近期,有安全人员在微软云服务器上发现了一个未采取加密手段,任何人都可访问的数据库,其中包含大约8000万美国家庭的信息,这个数目超过了美国家庭总数的一半。
虽然目前没有任何信息指出这泄露出的24GB数据属于哪个公司,但vpnMentor的研究团队正和Noam Rotem合作——正是他们在Microsoft云服务器上发现了这个数据库——试图找出这个数据库的所有者。
在这个数据库中找到的所有记录都包含“member_code”和“score”这两个关键词,看来这些数据涉及到某种产品的定位跟踪功能。
泄露的家庭数据
如Rotem和Locar发布的报告所述,泄露的数据库似乎是以“家庭”为格式存储信息,而不是像其他以个人为单位的数据记录。
泄露的信息包括:
·完整住址,包括街道地址,城市,县,州和邮政编码
·精确的经度和纬度
·全名,包括名,姓和中间的字母
·年龄
·出生日期
除此之外,还有很多并非以明文表示的数据:
·标题
·性别
·婚姻状况
·收入
·房主身份
·住宅类型
“这不是我第一次看到存在未授权问题数据库。但是,这是我第一次看到如此规模的过于敏感的数据的泄露事件,”Rotem和Locar表示:“这个对外开放的数据库可以说是恶意攻击者的金矿。”
影响
虽然目前大规模数据泄露事件可以说变得非常普遍,但这起事件还是造成了罕见的影响。因为,8000万这个数字只是表面上的统计数据,你无法想象这到底涉及到多少人。从目前来看,至少上亿人的收入,住址和出生日期被泄露。
另一方面,安全专家发现数据库中的个人信息中的年龄都在40岁以下,这大概是这些信息唯一的共同点。其次,每条数据记录都带有“收入”和“房主”这两个标签,这可能与“内部排名系统或者税收统计”有关。
但是,正如vpnMentor的报告所述,这些数据很可能属于抵押贷款公司或保险公司。不过,如果真是这样,那就缺少关于付款,社会安全号码或帐号等信息,一般来说这些都是必备信息。
Rotem曾在今年1月份发现了另一起数据泄漏事件,Amadeus航班在线预订系统存在安全问题,攻击者可以查看和更改数百万国际航空公司客户的航班预订信息。
企业如何规避或者妥善解决?
代码签名证书可以对恶意代码进行定期扫描,能确保用户通过互联网下载软件时,确信此代码没有被非法篡改和来源可信,从而保护了代码的完整性、保护了用户不会被病毒、恶意代码和间谍软件所侵害。
目前,对企业官网进行HTTPS加密部署SSL证书是目前最有效的网络安全保护!
相较于传统的HTTP明文协议,HTTPS协议可以确保传输数据的完整性和机密性,建立一条从用户端到网站服务器端的加密传输通道,通过复杂的握手协议,确保用户的传输信息不被第三方窃取或篡改。
另一方面,HTTPS加密协议还可以实现对网站身份进行验证,部署SSL证书后会在地址栏显示https://开头和锁形标志,用户可以通过查看(锁形标志)证书信息来确定购票网站的真实性,避免被钓鱼网站盗取个人信息甚至骗取财物。
而且,部署SSL证书能将企业网站SEO排名提高,SEO排名越高,不仅能让用户更快的搜索到网站,还能让用户更加信任网站,从而增加网站的营业额。这两年各大浏览器都在推进HTTPS加密的进程,HTTPS多次握手和复杂的加密机制有效的加大了网站的安全性,加密机制与认证 机制可以减少网站被劫持和假冒的风险!所以谷歌、百度等各大浏览器先后将HTTP网站标注为不安全网站,还会优先收录HTTPS网站,并给与排序优待。
HTTPS是现行架构下最安全的解决方案,并且它最大程度的阻止中间人攻击,保护信息安全。部署SSL证书一定要选择一个具有公信力的CA机构,最好就是想数安时代GDCA一样经过WEBTRUST国际认证的。数安时代以最安全的解决方案、专业的技术支持团队用户提供最权威的认证服务和最安全的认证保障。拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可以为用户提供7*24一对一服务与技术支持。如有需要咨询客服。
