小伙伴关心的问题:数据泄露问题,涉及数据库的漏洞,本文通过数据整理汇集了数据泄露问题,涉及数据库的漏洞相关信息,下面一起看看。

数据泄露问题,涉及数据库的漏洞

即使是最聪明的人也会犯最愚蠢的错误。但是,当涉及到IT时,最小的失误可能导致重大数据泄露,并带来可怕的后果。数据泄露正加剧。黑客继续无情地攻击企业和 *** 机构,而且只会变得更糟。因此,(绝对)没有任何愚蠢错误的余地。

根据FBI的调查,在COVID-19大流行期间,与网络犯罪有关的报道增加了三倍。随着越来越多的公司成为违反安全性的受害者,他们面临着可能受到巨额监管罚款和品牌声誉受损的风险。

此类安全事件的主要原因之一是人为错误。例如,在英国,去年90%的数据泄露是人为造成的。在美国,Verizon的《 2019年数据泄露调查报告》发现人为错误是21%的安全漏洞背后的原因。

尽管不时地犯错是人的天性,但没有可以避免的愚蠢错误的借口。因此,公司和安全团队需要注意这些示例,并采取额外的步骤以避免重复这些“愚蠢的错误”。

1.配置错误

黑客始终会搜索未正确设置的服务器。这就是现在臭名昭著的“ CapitalOne”数据泄露背后的原因,该数据泄露泄露了超过1亿申请人和客户的敏感个人数据。 在这种情况下,有缺陷的防火墙实施会导致对服务器的访问。由于该公司没有对存储在服务器上的敏感数据进行适当的加密,因此黑客能够读取它们。

这似乎是一个常见的主题,因为金雅拓的“突破级别指数”所跟踪的数据泄露中,只有4%是(我们称之为)安全泄露,其中窃取的数据被加密并且对威胁行动者毫无用处。

2.缺乏更新

Equifax公司数据外泄,今天仍然火热的头条新闻,因为发生的IT团队并没有积极主动的处理问题。即使公司在2017年春季收到有关威胁的警报后,消费信贷机构仍未能识别该漏洞。 在这种情况下,由于数字证书在事件发生前十个月到期,因此暴露了加密的流量。这种疏忽允许黑客从5月中旬到7月底破坏系统并访问敏感信息。

这个愚蠢的错误导致超过1.45亿美国公民和1000万英国公民的个人数据被盗。随着该公司继续支付巨额罚款以解决众多诉讼,该事件仍是头条新闻。

3.选择速度超过安全性

Transportstyrelsen瑞典运输局将其车辆和牌照登记册外包给第三方承包商以节省资金。在任何其他情况下,这对于希望以经济高效的方式吸引顶尖技术人才的公司和 *** 机构来说都是标准做法。 但这是Transportstyrelsen失误的地方。 为了加快整个过程,总干事决定忽略标准的安全程序和最佳做法。最值得注意的是,能够无缝访问需要安全检查的敏感数据。

这次安全事件暴露了犯罪记录人员,军事和警察运输人员,情报人员以及证人保护计划中人员的细节。幸运的是,没有证据表明,除了分包商以外,没有人查看过此信息。情报人员或证人保护人员均未受到任何伤害。 但这可能会造成严重的后果!

此安全事件带来的政治影响证明了瑞典 *** 对技术和数据安全的无知。积极的结果是它在 *** 部门之间引发了一场巨变,以确保这种情况不再发生。

4.密码不够安全

在当前的威胁形势下,您会认为几乎每天都不可能不听说数据泄露。但是,西澳州 *** 官员继续使用可笑的弱密码。

例如,多达1,464名员工使用的最常见的弱密码是“ Password123”。 此外,研究表明,跨机构的帐户中有26%的帐户使用了类似的弱密码(例如abc123),从而大大增加了他们的风险敞口。更糟糕的是,使用密码“ Sumer123”可以完全访问每个 *** 系统。

但是,不仅仅是澳大利亚人,他们在美国的同行们也被发现犯了同样的愚蠢错误。 根据WatchGuard进行的一项研究,在超过355,000个 *** 和军事电子邮件帐户中,近50%的密码很弱,很容易在两天内被绿色。

在这种情况下, *** 和军事人员最常用的弱密码如下:

12345612345678PasswordSunshine

大家发现,普通密码在52%的时间内都是弱密码,并与可追溯到2012年的LinkedIn数据泄露中的密码相匹配。

5.考虑易用性忽视安全性

Uber臭名昭著的数据泄露是由于对大量数据的访问控制不力所致。在这种情况下,威胁行动者能够在私有GitHub编码站点中查找包含用户数据(或5700万条包含个人身份信息的记录)的Amazon Web Services帐户的凭证。

如果那还不够糟糕,Uber经常允许开发人员访问实时生产数据,而无需部署适当的协议来监视和保护此敏感信息。由于所有开发人员都可以无限制地访问用户数据,因此攻击者所要做的就是让一个人泄密以破坏整个系统。

由于开发人员可以完全访问GitHub存储库,并且有大量客户数据可用,我们可以得出结论,Uber犯了一个愚蠢的错误,即选择“易用性而不是安全性”。更糟糕的是,该公司试图通过向黑客支付10万美元来删除被盗的用户数据并掩盖此事件,从而掩盖这一情况。

6.使用不安全的数据库

法国健身科技公司Kinomap最近遭受了大规模的数据泄露,暴露了4200万用户(分布在80个国家/地区)的个人身份信息。 由vpnMentor的研究人员发现,该开放数据库至少有一个月没有安全保护,它揭示了以下信息:

全名用户名电子邮件地址本国性别练习时间戳Kinomap帐户详细信息客户加入Kinomap的日期

所有这些敏感的用户数据均未加密,因此威胁行动者可以轻松访问。令此安全事件更为糟糕的是,尽管vpnMentor于2020年3月28日通知了法国公司,但他们在两周内(直到2020年4月12日)都没有解决安全问题。

7.对内部人威胁缺乏防范

万豪酒店在两年内遭受了第二次重大数据泄露,两名员工访问了超过500万名客人的信息。 尽管此事件不像2018年的安全事件那样严重,但令人担忧的是,即使在第一次事件发生后,酒店连锁店也没有认真对待安全问题。

尽管这种数据泄露被称为“愚蠢的错误”有点复杂,但可以避免。如果部署了实时监视和零信任协议 ,当发现用户行为的异常模式时,安全团队将立即收到警报。

从中得到的教训:

始终加密敏感数据立即部署最新补丁和更新参加定期的安全培训进行渗透测试以发现潜在漏洞绝不妥协网络安全最佳实践 始终对每个用户和系统使用唯一的凭据使用强密码 使用两因素身份验证准备好数据泄露计划 立即应对数据泄露

要了解有关服务器数据库和企业安全最佳做法的更多信息,请立即在下方评论或与我联系。

更多数据泄露问题,涉及数据库的漏洞相关信息请关注本站,本文仅仅做为展示!