隱私頻頻被暴露的時代,這群數(shù)據(jù)獵人正在暗中保護(hù)你
Justin Paine坐在加州奧克蘭的一家酒吧里,在互聯(lián)網(wǎng)上搜索著你最敏感的數(shù)據(jù)。很快,他就找到了有希望的線索。
他在自己的筆記本電腦上打開了Shodan,一個云服務(wù)器和其他互聯(lián)網(wǎng)連接設(shè)備的可搜索索引。然后,他鍵入關(guān)鍵詞“Kibana”,調(diào)出了1.5萬多個在線存儲的數(shù)據(jù)庫,開始挖掘結(jié)果。
“這個來自俄羅斯”Paine說!斑@個居然權(quán)限大開。”
通過Shodan,Paine可以篩選每個數(shù)據(jù)庫并檢查其內(nèi)容。一個數(shù)據(jù)庫似乎有關(guān)于酒店客房服務(wù)的信息。如果他繼續(xù)往下看,可能會找到信用卡或護(hù)照號碼。這樣的事情并不令人感到驚訝,過去,他曾發(fā)現(xiàn)數(shù)據(jù)庫中包含著來自戒毒中心的患者信息,以及圖書館借閱記錄和在線賭博交易。
Paine是非正式網(wǎng)絡(luò)研究大軍的一部分,這些人沉溺于一種非常模糊的激情:搜索互聯(lián)網(wǎng)上不安全的數(shù)據(jù)庫。未加密且清晰可見的數(shù)據(jù)庫可以包含各種敏感信息,包括姓名、地址、電話號碼、銀行詳細(xì)信息、社會保險號和醫(yī)療診斷。如果落入壞人之手,這些數(shù)據(jù)可能會被用于欺詐、身份盜竊或敲詐。
數(shù)據(jù)狩獵社區(qū)既兼收并蓄,又全球化。它的一些成員是專業(yè)的安全專家,另一些則是愛好者。有些是高級程序員,有些卻一行代碼也不會寫。他們分布在烏克蘭、以色列、澳大利亞、美國,和幾乎任何你能夠提到的國家。他們只有一個共同的目的:促使數(shù)據(jù)庫所有者鎖定你的信息。
搜尋不安全數(shù)據(jù)似乎成為了這個時代的標(biāo)志。任何組織,包括私人公司、非營利組織或政府機(jī)構(gòu),都可以輕松且廉價地在云上存儲數(shù)據(jù)。但是許多幫助將數(shù)據(jù)庫放到云中的軟件工具,在默認(rèn)情況下都會暴露數(shù)據(jù)。即使這些工具從一開始就意圖讓其成為私有數(shù)據(jù),但也不是每個組織都有相應(yīng)的專業(yè)知識,知道應(yīng)該保留哪些保護(hù)措施。通常,數(shù)據(jù)只是以純文本形式存在,等待讀取。這意味著像Paine這樣的人總能找到一些東西。今年4月,以色列的研究人員發(fā)現(xiàn)了8000多萬美國家庭的人口統(tǒng)計細(xì)節(jié),包括地址、年齡和收入水平。
網(wǎng)絡(luò)安全專家Troy Hunt表示,沒有人知道問題的規(guī)模有多大。Hunt在自己的博客上記錄了數(shù)據(jù)庫泄漏的問題。他說,不安全的數(shù)據(jù)庫比研究人員公布的要多得多,但你只能對所能看到的進(jìn)行統(tǒng)計。此外,不斷地有新數(shù)據(jù)庫被添加到云中。
Hunt說:“這只是冰山一角!
要搜索數(shù)據(jù)庫,你必須對無聊和失望擁有著很高的容忍度。Paine說,要發(fā)現(xiàn)酒店客房服務(wù)數(shù)據(jù)庫是否實際上是暴露敏感數(shù)據(jù)的緩存需要幾個小時的時間。鉆研數(shù)據(jù)庫可能會讓人麻木,而且往往會充滿錯誤的線索。它雖然不像大海撈針,但卻像在堆滿干草堆的田野里搜尋一根針一樣。此外,我們也不能保證狩獵者能夠提示暴露數(shù)據(jù)庫的所有者修復(fù)這個問題。有時,所有者會威脅采取法律行動。
數(shù)據(jù)庫大獎
然而,回報可能是激動人心的。來自烏克蘭的Bob Diachenko曾在一家名為Kromtech的公司從事公關(guān)工作,該公司從一名安全研究員那里得知存在數(shù)據(jù)泄露。這段經(jīng)歷引起了Diachenko的興趣,他在沒有任何經(jīng)驗的情況下就加入了數(shù)據(jù)庫狩獵大軍。7月,他在一個不安全的數(shù)據(jù)庫中找到了數(shù)千名美國選民的記錄,只需使用關(guān)鍵詞“選民”就可以查看到。
“如果我,一個沒有技術(shù)背景的人,能找到這些數(shù)據(jù),”Diachenko說!澳敲词澜缟先魏稳硕寄苷业竭@些數(shù)據(jù)!
今年1月,Diachenko在一個公開的數(shù)據(jù)庫中發(fā)現(xiàn)了2400萬份與美國抵押貸款和銀行業(yè)務(wù)相關(guān)的金融文件。這一發(fā)現(xiàn)以及其他發(fā)現(xiàn)所產(chǎn)生的宣傳,幫助Diachenko推廣了SecurityDiscovery.com——他離職后創(chuàng)辦的一家網(wǎng)絡(luò)安全咨詢公司。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市