安全風險:通過網絡可搜索到用戶數據庫
近日發生的兩起數據庫泄漏事故凸顯了一個常見但經常被忽視的問題,包含敏感信息的錯誤配置的數據庫容易被網絡搜索曝露。
***個數據泄漏事故發生在耶魯大學,FTP服務器上的包含屬于43000位用戶的敏感信息的數據存儲在2010年9月被谷歌建立索引。第二個事故發生在南加州醫療法律咨詢公司(SCMLC),他們將包含將近30萬名用戶的重要信息的數據庫放在一個網絡應用程序后面,不需要密碼就可以訪問,也可以通過搜索引擎檢索。
根據安全專家表示,在深度挖掘數據庫政策合規的差距方面,搜索引擎是很好的均衡器。
“搜索的特點在于它是徹底的,而大多數人的防御并不是徹底的,”RedSeal系統公司***技術高Mike Lloyd表示,“我們發現大多數試圖遵循‘不要將重要數據放在面向互聯網的FTP服務器’策略的企業通常自我感覺都非常好,他們認為自己95%地遵守了這些策略。但是搜索的徹底性讓任何低于100%的策略遵守都成了無用功。如果你出現了百萬分之一的錯誤,搜索引擎都會幫你找出來。”
耶魯大學的錯誤最開始于六月底被學校發現,并于近日公開宣布。當時學校的安全團隊組織了搜索引擎對FTP服務器的房屋,并刪除了保護社會安全號碼等敏感信息(但是沒有刪除地址、出生日期和財務信息)的存儲。但是,在去年谷歌推出抓取功能和索引FTP服務器后,這些信息已經曝光了10個月之久。
與此同時,SCMLC公司的數據泄漏則由Identity Finder的研究人員公布,該研究人員在6月份發現了幾GB的SCMLC數據庫、電子表格和其他包含敏感信息的文件,這些都可以通過網絡搜索找到。數據庫文件對于黑客來說是一個大金礦,他們能夠挖掘出很多信息。
“這并不只是輸入幾個關鍵字,找到你想要的信息,你需要清楚知道你要找的字符串,以及數據庫如何運作和數據庫信息如何被存儲的,”Ipswitch公司的全球戰略副總裁,也是前Gartner分析師。
很多安全領域的人認為,正是因為谷歌不斷增加FTP和PDF索引等功能以增強其web和桌面搜索功能,增加了配置不當的數據庫被泄露的風險。
似乎很多人都愿意將問題歸咎于谷歌,“將責任都推給谷歌似乎有點不合乎情理,”他表示,“谷歌只是讓你清楚問題的存在。如果幾年以來你的儲藏室都沒有上鎖,然后谷歌地圖出現了,并貼出照片顯示你的儲藏室沒有上鎖,貼照片并不是問題所在,問題是你的門幾年都沒有上鎖。”Kenny認為,企業需要更加清楚面向網絡的數據庫包含哪些數據,因為數據庫的簡單連接和搜索引擎的力量可能會索引出數據庫的信息。
“在很多情況下,他們并不知道自己的數據庫是敞開的,”他解釋說道,“現有的數據庫都被設計為允許從多種設備和多個地方的最簡單的訪問。在很多人的心目中,他們認為你需要通過在服務器上運行的應用程序來訪問服務器,這樣的話,應用程序背后的數據就很安全,因為應用程序很安全。但是你的數據庫就在那里,在很多情況下,還是連接到互聯網的。”
【編輯推薦】
