財務費用。
潛在意圖:
有些攻擊看似毫無意義,例如Meow攻擊,它只針對于那些沒有啟用安全訪問控制的數(shù)據(jù)庫。Meow清除文件并不會索取贖金或有其他威脅類的請求,并不提供任何形式的通知或是情況說明。
報告顯示,這些Meow攻擊看似只是造成數(shù)據(jù)泄露,但它們實際上會造成破壞,并打開數(shù)據(jù)庫的過程中進一步攻擊數(shù)據(jù)庫。
據(jù)悉,某數(shù)據(jù)分析公司被黑客發(fā)現(xiàn)數(shù)據(jù)庫沒有認證或加密后遭到了黑客的攻擊。導致了近30條關于結核病的數(shù)據(jù)泄露,其中包括120億條與社交媒體相關的記錄。服務器曝光的第二天,Meow攻擊刪除了一半的數(shù)據(jù)。據(jù)悉,剩下的數(shù)據(jù)后來被第三個黑客入侵并留下了一張贖金紙條,要求用0.04比特幣(當時約為550美元)來取回這些數(shù)據(jù)。
那些被攻擊的數(shù)據(jù)庫有什么共同點?
攻擊者想要入侵自然會選擇那些安全系數(shù)低保密性較差的,零零信安經(jīng)調(diào)查發(fā)現(xiàn)大多數(shù)被攻擊的數(shù)據(jù)庫都是完全開放的,這意味著它們不再需要在線驗證或是密碼登錄。
表1 數(shù)據(jù)庫使用排名
表2 數(shù)據(jù)庫泄露記錄
Elasticsearc和MongoDB出現(xiàn)在表1前10個數(shù)據(jù)庫里。通過表2可以知道它們是兩個最流行的分布式數(shù)據(jù)存儲,但也最容易受到攻擊。零零信安系統(tǒng)平臺發(fā)現(xiàn)MongoDB數(shù)據(jù)庫被攻擊者最常訪問和勒索,它們存儲的數(shù)據(jù)也更容易被竊取泄露。
根據(jù)調(diào)查結果可以知道無論您使用什么數(shù)據(jù)庫,都有可能會被竊取數(shù)據(jù)。數(shù)據(jù)泄露很可能在未經(jīng)授權訪問的那一瞬間就完成入侵。企業(yè)數(shù)據(jù)泄露成本將取決于部門和泄露數(shù)據(jù)的性質(zhì),但對于系統(tǒng)的損害、財務的損失、補救的成本、罰款、訴訟或聲譽將非常昂貴。
以下僅列舉零零信安12月上旬監(jiān)測到的其中20條國外數(shù)據(jù)庫泄露事件。
1. 國外某網(wǎng)站數(shù)據(jù)庫泄露:用戶名、UUID、IP、電子郵件、州、城市、郵政編碼、國家、電話號碼、姓名和姓氏、帳戶類型。
2. 國外某人員數(shù)據(jù)庫泄露:姓名、電話、城市。
3. 國外某求職者數(shù)據(jù)庫泄露:姓名、郵箱、電話。
4. 國外某數(shù)據(jù)庫泄露:用戶通訊錄、用戶昵稱、用戶電子郵件、訂單信息。
5. 國外某衛(wèi)生與公共服務部數(shù)據(jù)庫泄露:地址、ID、城市、分類名稱、電話、國家/地區(qū)、郵編。
6.國外某數(shù)據(jù)庫泄露:電話號碼、id、郵編。
7. 國外某汽車車主數(shù)據(jù)庫泄露:VIN、車牌號碼、電話號碼、姓名
8. 國外某公司員工手機數(shù)據(jù)庫泄露:姓名、郵箱、手機號。
9. 國外某電信和無線公司用戶數(shù)據(jù)庫泄露:郵編、地址、電話號碼、姓名。
10. 某網(wǎng)站數(shù)據(jù)庫泄露: CSV文件和電子郵件。
11. 國外某客戶加密數(shù)據(jù)庫泄露:用戶名、電話號碼、密碼、電子郵件。
12. 國外某一互聯(lián)網(wǎng)平臺數(shù)據(jù)庫泄露:姓名、電子郵件、聯(lián)系方式、地址、地區(qū)、地標、城市、網(wǎng)站、URL。
13. 國外某國際電聯(lián)數(shù)據(jù)庫泄露:姓名、id。
14. 國外某身份證數(shù)據(jù)庫泄露:身份證號、地址、姓名。
15. 國外某網(wǎng)站用戶數(shù)據(jù)庫泄露:姓名、密碼、電子郵件。
16. 國外某公司數(shù)據(jù)庫泄露:公司名稱、電子郵件、電話。
17. 國外某互聯(lián)網(wǎng)商店消費者數(shù)據(jù)庫泄露:性別、出生日期、稅號、地址、城市、州、郵政編碼、縣、電話、電子郵件地址、設備ID、cookie ID、IP地址。
18. 國外某消費者數(shù)據(jù)庫泄露:名字、電子郵件、家庭電話、城市、縣、郵編、年齡等。
19. 國外某情報饋送門戶數(shù)據(jù)庫泄露:用戶、電子郵件。
20. 國外某醫(yī)療行業(yè)數(shù)據(jù)庫泄露:街道、城市、電話、郵政編碼。
從國家公共組織、情報部門、網(wǎng)站再到企業(yè)數(shù)據(jù)庫的泄露頻繁發(fā)生,一旦數(shù)據(jù)庫被外部人員、內(nèi)部人員、社交工程、高級持續(xù)性威脅等威脅利用,數(shù)據(jù)庫“拖庫”、“洗庫”帶來的隱私泄露、商業(yè)詐騙、網(wǎng)絡犯罪等就可對企業(yè)造成直接性經(jīng)濟損失和秩序失調(diào),對于擁有豐富數(shù)據(jù)資源的企業(yè)來說,未雨綢繆勢在必行。
被黑客攻破所用時間?
攻擊者正在尋找更多的開放性數(shù)據(jù)庫,無論他們的目標是數(shù)據(jù)盜竊還是勒索軟件開放性數(shù)據(jù)庫都將成為他們的首要選擇。
如果數(shù)據(jù)庫未經(jīng)過任何加密保護那么黑客需要多長時間能找到并竊取它?以一個彈性搜索實例上的不安全數(shù)據(jù)庫的形式蜜罐為例,結果顯示將近在11天的時間里,這個數(shù)據(jù)庫被攻擊了175次,每天可達18次,甚至在該數(shù)據(jù)庫被搜索引擎索引之前,就已經(jīng)發(fā)生了36起攻擊事件。其被搜索引擎索引后,一分鐘內(nèi)發(fā)生了兩次攻擊,這些惡意攻擊包括索要贖金和竊取機密數(shù)據(jù)。這就表明,攻擊者正在主動搜索開放性數(shù)據(jù)庫,開放性數(shù)據(jù)庫的被攻擊概率將大幅增加。
數(shù)據(jù)庫泄露的原因:
零零信安通過研究分析數(shù)據(jù)庫泄露原因大致包括以下幾點:
①人為因素、疏忽、配置錯誤、工作負載過高;
②開放的API濫用或誤用;
③開源軟件缺陷;
④媒體存儲備份泄露;
⑤具有額外訪問權限的第三方。
人為因素:
操作人的疏忽是高達30%的數(shù)據(jù)泄露事件的根本原因,具體表現(xiàn)為配置失誤。公司對于包含關鍵數(shù)據(jù)的數(shù)據(jù)庫管理不善,被遺忘的數(shù)據(jù)庫中可能包含敏感信息,很可能這些敏感數(shù)據(jù)會受到威脅。
造成這些失誤的一個原因是,專業(yè)人員的持續(xù)短缺或者是IT和安全人員的工作負載太高。他們的工作包括復雜又耗時的數(shù)據(jù)庫補丁維護,這可能需要幾個月的時間,在此期間它們?nèi)匀蛔钊菀资艿焦?,處于風險窗口期。
開放的API:
開放可能對工作或商務有很大便利,但它不是總是安全的。對于數(shù)據(jù)的權限太過廣泛,使得每個人都能獲得相關數(shù)據(jù),但最終用戶和開發(fā)者到傳統(tǒng)的銀行和金融機構,并不是一個人人都免費的機構。它必須遵守有關隱私保護的法律和法規(guī)(如GDPR)以及合法的商業(yè)問題(知識產(chǎn)權保護,企業(yè)財務狀況)。雖然為更多的實體提供了更多的數(shù)據(jù),但那些被允許訪問數(shù)據(jù)的人如果蓄意破壞或傳播,將會損壞企業(yè)的利益。
開源軟件缺陷:
開源軟件是第三方影響的原因之一,幾乎所有的商業(yè)數(shù)據(jù)庫約99%都至少包含一個開源組件,其中近75%的代碼庫包含開源安全漏洞。這些未被發(fā)現(xiàn)的漏洞很可能會被黑客利用。一旦開源漏洞被公開,例如通過國家漏洞數(shù)據(jù)庫(NVD),攻擊者在修補之前必定會突然出擊。在開放源代碼中,比較常見的錯誤就是“竊聽門”,這是為了促進開發(fā)而故意植入軟件中的軟件漏洞。而且,在OpenSSL加密軟件庫中也可能存在缺陷。雖然許可證允許使用、修改和共享源代碼但大多數(shù)這些許可證都不符合開放源碼的嚴格的OSI和SPDX定義。其中超過200多種類型的開源許可證,并不符合企業(yè)或組織的嚴格標準與要求。零零信安研究發(fā)現(xiàn)在1253個應用程序中,約67%的代碼庫受到許可證沖突的影響,33%的代碼庫包含未經(jīng)許可的軟件。
媒體存儲備份泄露:
數(shù)據(jù)泄漏的另一個原因是備份存儲介質(zhì)具有不受限制的訪問權限。一些用戶可能被授予了過多的特權,這可能與內(nèi)部人士濫用數(shù)據(jù)庫特權的內(nèi)部威脅相結合。外部攻擊者使用的兩種主要類型的數(shù)據(jù)庫注入攻擊,分別是針對傳統(tǒng)數(shù)據(jù)庫系統(tǒng)的SQL注入和針對“大數(shù)據(jù)”平臺的注入。這兩者都可以讓攻擊者對整個數(shù)據(jù)庫不受限制地訪問。
第三方泄漏:
即使你已經(jīng)制定出最佳方案,你的供應鏈也可能是薄弱環(huán)節(jié)。根據(jù)IBM發(fā)布的數(shù)據(jù)泄露報告可知,約60%企業(yè)經(jīng)歷了一次由第三方造成的重大數(shù)據(jù)泄露事件,平均總成本高達386萬英鎊。
第三方數(shù)據(jù)泄露的額外成本數(shù)量每年超過426萬美元。這似乎令人難以置信,但零零信安經(jīng)分析發(fā)現(xiàn),有53%的組織至少經(jīng)歷過一次由第三方造成的數(shù)據(jù)泄露,平均花費750萬美元進行補救。此外零零信安還發(fā)現(xiàn)接近62%的關鍵事件、93%的服務器泄露事件以及39%的代碼數(shù)據(jù)庫泄露事件都是由于第三方泄露而造成的。
數(shù)據(jù)泄露違約成本上升
根據(jù)IBM發(fā)布的《2022年數(shù)據(jù)泄露成本報告》顯示數(shù)據(jù)泄露事件給企業(yè)和組織造成的經(jīng)濟損失和影響力度達到前所未有的水平,單個數(shù)據(jù)泄露事件給全球的受訪組織造成平均高達 435 萬美元的損失,創(chuàng)下該年度報告發(fā)布17年以來的最高紀錄,60% 的受訪組織表示他們在遭遇數(shù)據(jù)泄露事件之后提高了自身產(chǎn)品或服務的價格。據(jù)調(diào)查2022年數(shù)據(jù)泄露的平均成本達到435萬美元,比2021年的424萬美元增加了2.6%,比2020年的386萬美元增加了12.7%。
2022年,國際上印度尼西亞、加拿大、阿根廷等多個國家也相繼出臺相關政策與法規(guī),一些國家的監(jiān)管機關對于數(shù)據(jù)泄露的單位罰款和法律費用重新調(diào)整比例,美國加州的CCPA和其他監(jiān)管機構也引入了高額罰款和處罰。
近兩年,國內(nèi)相繼頒布了相關的數(shù)據(jù)保護法律,明確數(shù)據(jù)安全保護的義務:
2021年9月1日起實施的《中華人民共和國數(shù)據(jù)安全法》規(guī)定了對數(shù)據(jù)泄露進行:監(jiān)測、預警、研判、應急、防止危害擴大等要求,最高處以1000萬元罰款、吊銷營業(yè)執(zhí)照、追究法律責任。
2021年11月1日起實施的《中華人民共和國個人信息保護法》對履行部門具有保護職責,對信息泄露要有匯報、通知、應急、減輕危害等預案,最高處以5000萬元或上一年5%營業(yè)額罰款、吊銷營業(yè)執(zhí)照、追究法律責任。
2022年12月印發(fā)的《關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》提出建立安全可控、彈性包容的數(shù)據(jù)要素治理制度。把安全貫穿數(shù)據(jù)治理全過程,構建政府、企業(yè)、社會多方協(xié)同的治理模式,創(chuàng)新政府治理方式,明確各方主體責任和義務,完善行業(yè)自律機制,規(guī)范市場發(fā)展秩序,形成有效市場和有為政府相結合的數(shù)據(jù)要素治理格局。
數(shù)據(jù)泄露的其他實質(zhì)性影響包括讓企業(yè)或組織的聲譽受到不可挽回的損害或者造成股價下跌。2022年美國政府宣布調(diào)查FB數(shù)據(jù)泄露丑聞后,F(xiàn)B股價一度大跌了6%左右。澳大利亞的某醫(yī)保基金公司自10月13日首次披露客戶資料遭盜取以來,公司股價已經(jīng)下跌了22%。此外,個人身份的盜竊和銀行賬戶的流失其訴訟費用可能造成數(shù)百萬損失,尤其是集體訴訟。如果敏感的政府數(shù)據(jù)落入攻擊者手中,那么企業(yè)和組織將會陷入政治困難。很明顯,如果企業(yè)一旦認識到由于不安全的數(shù)據(jù)庫而造成的高昂費用和不斷增加的泄露影響,這種風險就需要立即優(yōu)先考慮,并及時進行處理。
關于我們
作為國內(nèi)EASM賽道的領軍企業(yè),零零信安是國內(nèi)首家專注于外部攻擊面管理(EASM)的網(wǎng)絡安全公司。零零信安基于大數(shù)據(jù)立體攻防、以攻促防、主動防御、力求取得立竿見影效果的理念,為客戶提供基于攻擊者視角的外部攻擊面管理技術產(chǎn)品和服務。系統(tǒng)化能力覆蓋企業(yè)信息系統(tǒng)(IP設備、子域名、敏感目錄、組件、云端、影子資產(chǎn)、邊緣資產(chǎn))、移動應用、M&A和供應鏈、漏洞和口令、文檔和代碼泄露、郵箱和人員列表、企業(yè)VIP和管理員、全網(wǎng)情報等風險敞口。從外部攻擊面管理的角度,來幫助企業(yè)站在攻擊者視角下,提前獲悉自身的薄弱環(huán)節(jié),從而提前于攻擊前對薄弱環(huán)節(jié)進行加固,從而避免安全事件的發(fā)生。
零零信安目前已將EASM實現(xiàn)了產(chǎn)品服務化落地,零零信安旗下國內(nèi)首個在線EASM平臺0.zone發(fā)布以來,注冊用戶已超過5萬,隨著企業(yè)越加重視網(wǎng)絡安全與數(shù)據(jù)安全的建設工作,越來越多的企事業(yè)單位的安全運維人員正在使用零零信安外部攻擊面管理技術建設自身的網(wǎng)絡安全與數(shù)據(jù)安全。
00SEC-E&E可以專注于為甲乙方企業(yè)提供外部攻擊面數(shù)據(jù)服務。目標是在安全管理、攻擊檢測、漏洞管理三個場景下,為SOAR、SOC、SIEM、MDR、安全運維(服務);IDS、IPS、NDR、XDR、蜜罐、CTI、應急響應團隊(服務);漏洞管理系統(tǒng)、掃描器、 CAASM、BAS、風險評估(服務)、滲透測試團隊(服務);等產(chǎn)品和服務提供基礎數(shù)據(jù)能力,讓國內(nèi)所有安全產(chǎn)品具備外部攻擊面/暴露面檢測能力。
零零信安還在前不久全新發(fā)布了兩款EASM細分能力產(chǎn)品,其中00SEC-D&D數(shù)據(jù)泄露報警系統(tǒng)00SEC-D&D數(shù)據(jù)泄露報警系統(tǒng)將為監(jiān)管側、企業(yè)用戶提供全網(wǎng)數(shù)據(jù)泄露可視性,該系統(tǒng)可對數(shù)千個泄露源進行7*24小時監(jiān)控,通過對海量數(shù)據(jù)匯聚和數(shù)據(jù)智能分析,讓客戶第一時間獲取是否存在數(shù)據(jù)泄露的情況發(fā)生,從而為后期的研判、應急提供支撐。
另外一款EASM細分能力產(chǎn)品00SEC-O&S數(shù)據(jù)泄露預警系統(tǒng)則可以從外部視角精準洞悉企業(yè)全面的數(shù)據(jù)泄露風險面,完整覆蓋客戶持續(xù)發(fā)展的數(shù)字足跡,從而為企業(yè)進行提前的技術干預提供線索支撐,避免進一步的數(shù)據(jù)泄露事件發(fā)生。
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據(jù)。
關鍵詞:
新聞發(fā)布平臺 |科極網(wǎng) |環(huán)球周刊網(wǎng) |中國創(chuàng)投網(wǎng) |教體產(chǎn)業(yè)網(wǎng) |中國商界網(wǎng) |互聯(lián)快報網(wǎng) |萬能百科 |薄荷網(wǎng) |資訊_時尚網(wǎng) |連州財經(jīng)網(wǎng) |劇情啦 |5元服裝包郵 |中華網(wǎng)河南 |網(wǎng)購省錢平臺 |海淘返利 |太平洋裝修網(wǎng) |勵普網(wǎng)校 |九十三度白茶網(wǎng) |商標注冊 |專利申請 |啟哈號 |速挖投訴平臺 |深度財經(jīng)網(wǎng) |深圳熱線 |財報網(wǎng) |財報網(wǎng) |財報網(wǎng) |咕嚕財經(jīng) |太原熱線 |電路維修 |防水補漏 |水管維修 |墻面翻修 |舊房維修 |參考經(jīng)濟網(wǎng) |中原網(wǎng)視臺 |財經(jīng)產(chǎn)業(yè)網(wǎng) |全球經(jīng)濟網(wǎng) |消費導報網(wǎng) |外貿(mào)網(wǎng) |重播網(wǎng) |國際財經(jīng)網(wǎng) |星島中文網(wǎng) |上甲期貨社區(qū) |品牌推廣 |名律網(wǎng) |項目大全 |整形資訊 |整形新聞 |美麗網(wǎng) |佳人網(wǎng) |稅法網(wǎng) |法務網(wǎng) |法律服務 |法律咨詢 |媒體采購網(wǎng) |聚焦網(wǎng) |參考網(wǎng) |熱點網(wǎng)
中國資本網(wǎng) 版權所有
Copyright © 2011-2020 亞洲資本網(wǎng) All Rights Reserved. 聯(lián)系網(wǎng)站:55 16 53 8 @qq.com