据 Comparitech 的安全研究人员称,在线教育平台 K12.com 本周无意中暴露了近 700 万学生的个人信息。暴露的数据库包含全名,电子邮件地址,出生日期和性别身份,以及学生就读的学校,同时还可访问其帐户的身份验证密钥和其他内部数据。
这些信息在线提供了一个多星期,目前还不清楚数据库是否被恶意行为者访问或者获取。据发现数据暴露的研究人员称,该问题影响了K12.com的A+nyWhere学习系统(A + LS),该系统被美国1100多个学区使用。
数据库配置错误可能是导致它可以在BinaryEdge和Shodan上公开访问和发现的原因,这两个搜索引擎专门为面向公众的数据库编制索引。 6月25日发现的曝光首次发生在6月23日,直到7月1日才得以修复。
错误配置的数据库暴露公司收集和持有的大量个人信息的事件近年来变得非常普遍。就在最近几个月,面向公众的数据库暴露了大量Instagram知名人士账号的联系信息、康复病人的医疗记录、AMC Networks高级服务的订户等等。在其中一个例子中竟然还发现了包含美国8000多万家庭敏感信息的数据库。在这种情况下,确实很难确定是否有人恶意访问了这些信息。
源头杜绝隐私泄露
1.不下载不明应用
官方提供的软件大都经过了严格的测试,安全性比较有保障,可以最大程度减少应用被篡改或植入木马程序的可能性。通常正轨的APP都经过了代码签名证书,下载时可以查看到开发者的信息,如没有部署代码签名证书的APP建议不要下载使用。
2.不连陌生WiFi
在陌生环境中,要保持警惕心理。不要接入安全性未知或陌生的WiFi网络,避免落入不法分子的陷阱。
3.严格管理权限
应用安装后,对应用权限的申请不能全部同意,尤其是涉及定位、短信、通讯录等敏感权限。对可能泄露个人信息的权限,尽量拒绝,不可只图一时之便。对于申请权限过多或申请权限与其用途不符的,给予重点关注。
4.留意账号授权
使用社交媒体账号登录第三方网站时不贪图方便,仔细查看其申请的权限。可以取消勾选的,尽量取消。同时,要养成检查的习惯,时常关注授权情况,对于长期不用的第三方网站,及时取消账号授权。
企业如何避免用户信息被泄露
1、 企业应部署SSL证书。为了防止用户误入假冒网站/钓鱼网站的陷阱,企业网站应部署数安时代SSL证书或更高级别的EV SSL证书,将企业网站和钓鱼网站区分开,网址栏展示HTTPS、安全锁以及证书中的网站真实身份信息,让用户拥有足够的信息判断网站真实性,对比之下,假冒网站立显原形。
2、 企业应为软件进行代码签名证书。合法APP应使用代码签名证书签名软件程序,签名后的软件,可展示软件开发者的真实身份,同时证明软件在传输过程中没有被非法篡改或植入病毒木马,用户可通过证书,判断软件来源的真实性及软件程序的完整性。
3、企业应为员工通讯邮箱部署电子邮件证书,为保护客户的利益,维护客户数据安全。邮件用户使用GDCA邮件证书对电子邮件进行数字签名并加密传输,一方面可以保证邮件发送者身份真实性,另一方面保障了邮件传输过程中不被他人阅读及篡改,并由邮件接收者进行验证,确保电子邮件内容的完整性。
