您最敏感的数据可能会在线公开
Justin Paine坐在加利福尼亚州奥克兰的一家酒吧里,在互联网上搜索最敏感的数据。找到一个有希望的领导者并不需要他很长时间。
在他的笔记本电脑上,他打开了Shodan,这是一个可搜索的云服务器和其他互联网连接设备的索引。然后他输入关键字“Kibana”,其中显示了超过15,000个在线存储的数据库。潘恩开始挖掘结果,一盘鸡肉招标和炸薯条在他旁边变冷。
“这是来自俄罗斯。这是来自中国,”潘恩说。“这个只是敞开大门。”
从那里,Paine可以筛选每个数据库并检查其内容。一个数据库似乎有关于酒店客房服务的信息。如果他继续深入观察,他可能会找到信用卡或护照号码。这并非牵强附会。过去,他发现的数据库包含来自吸毒成瘾治疗中心的患者信息,以及图书馆借阅记录和在线赌博交易。
Paine是一群非正式的网络研究人员,他们沉溺于一种模糊的激情:在互联网上搜索不安全的数据库。数据库 - 未加密且明显 - 可以包含各种敏感信息,包括姓名,地址,电话号码,银行详细信息,社会安全号码和医疗诊断。在错误的人手中,数据可能被用于欺诈,身份盗窃或勒索。
数据搜寻社区既折衷又全球化。它的一些成员是专业的安全专家,其他人是业余爱好者。有些是高级程序员,有些则无法写一行代码。他们在乌克兰,以色列,澳大利亚,美国以及您所指的任何国家。它们有一个共同的目的:刺激数据库所有者锁定您的信息。
追求不安全的数据是时代的标志。任何组织 - 私营公司,非营利组织或政府机构 - 都可以轻松,廉价地在云上存储数据。但是,许多帮助将数据库放在云上的软件工具会使数据默认暴露。即使工具确实从一开始就将数据设为私有,但并不是每个组织都有专业知识来了解它应该保留这些保护措施。通常,数据只是以纯文本形式存在,等待阅读。这意味着像Paine这样的人总能找到一些东西。今年4月,以色列的研究人员发现了超过8000万美国家庭的人口统计细节,包括地址,年龄和收入水平。
没有人知道这个问题有多大,网络安全专家特洛伊亨特说,他在博客上记录了暴露数据库的问题。他说,与研究人员公布的数据库相比,有更多不安全的数据库,但你只能计算你能看到的数据库。更重要的是,新的数据库不断添加到云中。
“这是冰山一角中最糟糕的情况之一,”亨特说。
要搜索出数据库,你必须对无聊有较高的容忍度,对失望有较高的容忍度。潘恩说,需要花费数小时才能确定酒店客房服务数据库是否实际上是暴露敏感数据的缓存。对数据库进行仔细研究可能会让人头脑麻木并且往往充斥着错误的线索。这不像是在大海捞针;这就像搜索干草堆的领域,希望可能有一根针。更重要的是,不能保证猎人能够提示暴露的数据库的所有者来解决问题。有时,所有者会威胁采取法律行动。
数据库大奖
然而,收益可能是一种刺激。Bob Diachenko从他在乌克兰的办公室寻找数据库,曾经在一家名为Kromtech的公司从事公共关系工作,该公司从安全研究人员那里得知它有数据泄露事件。这种经历引起了Diachenko的兴趣,没有任何经验,他潜入猎取数据库。7月,他在一个不安全的数据库中找到了数千名美国选民的记录,只需使用关键词“选民”。
“如果我,一个没有技术背景的人,可以找到这些数据,”Diachenko说,“那么世界上任何人都可以找到这些数据。”
1月份,Diachenko发现了2400万份与美国抵押贷款有关的财务文件,并在一个暴露的数据库上进行了银行业务。由查找以及其他人产生的宣传帮助Diachenko推广SecurityDiscovery.com,这是他在离开上一份工作后成立的一家网络安全咨询公司。
宣传问题
UpGuard的网络犯罪研究主管克里斯•维克里(Chris Vickery)表示,大型发现提高了人们的意识,并帮助那些急于确保他们的名字与草率行为无关的公司开展业务。他说,即使公司没有选择UpGuard,发现的公共性也有助于他的领域发展。
今年早些时候,Vickery通过搜索“数据湖”来寻找一些重要的东西,这是一个以多种文件格式存储的大量数据汇编的术语。
搜索帮助他的团队成为迄今为止最大的发现之一,包括用户名,Facebook ID号和存储在云中的大约22,000个未加密密码的5.4亿张Facebook记录。这些数据是由第三方公司存储的,而不是Facebook本身。
“我正在为围栏摆动,”Vickery说道,描述了这个过程。
获得安全保障
Facebook表示,它已采取行动迅速取消数据。但并非所有公司都有回应。
当数据库猎人无法让公司做出反应时,他们有时会求助于使用笔名Dissent的安全作者。她过去常常自己寻找不安全的数据库,但现在花时间促使公司回应其他研究人员发现的数据暴露。
“最佳回应是,'感谢您让我们知道。我们正在保护它,我们正在通知患者或客户以及相关监管机构',”Dissent表示,她要求通过她的笔名识别以保护她的隐私。
并非所有公司都了解数据暴露的含义,而Dissent在她的网站Databreaches.net上记录了这一点。2017年,Diachenko寻求她帮助报告从金融软件供应商到纽约市医院的暴露健康记录。
标签: 数据公开