最近某車企被爆車主信息泄露�����,遇到相同問題的車企并非只有這一企業(yè)。去年6月��,同為車企的某公司曾表示����,有將近數(shù)萬名客戶或潛在買家的數(shù)據(jù)遭泄露��,具體信息包括姓名����、地址、手機號碼����、郵件以及部分駕照號碼、車牌號碼��、貸款號碼等�����。另一汽車企業(yè)也曾發(fā)布聲明稱,其注意到2022年4月11日—29日期間���,部分在線客戶賬戶出現(xiàn)了可疑登錄��,導(dǎo)致在未經(jīng)用戶授權(quán)的情況下��,客戶的獎勵積分被兌換成了禮品卡��。此外�,今年10月��,某汽車公司也在一份聲明中表示����,使用其T-connect服務(wù)的約數(shù)萬名客戶的個人信息可能已被泄露,包括電子郵箱地址和客戶編號等����。
數(shù)據(jù)庫中儲存著大量的機密信息,對于用戶和企業(yè)來說都至關(guān)重要�。您是否泄露了敏感數(shù)據(jù)?是否存在潛在漏洞���?您知道數(shù)據(jù)庫怎樣認證的嗎����?使用數(shù)據(jù)庫交換數(shù)據(jù)的過程安全嗎?假如黑客攻擊了數(shù)據(jù)庫�����,又將會發(fā)生什么呢���?
數(shù)據(jù)庫泄露問題的普遍性和嚴重性
因為外部入侵和部分人為因素造成的數(shù)據(jù)泄露仍然是用戶和企業(yè)的心腹大患����。數(shù)據(jù)泄露事件呈快速增長的態(tài)勢��,造成的危害也越來越嚴重�����。那么數(shù)據(jù)泄露問題現(xiàn)在有多普遍呢����?
近年來���,超過360億條的信息記錄被曝光�,零零信安發(fā)現(xiàn)將近4500萬可在互聯(lián)網(wǎng)上公開訪問的映像文件。2021年1月����,黑客免費公開泄漏了超過7700萬條的某用戶記錄數(shù)據(jù)庫,黑客公布的這個14GB的泄漏數(shù)據(jù)庫包含77,159,696條記錄�,其中包含用戶的電子郵件地址、全名��、哈希密碼�、標(biāo)題、公司名稱�、IP地址以及其他與系統(tǒng)相關(guān)的信息。數(shù)十億這樣的文檔由于服務(wù)器配置錯誤或者是不安全的數(shù)據(jù)庫而被獲取泄露���。研究發(fā)現(xiàn)在云計算服務(wù)器運行的193萬個的數(shù)據(jù)庫并沒有設(shè)置防火墻或采取其他安全保護措施�����,那么攻擊者完全可以利用這些數(shù)據(jù)庫的漏洞進行攻擊�,并獲得對其數(shù)據(jù)的訪問權(quán)限����,從而竊取數(shù)據(jù)���。
為什么數(shù)據(jù)庫成為攻擊目標(biāo)?
零零信安通過研究分析將數(shù)據(jù)庫作為攻擊目標(biāo)的主要原因總結(jié)如下:
①經(jīng)濟收益�����,主要是是通過勒索軟件和身份信息盜竊���。
②賬戶接管�,特別是針對間諜活動來竊取機密或者知識產(chǎn)權(quán)�。
③潛在意圖,表現(xiàn)為惡意破壞����、尋求快感、干擾治安�、損毀名譽等���。
財務(wù)收益:
如果將數(shù)據(jù)比作石油���,那么數(shù)據(jù)庫就是這種資源的寶貴存儲地。
數(shù)據(jù)庫作為企業(yè)或組織的核心知識庫�,通常被用來存儲客戶記錄、聯(lián)系人、支付價格和其他機密的業(yè)務(wù)往來數(shù)據(jù)����,可能包括流程、設(shè)計��、公式或其他有價值的知識產(chǎn)權(quán)���、財務(wù)細節(jié)��、政治或法律敏感信息�����、員工詳細信息���、人力資源記錄或者是國家政府機密。
如果攻擊者從你的數(shù)據(jù)庫所泄露的信息中提取有效價值�����,他們可能會索要贖金��,通常以比特幣支付��。一般過程可能為前期需要支付贖金來獲取您所泄露的數(shù)據(jù)來保證業(yè)務(wù)的正常運作,后期如果沒有支付贖金或沒有滿足攻擊者的要求�,勒索者可能會通過公開泄露數(shù)據(jù)來損毀企業(yè)的聲譽。
此外�����,零零信安的分析師發(fā)現(xiàn)�����,近期未受保護的數(shù)據(jù)庫數(shù)量急劇上升����,增長近75%,而去年則為1%至3%�����。
賬戶接管:
即使是一些日常非敏感的信息���,比如電子郵件地址和登錄名,也可以被攻擊者用憑證進行填充���,來訪問各種不同的賬戶�,這就可能會導(dǎo)致帳戶接管。
因此�,這不僅僅是信息被訪問了,重要的是訪問者是誰���?有何意圖����?如果是訪問國家政府的機密數(shù)據(jù)��,可能會被攻擊者利用來破壞談判或者用于間諜活動����。例如在敵對行動時被賬戶接管,那么個人身份信息(PII)����、工作人員、其他人的數(shù)據(jù)包括駕照號碼����、銀行賬戶信息和出生日期,這些都可以用來打開新的信息��,從而實施身份盜竊或收取欺詐性的財務(wù)費用��。
潛在意圖:
有些攻擊看似毫無意義,例如Meow攻擊����,它只針對于那些沒有啟用安全訪問控制的數(shù)據(jù)庫。Meow清除文件并不會索取贖金或有其他威脅類的請求����,并不提供任何形式的通知或是情況說明。
報告顯示����,這些Meow攻擊看似只是造成數(shù)據(jù)泄露,但它們實際上會造成破壞����,并打開數(shù)據(jù)庫的過程中進一步攻擊數(shù)據(jù)庫。
據(jù)悉�,某數(shù)據(jù)分析公司被黑客發(fā)現(xiàn)數(shù)據(jù)庫沒有認證或加密后遭到了黑客的攻擊。導(dǎo)致了近30條關(guān)于結(jié)核病的數(shù)據(jù)泄露��,其中包括120億條與社交媒體相關(guān)的記錄����。服務(wù)器曝光的第二天,Meow攻擊刪除了一半的數(shù)據(jù)。據(jù)悉�����,剩下的數(shù)據(jù)后來被第三個黑客入侵并留下了一張贖金紙條�����,要求用0.04比特幣(當(dāng)時約為550美元)來取回這些數(shù)據(jù)�����。
那些被攻擊的數(shù)據(jù)庫有什么共同點����?
攻擊者想要入侵自然會選擇那些安全系數(shù)低保密性較差的�,零零信安經(jīng)調(diào)查發(fā)現(xiàn)大多數(shù)被攻擊的數(shù)據(jù)庫都是完全開放的,這意味著它們不再需要在線驗證或是密碼登錄�����。
表1 數(shù)據(jù)庫使用排名
表2 數(shù)據(jù)庫泄露記錄
Elasticsearc和MongoDB出現(xiàn)在表1前10個數(shù)據(jù)庫里��。通過表2可以知道它們是兩個最流行的分布式數(shù)據(jù)存儲�,但也最容易受到攻擊。零零信安系統(tǒng)平臺發(fā)現(xiàn)MongoDB數(shù)據(jù)庫被攻擊者最常訪問和勒索��,它們存儲的數(shù)據(jù)也更容易被竊取泄露。
根據(jù)調(diào)查結(jié)果可以知道無論您使用什么數(shù)據(jù)庫�,都有可能會被竊取數(shù)據(jù)。數(shù)據(jù)泄露很可能在未經(jīng)授權(quán)訪問的那一瞬間就完成入侵��。企業(yè)數(shù)據(jù)泄露成本將取決于部門和泄露數(shù)據(jù)的性質(zhì)����,但對于系統(tǒng)的損害、財務(wù)的損失���、補救的成本����、罰款�、訴訟或聲譽將非常昂貴。
以下僅列舉零零信安12月上旬監(jiān)測到的其中20條國外數(shù)據(jù)庫泄露事件�。
1. 國外某網(wǎng)站數(shù)據(jù)庫泄露:用戶名、UUID�、IP、電子郵件�、州、城市���、郵政編碼����、國家、電話號碼��、姓名和姓氏�����、帳戶類型�����。
2. 國外某人員數(shù)據(jù)庫泄露:姓名����、電話���、城市�。
3. 國外某求職者數(shù)據(jù)庫泄露:姓名��、郵箱�����、電話。
4. 國外某數(shù)據(jù)庫泄露:用戶通訊錄���、用戶昵稱�����、用戶電子郵件�����、訂單信息�����。
5. 國外某衛(wèi)生與公共服務(wù)部數(shù)據(jù)庫泄露:地址�、ID��、城市��、分類名稱�����、電話、國家/地區(qū)��、郵編��。
6.國外某數(shù)據(jù)庫泄露:電話號碼���、id����、郵編��。
7. 國外某汽車車主數(shù)據(jù)庫泄露:VIN��、車牌號碼�����、電話號碼�����、姓名
8. 國外某公司員工手機數(shù)據(jù)庫泄露:姓名����、郵箱、手機號��。
9. 國外某電信和無線公司用戶數(shù)據(jù)庫泄露:郵編���、地址�、電話號碼���、姓名�����。
10. 某網(wǎng)站數(shù)據(jù)庫泄露: CSV文件和電子郵件���。
11. 國外某客戶加密數(shù)據(jù)庫泄露:用戶名、電話號碼��、密碼�����、電子郵件�。
12. 國外某一互聯(lián)網(wǎng)平臺數(shù)據(jù)庫泄露:姓名、電子郵件���、聯(lián)系方式���、地址�、地區(qū)�、地標(biāo)、城市��、網(wǎng)站�����、URL�。
13. 國外某國際電聯(lián)數(shù)據(jù)庫泄露:姓名���、id���。
14. 國外某身份證數(shù)據(jù)庫泄露:身份證號、地址�、姓名。
15. 國外某網(wǎng)站用戶數(shù)據(jù)庫泄露:姓名���、密碼����、電子郵件。
16. 國外某公司數(shù)據(jù)庫泄露:公司名稱���、電子郵件��、電話��。
17. 國外某互聯(lián)網(wǎng)商店消費者數(shù)據(jù)庫泄露:性別��、出生日期��、稅號���、地址、城市���、州���、郵政編碼、縣����、電話��、電子郵件地址����、設(shè)備ID����、cookie ID、IP地址���。
18. 國外某消費者數(shù)據(jù)庫泄露:名字�����、電子郵件���、家庭電話���、城市����、縣��、郵編、年齡等�。
19. 國外某情報饋送門戶數(shù)據(jù)庫泄露:用戶、電子郵件��。
20. 國外某醫(yī)療行業(yè)數(shù)據(jù)庫泄露:街道�����、城市�����、電話�、郵政編碼。
從國家公共組織�����、情報部門��、網(wǎng)站再到企業(yè)數(shù)據(jù)庫的泄露頻繁發(fā)生�����,一旦數(shù)據(jù)庫被外部人員、內(nèi)部人員��、社交工程��、高級持續(xù)性威脅等威脅利用��,數(shù)據(jù)庫“拖庫”��、“洗庫”帶來的隱私泄露���、商業(yè)詐騙�����、網(wǎng)絡(luò)犯罪等就可對企業(yè)造成直接性經(jīng)濟損失和秩序失調(diào)��,對于擁有豐富數(shù)據(jù)資源的企業(yè)來說�����,未雨綢繆勢在必行���。
被黑客攻破所用時間����?
攻擊者正在尋找更多的開放性數(shù)據(jù)庫�����,無論他們的目標(biāo)是數(shù)據(jù)盜竊還是勒索軟件開放性數(shù)據(jù)庫都將成為他們的首要選擇��。
如果數(shù)據(jù)庫未經(jīng)過任何加密保護那么黑客需要多長時間能找到并竊取它�?以一個彈性搜索實例上的不安全數(shù)據(jù)庫的形式蜜罐為例�,結(jié)果顯示將近在11天的時間里,這個數(shù)據(jù)庫被攻擊了175次�����,每天可達18次�,甚至在該數(shù)據(jù)庫被搜索引擎索引之前,就已經(jīng)發(fā)生了36起攻擊事件�。其被搜索引擎索引后,一分鐘內(nèi)發(fā)生了兩次攻擊��,這些惡意攻擊包括索要贖金和竊取機密數(shù)據(jù)�����。這就表明��,攻擊者正在主動搜索開放性數(shù)據(jù)庫,開放性數(shù)據(jù)庫的被攻擊概率將大幅增加��。
數(shù)據(jù)庫泄露的原因:
零零信安通過研究分析數(shù)據(jù)庫泄露原因大致包括以下幾點:
①人為因素�、疏忽、配置錯誤��、工作負載過高��;
②開放的API濫用或誤用��;
③開源軟件缺陷���;
④媒體存儲備份泄露���;
⑤具有額外訪問權(quán)限的第三方。
人為因素:
操作人的疏忽是高達30%的數(shù)據(jù)泄露事件的根本原因�����,具體表現(xiàn)為配置失誤�����。公司對于包含關(guān)鍵數(shù)據(jù)的數(shù)據(jù)庫管理不善���,被遺忘的數(shù)據(jù)庫中可能包含敏感信息�����,很可能這些敏感數(shù)據(jù)會受到威脅�����。
造成這些失誤的一個原因是����,專業(yè)人員的持續(xù)短缺或者是IT和安全人員的工作負載太高����。他們的工作包括復(fù)雜又耗時的數(shù)據(jù)庫補丁維護,這可能需要幾個月的時間���,在此期間它們?nèi)匀蛔钊菀资艿焦?����,處于風(fēng)險窗口期����。
開放的API:
開放可能對工作或商務(wù)有很大便利,但它不是總是安全的��。對于數(shù)據(jù)的權(quán)限太過廣泛�����,使得每個人都能獲得相關(guān)數(shù)據(jù)�����,但最終用戶和開發(fā)者到傳統(tǒng)的銀行和金融機構(gòu)��,并不是一個人人都免費的機構(gòu)����。它必須遵守有關(guān)隱私保護的法律和法規(guī)(如GDPR)以及合法的商業(yè)問題(知識產(chǎn)權(quán)保護,企業(yè)財務(wù)狀況)�。雖然為更多的實體提供了更多的數(shù)據(jù),但那些被允許訪問數(shù)據(jù)的人如果蓄意破壞或傳播�����,將會損壞企業(yè)的利益���。
開源軟件缺陷:
開源軟件是第三方影響的原因之一���,幾乎所有的商業(yè)數(shù)據(jù)庫約99%都至少包含一個開源組件�,其中近75%的代碼庫包含開源安全漏洞�。這些未被發(fā)現(xiàn)的漏洞很可能會被黑客利用。一旦開源漏洞被公開���,例如通過國家漏洞數(shù)據(jù)庫(NVD),攻擊者在修補之前必定會突然出擊�����。在開放源代碼中�����,比較常見的錯誤就是“竊聽門”��,這是為了促進開發(fā)而故意植入軟件中的軟件漏洞�����。而且����,在OpenSSL加密軟件庫中也可能存在缺陷�。雖然許可證允許使用���、修改和共享源代碼但大多數(shù)這些許可證都不符合開放源碼的嚴格的OSI和SPDX定義�����。其中超過200多種類型的開源許可證�,并不符合企業(yè)或組織的嚴格標(biāo)準(zhǔn)與要求����。零零信安研究發(fā)現(xiàn)在1253個應(yīng)用程序中,約67%的代碼庫受到許可證沖突的影響�,33%的代碼庫包含未經(jīng)許可的軟件。
媒體存儲備份泄露:
數(shù)據(jù)泄漏的另一個原因是備份存儲介質(zhì)具有不受限制的訪問權(quán)限����。一些用戶可能被授予了過多的特權(quán),這可能與內(nèi)部人士濫用數(shù)據(jù)庫特權(quán)的內(nèi)部威脅相結(jié)合���。外部攻擊者使用的兩種主要類型的數(shù)據(jù)庫注入攻擊����,分別是針對傳統(tǒng)數(shù)據(jù)庫系統(tǒng)的SQL注入和針對“大數(shù)據(jù)”平臺的注入���。這兩者都可以讓攻擊者對整個數(shù)據(jù)庫不受限制地訪問�。
第三方泄漏:
即使你已經(jīng)制定出最佳方案,你的供應(yīng)鏈也可能是薄弱環(huán)節(jié)��。根據(jù)IBM發(fā)布的數(shù)據(jù)泄露報告可知�,約60%企業(yè)經(jīng)歷了一次由第三方造成的重大數(shù)據(jù)泄露事件,平均總成本高達386萬英鎊��。
第三方數(shù)據(jù)泄露的額外成本數(shù)量每年超過426萬美元���。這似乎令人難以置信,但零零信安經(jīng)分析發(fā)現(xiàn)��,有53%的組織至少經(jīng)歷過一次由第三方造成的數(shù)據(jù)泄露���,平均花費750萬美元進行補救���。此外零零信安還發(fā)現(xiàn)接近62%的關(guān)鍵事件、93%的服務(wù)器泄露事件以及39%的代碼數(shù)據(jù)庫泄露事件都是由于第三方泄露而造成的�����。
數(shù)據(jù)泄露違約成本上升
根據(jù)IBM發(fā)布的《2022年數(shù)據(jù)泄露成本報告》顯示數(shù)據(jù)泄露事件給企業(yè)和組織造成的經(jīng)濟損失和影響力度達到前所未有的水平��,單個數(shù)據(jù)泄露事件給全球的受訪組織造成平均高達 435 萬美元的損失,創(chuàng)下該年度報告發(fā)布17年以來的最高紀(jì)錄����,60% 的受訪組織表示他們在遭遇數(shù)據(jù)泄露事件之后提高了自身產(chǎn)品或服務(wù)的價格。據(jù)調(diào)查2022年數(shù)據(jù)泄露的平均成本達到435萬美元��,比2021年的424萬美元增加了2.6%��,比2020年的386萬美元增加了12.7%�。
2022年,國際上印度尼西亞�����、加拿大���、阿根廷等多個國家也相繼出臺相關(guān)政策與法規(guī)��,一些國家的監(jiān)管機關(guān)對于數(shù)據(jù)泄露的單位罰款和法律費用重新調(diào)整比例����,美國加州的CCPA和其他監(jiān)管機構(gòu)也引入了高額罰款和處罰�。
近兩年,國內(nèi)相繼頒布了相關(guān)的數(shù)據(jù)保護法律,明確數(shù)據(jù)安全保護的義務(wù):
2021年9月1日起實施的《中華人民共和國數(shù)據(jù)安全法》規(guī)定了對數(shù)據(jù)泄露進行:監(jiān)測��、預(yù)警�����、研判���、應(yīng)急�、防止危害擴大等要求�����,最高處以1000萬元罰款���、吊銷營業(yè)執(zhí)照、追究法律責(zé)任����。
2021年11月1日起實施的《中華人民共和國個人信息保護法》對履行部門具有保護職責(zé),對信息泄露要有匯報���、通知�����、應(yīng)急�、減輕危害等預(yù)案,最高處以5000萬元或上一年5%營業(yè)額罰款�、吊銷營業(yè)執(zhí)照、追究法律責(zé)任��。
2022年12月印發(fā)的《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》提出建立安全可控�、彈性包容的數(shù)據(jù)要素治理制度。把安全貫穿數(shù)據(jù)治理全過程�����,構(gòu)建政府����、企業(yè)、社會多方協(xié)同的治理模式��,創(chuàng)新政府治理方式����,明確各方主體責(zé)任和義務(wù),完善行業(yè)自律機制���,規(guī)范市場發(fā)展秩序�����,形成有效市場和有為政府相結(jié)合的數(shù)據(jù)要素治理格局����。
數(shù)據(jù)泄露的其他實質(zhì)性影響包括讓企業(yè)或組織的聲譽受到不可挽回的損害或者造成股價下跌。2022年美國政府宣布調(diào)查FB數(shù)據(jù)泄露丑聞后����,F(xiàn)B股價一度大跌了6%左右。澳大利亞的某醫(yī)?����;鸸咀?0月13日首次披露客戶資料遭盜取以來����,公司股價已經(jīng)下跌了22%�����。此外�,個人身份的盜竊和銀行賬戶的流失其訴訟費用可能造成數(shù)百萬損失,尤其是集體訴訟。如果敏感的政府?dāng)?shù)據(jù)落入攻擊者手中�����,那么企業(yè)和組織將會陷入政治困難���。很明顯�,如果企業(yè)一旦認識到由于不安全的數(shù)據(jù)庫而造成的高昂費用和不斷增加的泄露影響�����,這種風(fēng)險就需要立即優(yōu)先考慮��,并及時進行處理��。
關(guān)于我們
作為國內(nèi)EASM賽道的領(lǐng)軍企業(yè)�,零零信安是國內(nèi)首家專注于外部攻擊面管理(EASM)的網(wǎng)絡(luò)安全公司。零零信安基于大數(shù)據(jù)立體攻防�����、以攻促防��、主動防御��、力求取得立竿見影效果的理念,為客戶提供基于攻擊者視角的外部攻擊面管理技術(shù)產(chǎn)品和服務(wù)����。系統(tǒng)化能力覆蓋企業(yè)信息系統(tǒng)(IP設(shè)備、子域名����、敏感目錄、組件��、云端�����、影子資產(chǎn)����、邊緣資產(chǎn))、移動應(yīng)用���、M&A和供應(yīng)鏈���、漏洞和口令、文檔和代碼泄露���、郵箱和人員列表��、企業(yè)VIP和管理員�、全網(wǎng)情報等風(fēng)險敞口�����。從外部攻擊面管理的角度�,來幫助企業(yè)站在攻擊者視角下,提前獲悉自身的薄弱環(huán)節(jié)�����,從而提前于攻擊前對薄弱環(huán)節(jié)進行加固����,從而避免安全事件的發(fā)生。
零零信安目前已將EASM實現(xiàn)了產(chǎn)品服務(wù)化落地�����,零零信安旗下國內(nèi)首個在線EASM平臺0.zone發(fā)布以來���,注冊用戶已超過5萬����,隨著企業(yè)越加重視網(wǎng)絡(luò)安全與數(shù)據(jù)安全的建設(shè)工作,越來越多的企事業(yè)單位的安全運維人員正在使用零零信安外部攻擊面管理技術(shù)建設(shè)自身的網(wǎng)絡(luò)安全與數(shù)據(jù)安全�����。
00SEC-E&E可以專注于為甲乙方企業(yè)提供外部攻擊面數(shù)據(jù)服務(wù)�。目標(biāo)是在安全管理、攻擊檢測����、漏洞管理三個場景下,為SOAR�、SOC、SIEM��、MDR�����、安全運維(服務(wù))��;IDS�、IPS、NDR、XDR�、蜜罐、CTI�����、應(yīng)急響應(yīng)團隊(服務(wù))���;漏洞管理系統(tǒng)、掃描器���、 CAASM�、BAS��、風(fēng)險評估(服務(wù))����、滲透測試團隊(服務(wù));等產(chǎn)品和服務(wù)提供基礎(chǔ)數(shù)據(jù)能力���,讓國內(nèi)所有安全產(chǎn)品具備外部攻擊面/暴露面檢測能力��。
零零信安還在前不久全新發(fā)布了兩款EASM細分能力產(chǎn)品�,其中00SEC-D&D數(shù)據(jù)泄露報警系統(tǒng)00SEC-D&D數(shù)據(jù)泄露報警系統(tǒng)將為監(jiān)管側(cè)�、企業(yè)用戶提供全網(wǎng)數(shù)據(jù)泄露可視性�,該系統(tǒng)可對數(shù)千個泄露源進行7*24小時監(jiān)控��,通過對海量數(shù)據(jù)匯聚和數(shù)據(jù)智能分析����,讓客戶第一時間獲取是否存在數(shù)據(jù)泄露的情況發(fā)生,從而為后期的研判��、應(yīng)急提供支撐���。
另外一款EASM細分能力產(chǎn)品00SEC-O&S數(shù)據(jù)泄露預(yù)警系統(tǒng)則可以從外部視角精準(zhǔn)洞悉企業(yè)全面的數(shù)據(jù)泄露風(fēng)險面�,完整覆蓋客戶持續(xù)發(fā)展的數(shù)字足跡����,從而為企業(yè)進行提前的技術(shù)干預(yù)提供線索支撐,避免進一步的數(shù)據(jù)泄露事件發(fā)生����。
免責(zé)聲明:市場有風(fēng)險,選擇需謹慎�!此文僅供參考,不作買賣依據(jù)�����。
關(guān)鍵詞:
