售前咨询
技术支持
渠道合作

美国泄露2亿条财产和人口统计数据库记录

超过2亿条包含有关美国居民的广泛财产相关信息的记录被暴露在不需要任何密码或身份验证即可通过网络访问的数据库中。

公开的数据(包括个人和人口详细信息)包括姓名,地址,电子邮件地址,年龄,性别,种族,就业,信用等级,投资偏好,收入,净资产和财产信息,例如:

  • 市场价值
  • 财产种类
  • 抵押金额,利率,类型和贷方
  • 再融资金额,利率,类型和贷方
  • 先前的拥有者
  • 建造年份
  • 床和浴室数量
  • 税务评估信息

据安全公司Comparitech称,该数据库位于Google Cloud上,据称已于1月26日由搜索引擎BinaryEdge首次建立索引,一天后由网络安全研究员Bob Diachenko发现。

但是,在未能确定数据库所有者之后,服务器终于在一个多月后的昨天离线。

研究小组告诉《黑客新闻》:“我们一直在尝试与Google的云安全团队联系(他们的数据库中托管有数据库的IP),要求他们撤消IP,但从未得到回应。” “由于拥有基于云的IP,因此没有反向DNS记录可用,因此无法确定所有者的其他方法。”该数据库总共包含201,162,598条记录,每个条目对应一个唯一的个体。

Comparitech指出,在它可以访问数据库的时间内,“正在使用新数据对其进行更新,这表明所包含的信息是相当新的。”
此外,泄漏引发了有关服务身份的问题,该服务需要存储此类详细的个人身份和此类人口统计数据。

鱼叉式钓鱼警告

鉴于数据没有得到充分的保护,尚不清楚其他未经授权的各方是否访问了该数据库并下载了其内容。这种暴露的结果是有针对性的网络钓鱼攻击的可能性增加。

Comparitech说:“此数据集中包含的详细的个人,人口统计和财产信息,对于从事网络钓鱼活动的垃圾邮件发送者,骗子和网络犯罪分子来说,是一个金矿。” “数据不仅使犯罪分子能够针对特定人群,而且还可以发出更具说服力的信息。”

具体来说,攻击者可以利用网络钓鱼电子邮件来针对个人,以传播可以下载恶意程序并窃取敏感信息的各种恶意软件。因此,至关重要的是,用户必须启用双重身份验证以添加第二层帐户保护。

这不是泄漏服务器实例成为头条新闻的唯一时间。近几个月来,厄瓜多尔和俄罗斯公民以及美国政府人员的个人信息在Elasticsearch服务器上没有受到任何保护,强调在云安全方面还有很长的路要走。

“把数据放在面向互联网的服务器上,其中包含大量未加密的、不安全的敏感数据,这就好比敞开你家里的后门一样。”那么,企业和组织机构可以采取哪些措施防止数据泄露?小编为大家整理了在数据安全防护措施的建议如下:

  • 主动预防性措施

➤安全访问控制:完善接入安全,固定接入的终端设备、应用接口,将非法接入拒之门外

➤身份鉴别:强口令认证,周期性修改口令,防止弱口令和权限泄露

➤安全策略配置:数据相关的系统更改不安全的默认配置,进行加固操作,进行核心数据主动防护

➤数据脱敏:根据数据的重要程度和敏感级别进行分级

➤数据加密:存储和传输数据时,部署SSL证书进行加密处理

➤安全意识培训:定期进行内部员工安全培训,提高保障数据安全意识

  • 检测性措施

➤准入控制:通过管理权限检测、网络层、应用层控制检测、物理控制做到准入安全

➤漏洞检测与修复:通过检测系统存在的漏洞,进行补丁升级修复或风险规避

➤安全行为审计:对数据访问行为进行记录,通过审计来不断调整权限和发现违规事件

➤入侵防御系统:通过入侵防御系统,能够精确的发现各种网络入侵行为,并进行相应的防御

  • 威慑性措施

通过下一代防火墙、入侵防御系统功能,来保障数据安全访问,及时阻断已知的恶意攻击,同时结合告警反馈和安全检测技术来达到对恶意攻击者的威慑。

  • 恢复性措施

通过多种数据备份、容灾方案,保护企业的操作系统、数据库、应用、文件、虚拟机等数据,在遭遇数据灾难时,能完整、准确、快速地还原数据,最大化降低企业的经济损失。

  • 制度性措施

近几年,数据安全已经被逐步纳入国家法规和行业规范中,包括《网络安全法》、《网络安全等级保护基本要求2.0》等。这些已颁布的法律法规对数据安全和个人信息保护进行了明确立法规定,对各类组织承担的数据安全保障义务与责任进行明确要求,并保障信息安全在法律范围内的可控性。

声明:本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代

上一篇:

下一篇:

相关文章