美國計算機安全專家12月29日向記者透露���,存儲美國選民個人資料的一個數(shù)據(jù)庫在網(wǎng)絡(luò)上遭到公開,約1.91億選民的個人信息外泄�����,原因或為數(shù)據(jù)庫設(shè)定錯誤�����。
來自美國得克薩斯州奧斯汀的計算機安全專家克里斯·維克里告訴路透社記者,這個數(shù)據(jù)庫存儲了自2000年以來美國所有州以及首都華盛頓約1.91億選民的資料���,包括姓名����、住址���、出生日期����、電話��、電子郵件地址以及與政黨聯(lián)系等信息�����。
此事件新聞報道中指出����,可能因為數(shù)據(jù)庫設(shè)定錯誤而導致數(shù)據(jù)泄露����,但并未具體說明是數(shù)據(jù)庫設(shè)定的哪些錯誤���。作為國內(nèi)專業(yè)的數(shù)據(jù)庫安全廠商安華金和,對于事件背后的泄露原因進行了初步分析����,安華金和安全顧問提出自己的認知和看法。
從目前網(wǎng)上的信息來看�,泄露的原因大概可以分為兩種情況:
第一:數(shù)據(jù)庫配置不當
從數(shù)據(jù)庫能夠被直接從公網(wǎng)下載來看,這個配置不當很有可能是由于運維人員的疏忽直接改變了數(shù)據(jù)庫的環(huán)境��,使本來應該在內(nèi)網(wǎng)的數(shù)據(jù)庫直接暴漏在了公網(wǎng)上�;還有可能存在其他一些錯誤,例如數(shù)據(jù)庫中有可能存在弱口令等相關(guān)的配置問題����。
第二:數(shù)據(jù)庫的管理不當
還有一種可能就是對于數(shù)據(jù)庫的管理出現(xiàn)了問題,網(wǎng)上的文章中提到了一個為政客提供管理軟件的軟件商NationBuilder����,這也可能是數(shù)據(jù)庫泄露的一個原因。
安華金和建議廣大用戶����,數(shù)據(jù)庫是企業(yè)的核心信息資產(chǎn),對數(shù)據(jù)庫的安全管理是重中之重。
對于配置不當問題�,建議定期對數(shù)據(jù)庫進行漏洞掃描,及時對發(fā)現(xiàn)的疏忽人為造成的諸多安全隱患:諸如低安全配置����、弱口令、高危程序代碼����、權(quán)限寬泛等,進行有效的修復與防護�。
針對第三方軟件供應商或者運維人員,需要加強管理���,必要時對開發(fā)或者測試庫的敏感數(shù)據(jù)進行脫敏處理�,例如數(shù)據(jù)庫脫敏���、加密等手段。
從選民個人信息被泄露的這個事件中����,也需要組織機構(gòu)進行進一步反思,作為用戶信息的擁有者�����,在發(fā)展自身業(yè)務,為用戶提供服務的同時�,是否進行了一些
基本的數(shù)據(jù)安全措施?是否對網(wǎng)絡(luò)狀況和數(shù)據(jù)庫的狀況���,提前經(jīng)過安全評估��?正如微博大V段郎說事對于某泄露事件的點評:既然公民交付了全部個人信息�,那么有
關(guān)部門必須同時具備保護公民這些核心信息不被泄密的能力����。筆者在這里想說的是:不光是有關(guān)部門,企業(yè)�����、團體也同樣有保護用戶信息的責任與義務���。
產(chǎn)品咨詢:4000 258 365 
