近日发生的两起数据库泄漏事故凸显了一个常见但经常被忽视的问题,包含敏感信息的错误配置的数据库容易被网络搜索曝露。
***个数据泄漏事故发生在耶鲁大学,FTP服务器上的包含属于43000位用户的敏感信息的数据存储在2010年9月被谷歌建立索引。第二个事故发生在南加州医疗法律咨询公司(SCMLC),他们将包含将近30万名用户的重要信息的数据库放在一个网络应用程序后面,不需要密码就可以访问,也可以通过搜索引擎检索。
根据安全专家表示,在深度挖掘数据库政策合规的差距方面,搜索引擎是很好的均衡器。
“搜索的特点在于它是彻底的,而大多数人的防御并不是彻底的,”RedSeal系统公司***技术高Mike Lloyd表示,“我们发现大多数试图遵循‘不要将重要数据放在面向互联网的FTP服务器’策略的企业通常自我感觉都非常好,他们认为自己95%地遵守了这些策略。但是搜索的彻底性让任何低于100%的策略遵守都成了无用功。如果你出现了百万分之一的错误,搜索引擎都会帮你找出来。”
耶鲁大学的错误最开始于六月底被学校发现,并于近日公开宣布。当时学校的安全团队组织了搜索引擎对FTP服务器的房屋,并删除了保护社会安全号码等敏感信息(但是没有删除地址、出生日期和财务信息)的存储。但是,在去年谷歌推出抓取功能和索引FTP服务器后,这些信息已经曝光了10个月之久。
与此同时,SCMLC公司的数据泄漏则由Identity Finder的研究人员公布,该研究人员在6月份发现了几GB的SCMLC数据库、电子表格和其他包含敏感信息的文件,这些都可以通过网络搜索找到。数据库文件对于黑客来说是一个大金矿,他们能够挖掘出很多信息。
“这并不只是输入几个关键字,找到你想要的信息,你需要清楚知道你要找的字符串,以及数据库如何运作和数据库信息如何被存储的,”Ipswitch公司的全球战略副总裁,也是前Gartner分析师。
很多安全领域的人认为,正是因为谷歌不断增加FTP和PDF索引等功能以增强其web和桌面搜索功能,增加了配置不当的数据库被泄露的风险。
似乎很多人都愿意将问题归咎于谷歌,“将责任都推给谷歌似乎有点不合乎情理,”他表示,“谷歌只是让你清楚问题的存在。如果几年以来你的储藏室都没有上锁,然后谷歌地图出现了,并贴出照片显示你的储藏室没有上锁,贴照片并不是问题所在,问题是你的门几年都没有上锁。”Kenny认为,企业需要更加清楚面向网络的数据库包含哪些数据,因为数据库的简单连接和搜索引擎的力量可能会索引出数据库的信息。
“在很多情况下,他们并不知道自己的数据库是敞开的,”他解释说道,“现有的数据库都被设计为允许从多种设备和多个地方的最简单的访问。在很多人的心目中,他们认为你需要通过在服务器上运行的应用程序来访问服务器,这样的话,应用程序背后的数据就很安全,因为应用程序很安全。但是你的数据库就在那里,在很多情况下,还是连接到互联网的。”
【编辑推荐】
