1.安全概述.docx
25墨值下载
安全概述
安全对应用程序来说非常重要,因此我们必须执行适当的实践来确保资产的安全。数据泄露通
常会导致经济损失、声誉受损、消费者信心瓦解、品牌侵蚀以及不遵守政府和行业法规。
因此,像数据库等基础设施软件的安全性更为重要,因为任何数据泄露都可能对全国或全市产
生影响,而这些影响通常很难完全恢复。
信息安全的核心是数据安全,而数据一旦泄露、丢失、被盗取可能会引发难以想象的灾难,所
以对数据的安全防护、对风险的预判防范就变得愈发重要。
安全性是一个很重要的话题。它不仅仅只存在于数据库中,整个 IT 系统中都是如此。然而数
据库有特殊的安全要求。数据库通常存放的是机密数据,因此数据得到合适的保护是有意义的。
安全事件
1.安全事件
看一下近几年发生的安全事件:
1. 超 5 万台 MongoDB 数据库实例被勒索
2017 年 1 月、9 月,黑客通过在互联网上扫描开放外部连接的 MongoDB 数据库,入侵了超
5 万台服务器,删除数据并留下勒索信息。
1. Gitlab 误删库事件
2017 年 1 月,“Gitlab 误删库事件”导致 300GB 数据被误删,差不多 6 小时的数据丢失, 影响
约 5000 个项目,5000 个评论和 700 个新用户账户。
1. 2.4 亿条酒店开房记录(疑似)被转卖
2018 年,国内某知名连锁酒店数据以 8 个比特币在暗网转卖,其中包含了 1.3 亿条个人信息、
2.4 亿条酒店入住登记信息。
1. 删库跑路事件
2020 年 2 月,因公司内部员工恶意破坏线上生产环境数据,导致服务不可用超过 120 小时,
股价暴跌 22%,市值缩水超 30 亿港元。
1. 信息泄露
2022 年 2 月,国内主流招聘平台简历数据遭爬取,涉及 2.1 亿余条个人信息。
2022 年 7 月,国内某视频分享平台 2.2 亿余条用户 ID,手机号被出售。
2022 年 11 月,Meta 被罚 2.65 亿美元,起因是 Facebook 遭遇爬虫工具致 5.33 亿用户数据
泄露。
2.数据泄漏对企业的影响
2023 年 IBM《数据泄露成本报告》显示,全球数据泄露的平均成本达到 445 万美元,创下
该报告的历史新高,相较过去 3 年增长了 15%,涉事上市公司平均股价下跌 7.27%,基本可
以算是暴跌。
著名咨询机构 Verizon 发布了《2023 年数据泄露调查报告》(DBIR)。本次报告基于大量
现实事件进行分析,共计 16,312 起安全事件和 5,199 起数据泄露事件。
3.国际典型泄露事件
1. 北约军事档案数据泄露:2023.9.20 某暗网数据交易平台有人宣称贩卖北约军事档案,
贩卖者连续发布了 3 部分内容,包含飞机、导弹、无人机、军舰等文件,部分内容如
下截图所示。
2. 巴勒斯坦外交部数据泄露:2023.10.7 某暗网数据交易平台有人宣称获取到了巴勒斯
坦外交部数据库中一些数据并将其发布。据称该数据包含了一些巴勒斯坦外交部的数
据库,文件以及邮件往来共计 40,000 条,除此之外还包含了 500 条用户数据。此外作
者还提到了这些文件中涉及到了巴勒斯坦与中国的项目往来细节。
3. 美国教育部数据泄露:2023.8.17 某暗网数据交易平台有人宣称获取并出售美国教育
部整个数据库,总量为 2700 万条,并提供了样例数据。样例数据中显示,该数据库包
含用户名、手机号、类型、主题、反馈等字段。
4. 伊拉克情报局数据泄露:2023.8.28 某暗网数据交易平台有人宣称获取并出售伊拉克
情报局数据,总量为 2000 余万条(15.7GB),并提供了样例数据。样例数据中显示,
该数据库包含姓名、地址、身份证、工作、工资等字段。值得注意的是,该售卖者有
明显的政治或个人偏好,其在同一平台上还发布和出售科索沃公民数据、卡塔尔司法
部、伊拉克内政部等泄露的数据。
5. 安哥拉国家石油公司数据泄露:2023.8.24 某勒索软件组织在暗网数据交易平台发布
了从安哥拉国家石油公司窃取的 210GB 数据,并提供免费下载。黑客宣称安哥拉国
家石油公司没有按照其要求的 72 小时内进行回复和缴纳勒索金额,所以将窃取的所有
数据免费开放下载,以提供给勒索对象的供应商、承包商、员工和一切需要该数据的
人。值得注意的是,我国与安哥拉国家石油公司也有合作与战略签约。
6. 以色列国防部数据泄露:2023.9.7 某暗网数据交易平台有人宣称获取并发布了以色列
国防部数据,该数据包含姓名、项目组、电话号码、住宅电话、手机、电子邮件、出
生日期、年龄、地址、性别、父亲姓名、原籍国等信息。
1. 南非国防部数据泄露:2023.8.28 某暗网数据交易平台有人宣称获取并出售南非国防
部数据,总量为 1.6TB,并提供了样例数据。样例数据中显示,该数据库包含南非各
级军官联系方式,包括姓名、电话、邮箱等字段。
2. FBI 数据泄露:2023.10.12 某暗网数据交易平台有人宣称获取到了 FBI 代号为“atlas”
的数据库。作者讲述了自己是如何通过漏洞提升权限并获取到了 FBI 的雇员数据。在
作者所给的样例数据中可以看到有:姓名,邮箱,地址,电话和哈希密码,作者称此
次共售卖 9984 条 FBI 员工信息,售价为 10000 美元且只支持比特币和门罗币交易,
并且作者称该数据只会售卖一次。在 2015 年 10 月份,曾经出现过一次 FBI 和 DHS
人员数据泄露,本次事件据称与上次事件无关。
3. 宗教极端主义组织 ISIS 数据泄露:2023.9.12 某暗网数据交易平台有人宣称宗教极端
主义组织 ISIS 数据泄露,导致 22000 名组织战士身份泄露,包括姓名、电话号码、
家庭住址、血型等信息。
4. 黎巴嫩卫生部数据泄露:2023.10.23 某暗网数据交易平台有人宣称正在售卖一份黎巴
嫩卫生部数据。该数据包含了死亡病例,吸毒人员数据,受益人数据以及其他各类疾
病数据共计 3,855,991 条 54.6GB,这对于总人口只有 548 万的黎巴嫩无疑属于很严
重的数据泄露,作者标价该份数据为 2500 美元并展示了一些样例数据。
常见安全问题
of 13
25墨值下载
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文档的来源(墨天轮),文档链接,文档作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
下载排行榜
评论