为什么总有数据库会在互联网上裸奔?-IT动态-热点资讯-野望文存-科技 
    欢迎来到野望文存-科技!
当前位置:野望文存-科技 > 热点资讯 > IT动态 >  为什么总有数据库会在互联网上裸奔?

为什么总有数据库会在互联网上裸奔?

发表时间:2021-09-23 19:05:00  来源:野望文存  浏览:次   【】【】【

撰稿 | 流苏
编辑 | 草草


作为信息化时代的基础设施,数据库的出现让企业具备了存储、处理海量数据,并将之有效转化为增长要素的能力。大量无序的、杂乱的数据存储进数据库,积累、沉淀之后成为企业的信息资产和核心驱动力。


随着大数据和物联网时代的到来,数据的价值进一步提升,此时的数据库更像是一个存放着黄金的金库。



不同的是,金库大多深埋地底,且有着无与伦比的安保措施,而数据库却屡屡在互联网上裸奔,没有任何的防护措施,就这样被黑灰产正大光明地随意复制、窃取。


类似的事件层出不穷,随着敏感数据越来越多,数据库发生泄露的事件也越来越多,涉及的数据量更是从十万级、百万级迈向了亿级、百亿级大关,令人震惊之余却又无法理解。


一个疑问开始萦绕在人们的心头:为什么总有数据库会在互联网上裸奔?


难道真的像黑格尔在《历史哲学》中所说的一样,人类从历史中学到的唯一的教训,就是没有从历史中吸取任何教训?



01

泰国超1亿游客数据泄露


近日,Comparitech网络安全研究负责人Bob Diachenko发现了一个未受保护的Elasticsearch数据库。这个200GB的巨大数据库中包含可追溯到十年前的游客记录,包含超过1.06亿位国际旅行者的个人详细信息。


其中涉及的敏感信息包括抵达泰国日期、全名、性别、护照号、居留身份、签证类型、泰国入境卡号码等,全部都是游客最为私密的信息。


众所周知,在疫情爆发之前,泰国是亚洲出国旅游的热选地点,数据显示,2019年前往泰国旅游的游客接近4000万。



因此有国外专家推测,过去十年中前往泰国的任何外国人都可能在事件中暴露了他们的信息,在这个泄露的数据库中,Bob Diachenko也发现了自己的个人信息。


所幸,泰国当局反应较为迅速。


2021年8月22日,Diachenko发现了未受保护的数据,并根据我们负责任的披露政策立即采取措施验证和提醒所有者。隔天,泰国当局迅速承认了这一事件并在24消失内迅速保护了数据库。


虽然该数据库的IP地址仍然是公开的,但截至撰写本文时,数据库本身已被蜜罐取代。任何尝试访问该地址的人现在都会收到消息,“这是蜜罐,所有访问都已记录。”


但这样的处理措施依旧存在隐患,Comparitech的研究人员指出,蜜罐实验表明攻击者可以在几个小时内找到并访问不安全的数据库。而且,研究人员无法确定这些数据在2021年8月20日被搜索引擎Censys编入索引之前已经公开了多长时间。


前不久,微软Power Apps也发生了这样的数据裸奔事件。


据美国网络信息安全公司UpGuard称,约有3800万条个人隐私信息暴露在互联网上,这些信息来自47家企业,且全部都储存在微软。


进一步调查发现,这些数据泄露的源头是,Power Apps的默认设置选项导致的。比如启用隐私设置原本应该是一个手动过程,但是当企业启用这些 API 时,平台默认使相应的数据可以公开访问。



因此,Microsoft不认为导致泄漏数据原因是程序漏洞,而是一个可以改进的配置问题。微软发言人对此表示,“微软将认真对待安全和隐私问题,但最佳做法是鼓励客户在以最符合他们隐私需求的方式配置产品”。


但UpGuard也认为,微软要在源头上改变Power Appps的隐私保护功能,而不是 "将数据的系统性错误怪责为最终用户的错误配置,并让问题持续存在。"


类似的错误同样出现在了另外一个巨头,谷歌的身上。


2019年10月,谷歌被曝有一个汇总了12亿用户个人信息的数据库被发现毫无保护的存在于某个服务器上,这些个人信息包括社交媒体账户、电子邮件地址和电话号码等。据媒体报道,数据库中的大多数数据是由一家名为People Data Labs的公司收集,而储存在谷歌云服务器上,令人感到无比震惊。



02

还记得深网视界数据库无保护事件吗?


2019年还发生了一件震惊安全行业的大事件——250万深网视界人脸识别数据发生泄露,原因竟然是安全人员没有对数据库设置防护措施,就这样放在了互联网上,致使250万人的私人信息能够不受限制被访问。


发现这一事件的是荷兰安全研究员Victor Gevers,他在社交网站上表示,中国的一家面部识别公司SenseNets(即深网视界)未对内部数据库做密码保护,将数据库暴露在公网上。



据其介绍,此次信息泄露事件主要涉及到深网视界内部的一个MongoDB数据库,该数据库内含超过250万人的信息,包括身份证数据、照片、工作信息等。此外,该数据库还可动态记录个人位置信息,仅2月12日至2月13日的24小时,就有超过680万个地点被记录在案。


这里简单科普一下。


MongoDB 是一款跨平台且面向文档的开源数据库,也是目前使用类 JSON 存储对象的高人气 NoSQL 数据库方案之一。虽然最新的 MongoDB 版本已经采取了严格的 ACL 策略,但其 2.6.0 之前的版本仍然默认监听所有接口上的连接。换句话说,默认安装下的 MongoDB 会直接向未经身份验证的互联网连接开放。


令人唏嘘的是,深网视界是一家主营人脸识别和安全的公司,没想到却犯了如此低级的错误,造成了如此严重的后果。要知道这家公司在2017年还被列入赛迪智库发布的人工智能企业百强榜中,但其实际安防能力令人担忧。


要知道深网视界是提供面部识别技术和人群分析技术,因此会采集大量的用户脸部数据,是十分敏感的信息。


而随着大数据的积累和云计算的发展和成熟,人脸识别技术已经深入到人们生活的方方面面,比如手机的人脸解锁功能;乘客搭乘高铁入闸验票的时候,也可以利用人脸识别快速通过;在参加一些活动的时候,主办方也会利用人脸识别验证参会人员的身份。


如此庞大的人脸数据被泄露,且在采取措施之前已经被访问了680万次,所造成的后果实在是难以想象。


事件发生后,深网视界官网一度拒绝访问,直接对其业务和公司品牌声誉造成了严重影响,甚至一度影响到其之前的投资方,商汤科技和东方网力。



03

数据库为何屡屡裸奔


很难想象,在数据价值不断攀升的今天,依旧有着数以十万计的数据库就这样毫无保护的放在了互联网上,所有人都可以随意获取。在某些人眼中,这样的行为就跟把钱放在大马路上差不多。


虽然有点难以置信,但实际情况真的就是如此。


根据RedHunt实验室的数据库研究数据显示,结果令人非常惊讶:未经验证保护 / 公开的 MongoDB 数据库有21387 个,暴露的 elasticsearch 实例有20098 个,暴露在外的 Memcached 服务器有25575 个......


这还仅仅是其中的一部分。


RedHunt 实验室发现约 40% 的暴露问题涉及未受验证保护内容的意外公开。除了其中常见的源代码 repo、内部文档、查询系统 / 门户以及仪表板之外,最受关注也是最具安全影响的当然是未经验证保护的数据库。这些暴露在外的数据库不仅常被发现,而且往往会极大影响并增加相关组织的攻击面。


此外,在2020年出现的各类信息泄露事件中,因数据库未受保护而直接公布在互联网上的不在少数。


更令人意想不到的是,在数据泄露量越多的事件,数据库裸奔的占比就越高。


例如在2020年,数据泄露量达到2亿级的事件中,数据库裸奔的占据了巨大部分,只有一小部分才是因为黑客攻击所致,更多是企业未设保护措施,安全研究人员或黑客轻松就拿到了无比庞大的数据,有的甚至达到了百亿级规模。


如此严重的信息泄露事件将会给企业造成难以想象的严重后果,甚至因此一蹶不振,关门倒闭,因此,企业必须对此高度重视,不断强化数据库的安全防护。


诚然,目前市面上很多的数据库为了强化业务可用性,一定程度上牺牲了安全性,而且很多数据库都是默认不带安全配置,因此此类数据库最容易出现泄露的情况。


随着数据的价值不断提升,以及《数据安全法》《个人信息保护法》等法律陆续颁布实施,数据保护不再仅仅是企业的内在需求,同样也是十分重要的合规需求,做好数据保护工作已是刻不容缓,数据库保护自然也是重中之重。


对此,有专家表示,企业需要不断加强数据库安全性建设,在上线数据库时强化安全工作,确保数据库不是处于裸奔状态。


这就要求企业一方面要加强数据保护制度建设,明确数据的获取、操作、管理流程和相关权限,另一方面不断强化开发人员的数据安全意识,提升安全人员审计、操作的权限,将安全能力嵌入开发流程之中,对于高价值的数据信息,安全人员需要持续进行跟踪和管理,定时开展数据库自查工作,防止数据库暴露在公网上。



齐心抗疫 与你同在 






点【在看】的人最好看



责任编辑:蔡学森