摘要:美国计算机安全专家12月29日向记者透露,存储美国选民个人资料的一个数据库在网络上遭到公开,约1.91亿选民的个人信息外泄,原因或为数据库设定错误。 来自美国得克萨斯州奥斯汀的计算机安全专家克里斯·维克里告诉路透社记者,这个数据库存储了自2000年以来...
美国计算机安全专家12月29日向记者透露,存储美国选民个人资料的一个数据库在网络上遭到公开,约1.91亿选民的个人信息外泄,原因或为数据库设定错误。
来自美国得克萨斯州奥斯汀的计算机安全专家克里斯·维克里告诉路透社记者,这个数据库存储了自2000年以来美国所有州以及首都华盛顿约1.91亿选民的资料,包括姓名、住址、出生日期、电话、电子邮件地址以及与政党联系等信息。
此事件新闻报道中指出,可能因为数据库设定错误而导致数据泄露,但并未具体说明是数据库设定的哪些错误。作为国内专业的数据库安全厂商安华金和,对于事件背后的泄露原因进行了初步分析,安华金和安全顾问提出自己的认知和看法。
从目前网上的信息来看,泄露的原因大概可以分为两种情况:
第一:数据库配置不当
从数据库能够被直接从公网下载来看,这个配置不当很有可能是由于运维人员的疏忽直接改变了数据库的环境,使本来应该在内网的数据库直接暴漏在了公网上;还有可能存在其他一些错误,例如数据库中有可能存在弱口令等相关的配置问题。
第二:数据库的管理不当
还有一种可能就是对于数据库的管理出现了问题,网上的文章中提到了一个为政客提供管理软件的软件商NationBuilder,这也可能是数据库泄露的一个原因。
安华金和建议广大用户,数据库是企业的核心信息资产,对数据库的安全管理是重中之重。
对于配置不当问题,建议定期对数据库进行漏洞扫描,及时对发现的疏忽人为造成的诸多安全隐患:诸如低安全配置、弱口令、高危程序代码、权限宽泛等,进行有效的修复与防护。
针对第三方软件供应商或者运维人员,需要加强管理,必要时对开发或者测试库的敏感数据进行脱敏处理,例如数据库脱敏、加密等手段。
从选民个人信息被泄露的这个事件中,也需要组织机构进行进一步反思,作为用户信息的拥有者,在发展自身业务,为用户提供服务的同时,是否进行了一些基本的数据安全措施?是否对网络状况和数据库的状况,提前经过安全评估?正如微博大V段郎说事对于某泄露事件的点评:既然公民交付了全部个人信息,那么有关部门必须同时具备保护公民这些核心信息不被泄密的能力。笔者在这里想说的是:不光是有关部门,企业、团体也同样有保护用户信息的责任与义务。