侵權(quán)投訴
訂閱
糾錯
加入自媒體

隱私頻頻被暴露的時代,這群數(shù)據(jù)獵人正在暗中保護(hù)你

Justin Paine坐在加州奧克蘭的一家酒吧里,在互聯(lián)網(wǎng)上搜索著你最敏感的數(shù)據(jù)。很快,他就找到了有希望的線索。

他在自己的筆記本電腦上打開了Shodan,一個云服務(wù)器和其他互聯(lián)網(wǎng)連接設(shè)備的可搜索索引。然后,他鍵入關(guān)鍵詞“Kibana”,調(diào)出了1.5萬多個在線存儲的數(shù)據(jù)庫,開始挖掘結(jié)果。

“這個來自俄羅斯”Paine說!斑@個居然權(quán)限大開。”

通過Shodan,Paine可以篩選每個數(shù)據(jù)庫并檢查其內(nèi)容。一個數(shù)據(jù)庫似乎有關(guān)于酒店客房服務(wù)的信息。如果他繼續(xù)往下看,可能會找到信用卡或護(hù)照號碼。這樣的事情并不令人感到驚訝,過去,他曾發(fā)現(xiàn)數(shù)據(jù)庫中包含著來自戒毒中心的患者信息,以及圖書館借閱記錄和在線賭博交易。

Paine是非正式網(wǎng)絡(luò)研究大軍的一部分,這些人沉溺于一種非常模糊的激情:搜索互聯(lián)網(wǎng)上不安全的數(shù)據(jù)庫。未加密且清晰可見的數(shù)據(jù)庫可以包含各種敏感信息,包括姓名、地址、電話號碼、銀行詳細(xì)信息、社會保險號和醫(yī)療診斷。如果落入壞人之手,這些數(shù)據(jù)可能會被用于欺詐、身份盜竊或敲詐。

數(shù)據(jù)狩獵社區(qū)既兼收并蓄,又全球化。它的一些成員是專業(yè)的安全專家,另一些則是愛好者。有些是高級程序員,有些卻一行代碼也不會寫。他們分布在烏克蘭、以色列、澳大利亞、美國,和幾乎任何你能夠提到的國家。他們只有一個共同的目的:促使數(shù)據(jù)庫所有者鎖定你的信息。

搜尋不安全數(shù)據(jù)似乎成為了這個時代的標(biāo)志。任何組織,包括私人公司、非營利組織或政府機(jī)構(gòu),都可以輕松且廉價地在云上存儲數(shù)據(jù)。但是許多幫助將數(shù)據(jù)庫放到云中的軟件工具,在默認(rèn)情況下都會暴露數(shù)據(jù)。即使這些工具從一開始就意圖讓其成為私有數(shù)據(jù),但也不是每個組織都有相應(yīng)的專業(yè)知識,知道應(yīng)該保留哪些保護(hù)措施。通常,數(shù)據(jù)只是以純文本形式存在,等待讀取。這意味著像Paine這樣的人總能找到一些東西。今年4月,以色列的研究人員發(fā)現(xiàn)了8000多萬美國家庭的人口統(tǒng)計細(xì)節(jié),包括地址、年齡和收入水平。

網(wǎng)絡(luò)安全專家Troy Hunt表示,沒有人知道問題的規(guī)模有多大。Hunt在自己的博客上記錄了數(shù)據(jù)庫泄漏的問題。他說,不安全的數(shù)據(jù)庫比研究人員公布的要多得多,但你只能對所能看到的進(jìn)行統(tǒng)計。此外,不斷地有新數(shù)據(jù)庫被添加到云中。

Hunt說:“這只是冰山一角!

要搜索數(shù)據(jù)庫,你必須對無聊和失望擁有著很高的容忍度。Paine說,要發(fā)現(xiàn)酒店客房服務(wù)數(shù)據(jù)庫是否實際上是暴露敏感數(shù)據(jù)的緩存需要幾個小時的時間。鉆研數(shù)據(jù)庫可能會讓人麻木,而且往往會充滿錯誤的線索。它雖然不像大海撈針,但卻像在堆滿干草堆的田野里搜尋一根針一樣。此外,我們也不能保證狩獵者能夠提示暴露數(shù)據(jù)庫的所有者修復(fù)這個問題。有時,所有者會威脅采取法律行動。

數(shù)據(jù)庫大獎

然而,回報可能是激動人心的。來自烏克蘭的Bob Diachenko曾在一家名為Kromtech的公司從事公關(guān)工作,該公司從一名安全研究員那里得知存在數(shù)據(jù)泄露。這段經(jīng)歷引起了Diachenko的興趣,他在沒有任何經(jīng)驗的情況下就加入了數(shù)據(jù)庫狩獵大軍。7月,他在一個不安全的數(shù)據(jù)庫中找到了數(shù)千名美國選民的記錄,只需使用關(guān)鍵詞“選民”就可以查看到。

“如果我,一個沒有技術(shù)背景的人,能找到這些數(shù)據(jù),”Diachenko說!澳敲词澜缟先魏稳硕寄苷业竭@些數(shù)據(jù)!

今年1月,Diachenko在一個公開的數(shù)據(jù)庫中發(fā)現(xiàn)了2400萬份與美國抵押貸款和銀行業(yè)務(wù)相關(guān)的金融文件。這一發(fā)現(xiàn)以及其他發(fā)現(xiàn)所產(chǎn)生的宣傳,幫助Diachenko推廣了SecurityDiscovery.com——他離職后創(chuàng)辦的一家網(wǎng)絡(luò)安全咨詢公司。

1  2  下一頁>  
聲明: 本文系OFweek根據(jù)授權(quán)轉(zhuǎn)載自其它媒體或授權(quán)刊載,目的在于信息傳遞,并不代表本站贊同其觀點和對其真實性負(fù)責(zé),如有新聞稿件和圖片作品的內(nèi)容、版權(quán)以及其它問題的,請聯(lián)系我們。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯
x
*文字標(biāo)題:
*糾錯內(nèi)容:
聯(lián)系郵箱:
*驗 證 碼:

粵公網(wǎng)安備 44030502002758號