Ⅰ 最近幾年資料庫泄漏事件
泄露事故統計數字正在逐步下降,但數據仍然面臨著由資料庫、應用以及終端保護不當所引發的嚴重風險。
從多個角度來看,2013年的數據泄露趨勢已經得到有效扼制,這對於安全行業來說當然是個好消息。不同於過去四到五年,今年的記錄當中不再充斥著大型資料庫泄露所導致的數以千萬計個人身份信息的外流。根據隱私權信息交流中心的調查,本年度公開報道的泄露事故數量及記錄在案的泄露事故數量雙雙呈下降趨勢。去年同期,得到確切統計的記錄泄露數量已經達到約278萬條,漏洞報告則為637份。而在今年,目前為止記錄在案的泄露事故約為107萬條,漏洞報告則為483份。這充分證明整個安全行業在合規性與安全最佳實踐方面所迎來的進步——然而這樣的戰績與理想目標相比仍然相去甚遠。
在對年初至今的數字進行比較時,我們發現記錄在案的泄露事故數量大幅降低了61.7%,然而報告提及的泄露事故數量則僅降低了24.2%。這表明泄露事故仍然快速發生——只不過如今的犯罪活動及違規事件開始逐步擴散而非集中於一點。泄露事件影響范圍更小,而且根據安全業內人士的說法,此類惡意活動的目標也更為廣泛。現在犯罪分子開始更多地竊取IP或者其它數字資產,由此引發的損失可能比客戶記錄本身更為嚴重——同時這也更加難以量化,無法提供頭條新聞所必需的統計結果。
通過對今年發生的泄露事故的深入鑽研,我們發現安全行業明顯仍有大量工作要做。2013年的追蹤記錄證明,有價值資料庫仍然沒有受到嚴格保護與加密、應用程序仍然存在大量安全漏洞、用戶們則仍然能夠從敏感資料庫中下載大量信息並將其保存在缺乏保護的終端當中。為了幫助大家更好地理解當前安全形勢,我們選取了幾項最具代表意義的實例,希望各位能夠從中吸取可資借鑒的教訓。
當事企業: CorporateCarOnline.com
泄露統計: 850,000份記錄被盜
事故細節:作為全美最具知名度的專業體育、娛樂外加五百強企業,CorporateCarOnline.com擁有大量用戶個人資料、信用卡號碼以及其它個人身份信息,然而由於其開發出的全球豪車租賃SaaS資料庫解決方案將全部信息以純文本形式儲存,最終導致這一切成為犯罪分子的囊中之物。名單中涉及不少大牌,包括湯姆·漢克斯、湯姆·達施勒以及唐納德·特朗普等。
經驗教訓:最重要的教訓在於認清這樣一個現實:面對極具價值的財務與社會工程信息,攻擊者們會爆發出極為可怕的技術能量。根據KrebsOnSecurity.com網站的調查,目前遭遇過違規活動的美國運通卡當中有四分之一為高額度甚至無限額度卡片,而且企業間諜分子或者娛樂小報記者也希望通過這類個人信息挖掘到有價值結論。與此同時,該公司在管理收支賬目時完全沒有考慮過信息安全性,甚至從未嘗試採取任何最基本的加密措施。
當事企業: Adobe
泄露統計: 約三百萬個人身份信息、超過1.5億用戶名/密碼組合以及來自Adobe Acrobat、ColdFusion、ColdFusion Builder外加其它未說明產品的源代碼慘遭竊取。
事故細節: 自最初的違規事件發生之後,接踵而來的更多攻擊活動持續了一個多月之久,並最終導致了此次重大事故的發生。目前情況已經明確,Adobe正在努力恢復其失竊的大量登錄憑證信息——更令人驚訝的是,連其產品源代碼也一並泄露。
經驗教訓: 通過Adobe遭遇的這一輪震驚世界的攻擊活動,我們不僅切身感受到攻擊者在企業網路中建立根據地並奪取了整套業務儲備控制權後所能帶來的損害,同時也應學會在考慮將供應商引入軟體供應鏈之前、考察對方在安全領域營造出了怎樣的企業生態。作為此次泄露事故的後續影響,其潛在後果恐怕在很長一段時間內都無法徹底消除。
當事企業: 美國能源部
泄露統計: 53000位前任及現任能源部員工的個人身份信息遭到竊取
事故細節: 攻擊者將矛頭指向了DOEInfo——該機構利用ColdFusion所打造的、已經棄之不用的CFO辦公室公開訪問系統。能源部官員表示,此次泄露事故只限於內部員工的個人身份信息。
經驗教訓: 我們從中應該吸取兩大教訓。首先,安裝補丁過去是、現在是、未來也將一直是最為重要的安全任務。其次,各機構必須通過重新審視與敏感資料庫相對接的系統最大程度減少攻擊面,保證只向公眾開放必要的網站。
當事企業: Advocate Medical Group
泄露統計: 四百萬病人記錄遭到竊取
事故細節: 僅僅由於犯罪分子從辦公室里偷走了四台由該公司擁有的計算機,最終導致了這起四百萬病人記錄丟失的事故——公司官方將此稱為自2009年衛生部強制要求通告安全事故以來、美國發生過的第二大醫療信息泄露案件。
經驗教訓: 醫療行業的數據泄露事故在2013年的違規披露名單當中一直占據主導,但這一次的案件造成的影響顯然特別惡劣。僅僅由於一台物理計算設備失竊就最終導致從上世紀九十年代至今的病人記錄泄露,這充分暴露了該公司在物理安全、終端安全、加密以及數據保護等各個方面的全線失誤。需要強調的是,終端設備被盜與丟失在醫療行業中已經屢見不鮮。現在這些機構可能需要盡快思考終端設備到底能夠下載並保存多少來自中央資料庫的信息。
Ⅱ 資料庫泄露意味著什麼
資料庫來泄密,要看資料庫里自存放著什麼類型的數據。
如果是用戶信息,那麼用戶名和用戶密碼 ,用戶一些個人私人信息面臨著被破解 ,被盜用的風險。比如你的用戶名是abc,密碼是452,那麼黑客或者一些人就可以試探你在淘寶,在其他地方的一些用戶名和登錄密碼,或者通過你的其他個人信息,比如性別、出生地、畢業學校,聯系方式等等,關聯到你的其他賬戶信息甚至是你的身份證信息,手機號碼。如果你的保密意識不夠好,哈哈,你悲劇了,銀行的錢給你轉光,你的隱私照片不再隱私,這個門那個門啊就又來了。這是很有可能的,對於用戶信息數據的泄密帶來的危害。
如果是企業商業信息,那更悲劇,輕則被敲詐,重者破產。
泄密更意味著你的技術有問題,降低用戶和合作夥伴對你能力的質疑和不信任甚至是索賠之類的。那麼沒有用戶信任的企業,沒有夥伴支持的企業也就差不多走不到頭了
反正資料庫泄漏意味著麻煩來了,危機來了。
Ⅲ 什麼是資料庫連接泄漏
指的是如果在某次使用或者某段程序中沒有正確地關閉Connection、Statement和ResultSet資源,那麼每次執行都會留專下一些屬沒有關閉的連接,這些連接失去了引用而不能得到重新使用,因此就造成了資料庫連接的泄漏。資料庫連接的資源是寶貴而且是有限的,如果在某段使用頻率很高的代碼中出現這種泄漏,那麼資料庫連接資源將被耗盡,影響系統的正常運轉。
Ⅳ 求網易泄露資料庫下載地址
2016年3月微博爆料網易資料庫網路網盤泄露,通過分析泄露的文件,發現數據格式不統一,用戶名格式不一,同時夾雜著其它郵箱的數據。多批次隨機挑選20個連著的163郵箱,與已泄露的10億進行統計匹配,發現大於40%的郵箱是新的,這個結果就讓人很尷尬了。
下載地址:http://www.hekaiyu.cn/hacker/2242.html
Ⅳ 網站漏洞危害有哪些
SQL注入漏洞
SQL注入漏洞的危害不僅體現在資料庫層面,還有可能危及承載資料庫的操作系統;如果SQL注入被用來掛馬,還巧螞可能用來傳播惡意軟體等,這些危害包括但不限於:
資料庫信息泄漏:資料庫中存儲的用戶隱私信息泄露。
網頁篡改:通過操作資料庫對特定網頁進行篡改。
網站被掛馬,傳播惡意軟體:修改資料庫一些欄位的值,嵌入網馬鏈接,進行掛馬攻擊。
資料庫被惡意操作:資料庫伺服器被攻擊,資料庫的系統管理員帳戶被竄改。
伺服器被遠程式控制制,被安裝後門:經由資料庫伺服器提供的操作系統支持,讓黑客得以修改或控制操作系統。
破壞硬碟數據,癱瘓全系統。
XSS跨站腳本漏洞
XSS跨站腳本漏洞的危害包括但不限於:
釣魚欺騙:最典型的就是利用目標網站的反射型跨站腳本漏洞將目標網站重定向到釣魚網站,或者注入釣魚JavaScript以監控目標網站的表單輸入,甚至發起基於DHTML更高級的釣魚攻擊方式。
網站掛馬:跨站後利用IFrame嵌入隱藏的惡意網站或者將被攻擊者定向到惡意網站上,或者彈出惡意網站窗口等方式都可以進行掛馬攻擊。
身份盜用:Cookie是用戶對於特定網站的身份驗證標志,XSS可以盜取用戶的Cookie,從而利用該Cookie獲取用戶對該網站的操作許可權。如果一個網站管理員用戶Cookie被竊取,將會對網站引發巨大的危害。
盜取網站用戶信息:當能夠竊取到用戶Cookie從而獲取到用戶身份時,攻擊者可以獲取到用戶對網站的操作許可權,從而查看用戶隱私信息。
垃圾信息發送:比如在SNS社區中,利用XSS漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目標群體。
劫持用戶Web行為:一些高級的XSS攻擊甚至可以劫持用戶的Web行為,監視用戶的瀏覽歷史,發送與接收的數據等等。
XSS蠕蟲:XSS 蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網上數據、實施DDoS攻擊等。
信息泄露漏洞
CGI漏洞
CGI漏洞大多分為以下幾種類型:信息泄露、命令執行和溢出,因此危害的嚴重程度不一。信息泄露會暴露伺服器的敏感信息,使攻擊者能夠通過泄露的信息進行進一步入侵;命令執行會對伺服器的安全造成直接的影響,如執行任意系統命令;溢出往往能夠讓攻擊者直接控制目標伺服器,危害重大。
內容泄露漏洞
內容泄露漏洞,會被攻擊者利用導致其它類型的攻擊,寬寬櫻危害包括但不局限於:
內網ip泄露:可能會使攻擊者滲透進入內網產生更大危害。
資料庫信息泄露:讓攻擊者知道資料庫類型,會降低攻擊難度。
網站調試信息泄露:可能讓攻擊者知道網站使用的編程語言,使用的框架等,降低攻擊難度。
網站目錄結構泄露:攻擊者容易發現敏感文件。
絕對路徑泄露:某些攻擊手段依賴網站的絕對路徑,比如用SQL注入寫webshell。
電子郵件泄露:郵件泄露可能會被垃圾郵件騷擾,還可能被攻擊者利用社會工程學手段獲取更多信息,擴大危害。
文件泄露漏洞
敏感文件的泄露可能會導致重要信息的泄露,進而擴大安全威脅,這些危害包括但不局限於:
帳號密碼泄漏:可能導致攻擊者直接操作網站後台或資料庫,進行一些可能有危害的操作。
源碼泄露:可能會讓攻擊者從源碼中分析出更多其它的漏洞,如SQL注入,文件上傳,代碼執行等。
系統用戶泄露:可能會方便暴力破解系統密碼。
漏洞是系統在設計時的不足,是黑客攻擊計算機所利用的通道,所以如果掃描出了漏洞一定要補好,不然你的電腦很容易中毒。各種殺毒軟體都有漏洞掃描。
系統漏洞分為很多等級,一般的說,在微軟的網站上定義為嚴重的都應該及時更新。比如ms06-040漏洞,可以遠程獲得你系統的許可權,也就是說,如果你沒有更新這個補丁的話,可能有些駭客利用這個漏洞來控制你的計算機。漏洞按危險等級可以劃分為非常嚴重——嚴重——一般——輕微。如果沒有特殊原因的話,建議你一直打開WINDOWS的自動更新。方法:開始——設置——控制面版——安全中心——自動更新——啟用。各種系統漏洞及應慎叢用軟體漏洞都比較嚴重,危害較大
Ⅵ 在雲平台上的資料庫主要面臨哪些安全問題
資料庫存儲著系統的核心數據,其安全方面的問題在傳統環境中已經很突出,成為數據泄漏的重要根源。而在雲端,資料庫所面臨的威脅被進一步的放大。其安全問題主要來自於以下幾方面: 1) 雲運營商的「上帝之手」。如上所述,雲端資料庫的租戶對資料庫的可控性是很低的,而雲運營商卻具有對資料庫的所有許可權。從技術上來說,雲運營商完全可以在租戶毫無察覺的情況下進入資料庫系統;或者進入資料庫伺服器所在的虛擬機;或者進入虛擬機所在的宿主物理伺服器;或者直接獲取到資料庫文件所在的存儲設備。也就是說,任何租戶的數據,對雲運營商來說,幾乎是完全開放的。而對於有商業價值的數據,對雲運營商的眾多技術人員來說,絕對有足夠的吸引力;2) 來自於其它租戶的攻擊。同一個雲平台上的其它租戶,有可能通過虛擬機逃逸等攻擊方法,得到資料庫中的數據;3) 來自租戶自身內部人員的威脅。租戶內部人員能夠直接使用帳號密碼登錄到雲資料庫,從而進行越權或者違規的數據操作;4) 更廣泛的攻擊。有價值的數據放在雲上之後,各種來源的攻擊者,都「惦記」著這些數據。可能通過各種方法來進行攻擊以獲取數據,如近年來頻發的SQL注入攻擊事件,就導致了大量雲端數據的泄漏。要解決如上所述的數據安全問題,需要多方面的防禦手段。但是對資料庫訪問情況的記錄和審計,是最基本的安全需求。租戶需要清楚的知道,自己的資料庫,在什麼時間,被什麼人,以什麼工具,具體做什麼訪問,又拿到了什麼數據。並且需要知道什麼時候出現了攻擊行為和異常的訪問情況。這些功能,正是合格資料庫審計產品所必須具有的功能。在雲平台上的資料庫主要面臨哪些安全問題?