最近某車企被爆車主信息泄露，遇到相同問題的車企并非只有這一企業。去年6月，同為車企的某公司曾表示，有將近數萬名客戶或潛在買家的數據遭泄露，具體信息包括姓名、地址、手機號碼、郵件以及部分駕照號碼、車牌號碼、貸款號碼等。另一汽車企業也曾發布聲明稱，其注意到2022年4月11日—29日期間，部分在線客戶賬戶出現了可疑登錄，導致在未經用戶授權的情況下，客戶的獎勵積分被兌換成了禮品卡。此外，今年10月，某汽車公司也在一份聲明中表示，使用其T-connect服務的約數萬名客戶的個人信息可能已被泄露，包括電子郵箱地址和客戶編號等。

數據庫中儲存著大量的機密信息，對于用戶和企業來說都至關重要。您是否泄露了敏感數據？是否存在潛在漏洞？您知道數據庫怎樣認證的嗎？使用數據庫交換數據的過程安全嗎？假如黑客攻擊了數據庫，又將會發生什么呢？

數據庫泄露問題的普遍性和嚴重性

因為外部入侵和部分人為因素造成的數據泄露仍然是用戶和企業的心腹大患。數據泄露事件呈快速增長的態勢，造成的危害也越來越嚴重。那么數據泄露問題現在有多普遍呢？

近年來，超過360億條的信息記錄被曝光，零零信安發現將近4500萬可在互聯網上公開訪問的映像文件。2021年1月，黑客免費公開泄漏了超過7700萬條的某用戶記錄數據庫，黑客公布的這個14GB的泄漏數據庫包含77,159,696條記錄，其中包含用戶的電子郵件地址、全名、哈希密碼、標題、公司名稱、IP地址以及其他與系統相關的信息。數十億這樣的文檔由于服務器配置錯誤或者是不安全的數據庫而被獲取泄露。研究發現在云計算服務器運行的193萬個的數據庫并沒有設置防火墻或采取其他安全保護措施，那么攻擊者完全可以利用這些數據庫的漏洞進行攻擊，并獲得對其數據的訪問權限，從而竊取數據。

為什么數據庫成為攻擊目標？

零零信安通過研究分析將數據庫作為攻擊目標的主要原因總結如下：

①經濟收益，主要是是通過勒索軟件和身份信息盜竊。

②賬戶接管，特別是針對間諜活動來竊取機密或者知識產權。

③潛在意圖，表現為惡意破壞、尋求快感、干擾治安、損毀名譽等。

財務收益：

如果將數據比作石油，那么數據庫就是這種資源的寶貴存儲地。

數據庫作為企業或組織的核心知識庫，通常被用來存儲客戶記錄、聯系人、支付價格和其他機密的業務往來數據，可能包括流程、設計、公式或其他有價值的知識產權、財務細節、政治或法律敏感信息、員工詳細信息、人力資源記錄或者是國家政府機密。

如果攻擊者從你的數據庫所泄露的信息中提取有效價值，他們可能會索要贖金，通常以比特幣支付。一般過程可能為前期需要支付贖金來獲取您所泄露的數據來保證業務的正常運作，后期如果沒有支付贖金或沒有滿足攻擊者的要求，勒索者可能會通過公開泄露數據來損毀企業的聲譽。

此外，零零信安的分析師發現，近期未受保護的數據庫數量急劇上升，增長近75%，而去年則為1%至3%。

賬戶接管：

即使是一些日常非敏感的信息，比如電子郵件地址和登錄名，也可以被攻擊者用憑證進行填充，來訪問各種不同的賬戶，這就可能會導致帳戶接管。

因此，這不僅僅是信息被訪問了，重要的是訪問者是誰？有何意圖？如果是訪問國家政府的機密數據，可能會被攻擊者利用來破壞談判或者用于間諜活動。例如在敵對行動時被賬戶接管，那么個人身份信息（PII）、工作人員、其他人的數據包括駕照號碼、銀行賬戶信息和出生日期，這些都可以用來打開新的信息，從而實施身份盜竊或收取欺詐性的財務費用。

潛在意圖：

有些攻擊看似毫無意義，例如Meow攻擊，它只針對于那些沒有啟用安全訪問控制的數據庫。Meow清除文件并不會索取贖金或有其他威脅類的請求，并不提供任何形式的通知或是情況說明。

報告顯示，這些Meow攻擊看似只是造成數據泄露，但它們實際上會造成破壞，并打開數據庫的過程中進一步攻擊數據庫。

據悉，某數據分析公司被黑客發現數據庫沒有認證或加密后遭到了黑客的攻擊。導致了近30條關于結核病的數據泄露，其中包括120億條與社交媒體相關的記錄。服務器曝光的第二天，Meow攻擊刪除了一半的數據。據悉，剩下的數據后來被第三個黑客入侵并留下了一張贖金紙條，要求用0.04比特幣（當時約為550美元）來取回這些數據。

那些被攻擊的數據庫有什么共同點？

攻擊者想要入侵自然會選擇那些安全系數低保密性較差的，零零信安經調查發現大多數被攻擊的數據庫都是完全開放的，這意味著它們不再需要在線驗證或是密碼登錄。

表1 數據庫使用排名

表2 數據庫泄露記錄

Elasticsearc和MongoDB出現在表1前10個數據庫里。通過表2可以知道它們是兩個最流行的分布式數據存儲，但也最容易受到攻擊。零零信安系統平臺發現MongoDB數據庫被攻擊者最常訪問和勒索，它們存儲的數據也更容易被竊取泄露。

根據調查結果可以知道無論您使用什么數據庫，都有可能會被竊取數據。數據泄露很可能在未經授權訪問的那一瞬間就完成入侵。企業數據泄露成本將取決于部門和泄露數據的性質，但對于系統的損害、財務的損失、補救的成本、罰款、訴訟或聲譽將非常昂貴。

以下僅列舉零零信安12月上旬監測到的其中20條國外數據庫泄露事件。

1. 國外某網站數據庫泄露：用戶名、UUID、IP、電子郵件、州、城市、郵政編碼、國家、電話號碼、姓名和姓氏、帳戶類型。

2. 國外某人員數據庫泄露：姓名、電話、城市。

3. 國外某求職者數據庫泄露：姓名、郵箱、電話。

4. 國外某數據庫泄露：用戶通訊錄、用戶昵稱、用戶電子郵件、訂單信息。

5. 國外某衛生與公共服務部數據庫泄露：地址、ID、城市、分類名稱、電話、國家/地區、郵編。

6.國外某數據庫泄露：電話號碼、id、郵編。

7. 國外某汽車車主數據庫泄露：VIN、車牌號碼、電話號碼、姓名

8. 國外某公司員工手機數據庫泄露：姓名、郵箱、手機號。

9. 國外某電信和無線公司用戶數據庫泄露:郵編、地址、電話號碼、姓名。

10. 某網站數據庫泄露: CSV文件和電子郵件。

11. 國外某客戶加密數據庫泄露:用戶名、電話號碼、密碼、電子郵件。

12. 國外某一互聯網平臺數據庫泄露:姓名、電子郵件、聯系方式、地址、地區、地標、城市、網站、URL。

13. 國外某國際電聯數據庫泄露:姓名、id。

14. 國外某身份證數據庫泄露:身份證號、地址、姓名。

15. 國外某網站用戶數據庫泄露:姓名、密碼、電子郵件。

16. 國外某公司數據庫泄露:公司名稱、電子郵件、電話。

17. 國外某互聯網商店消費者數據庫泄露:性別、出生日期、稅號、地址、城市、州、郵政編碼、縣、電話、電子郵件地址、設備ID、cookie ID、IP地址。

18. 國外某消費者數據庫泄露:名字、電子郵件、家庭電話、城市、縣、郵編、年齡等。

19. 國外某情報饋送門戶數據庫泄露:用戶、電子郵件。

20. 國外某醫療行業數據庫泄露:街道、城市、電話、郵政編碼。

從國家公共組織、情報部門、網站再到企業數據庫的泄露頻繁發生，一旦數據庫被外部人員、內部人員、社交工程、高級持續性威脅等威脅利用，數據庫“拖庫”、“洗庫”帶來的隱私泄露、商業詐騙、網絡犯罪等就可對企業造成直接性經濟損失和秩序失調，對于擁有豐富數據資源的企業來說，未雨綢繆勢在必行。

被黑客攻破所用時間？

攻擊者正在尋找更多的開放性數據庫，無論他們的目標是數據盜竊還是勒索軟件開放性數據庫都將成為他們的首要選擇。

如果數據庫未經過任何加密保護那么黑客需要多長時間能找到并竊取它？以一個彈性搜索實例上的不安全數據庫的形式蜜罐為例，結果顯示將近在11天的時間里，這個數據庫被攻擊了175次，每天可達18次，甚至在該數據庫被搜索引擎索引之前，就已經發生了36起攻擊事件。其被搜索引擎索引后，一分鐘內發生了兩次攻擊，這些惡意攻擊包括索要贖金和竊取機密數據。這就表明，攻擊者正在主動搜索開放性數據庫，開放性數據庫的被攻擊概率將大幅增加。

數據庫泄露的原因：

零零信安通過研究分析數據庫泄露原因大致包括以下幾點：

①人為因素、疏忽、配置錯誤、工作負載過高；

②開放的API濫用或誤用；

③開源軟件缺陷；

④媒體存儲備份泄露；

⑤具有額外訪問權限的第三方。

人為因素：

操作人的疏忽是高達30%的數據泄露事件的根本原因，具體表現為配置失誤。公司對于包含關鍵數據的數據庫管理不善，被遺忘的數據庫中可能包含敏感信息，很可能這些敏感數據會受到威脅。

造成這些失誤的一個原因是，專業人員的持續短缺或者是IT和安全人員的工作負載太高。他們的工作包括復雜又耗時的數據庫補丁維護，這可能需要幾個月的時間，在此期間它們仍然最容易受到攻擊，處于風險窗口期。

開放的API：

開放可能對工作或商務有很大便利，但它不是總是安全的。對于數據的權限太過廣泛，使得每個人都能獲得相關數據，但最終用戶和開發者到傳統的銀行和金融機構，并不是一個人人都免費的機構。它必須遵守有關隱私保護的法律和法規（如GDPR）以及合法的商業問題(知識產權保護，企業財務狀況)。雖然為更多的實體提供了更多的數據，但那些被允許訪問數據的人如果蓄意破壞或傳播，將會損壞企業的利益。

開源軟件缺陷：

開源軟件是第三方影響的原因之一，幾乎所有的商業數據庫約99%都至少包含一個開源組件，其中近75%的代碼庫包含開源安全漏洞。這些未被發現的漏洞很可能會被黑客利用。一旦開源漏洞被公開，例如通過國家漏洞數據庫（NVD），攻擊者在修補之前必定會突然出擊。在開放源代碼中，比較常見的錯誤就是“竊聽門”，這是為了促進開發而故意植入軟件中的軟件漏洞。而且，在OpenSSL加密軟件庫中也可能存在缺陷。雖然許可證允許使用、修改和共享源代碼但大多數這些許可證都不符合開放源碼的嚴格的OSI和SPDX定義。其中超過200多種類型的開源許可證，并不符合企業或組織的嚴格標準與要求。零零信安研究發現在1253個應用程序中，約67%的代碼庫受到許可證沖突的影響，33%的代碼庫包含未經許可的軟件。

媒體存儲備份泄露：

數據泄漏的另一個原因是備份存儲介質具有不受限制的訪問權限。一些用戶可能被授予了過多的特權，這可能與內部人士濫用數據庫特權的內部威脅相結合。外部攻擊者使用的兩種主要類型的數據庫注入攻擊，分別是針對傳統數據庫系統的SQL注入和針對“大數據”平臺的注入。這兩者都可以讓攻擊者對整個數據庫不受限制地訪問。

第三方泄漏：

即使你已經制定出最佳方案，你的供應鏈也可能是薄弱環節。根據IBM發布的數據泄露報告可知，約60%企業經歷了一次由第三方造成的重大數據泄露事件，平均總成本高達386萬英鎊。

第三方數據泄露的額外成本數量每年超過426萬美元。這似乎令人難以置信，但零零信安經分析發現，有53%的組織至少經歷過一次由第三方造成的數據泄露，平均花費750萬美元進行補救。此外零零信安還發現接近62%的關鍵事件、93%的服務器泄露事件以及39%的代碼數據庫泄露事件都是由于第三方泄露而造成的。

數據泄露違約成本上升

根據IBM發布的《2022年數據泄露成本報告》顯示數據泄露事件給企業和組織造成的經濟損失和影響力度達到前所未有的水平，單個數據泄露事件給全球的受訪組織造成平均高達 435 萬美元的損失，創下該年度報告發布17年以來的最高紀錄，60% 的受訪組織表示他們在遭遇數據泄露事件之后提高了自身產品或服務的價格。據調查2022年數據泄露的平均成本達到435萬美元，比2021年的424萬美元增加了2.6%，比2020年的386萬美元增加了12.7%。

2022年，國際上印度尼西亞、加拿大、阿根廷等多個國家也相繼出臺相關政策與法規，一些國家的監管機關對于數據泄露的單位罰款和法律費用重新調整比例，美國加州的CCPA和其他監管機構也引入了高額罰款和處罰。

近兩年，國內相繼頒布了相關的數據保護法律，明確數據安全保護的義務：

2021年9月1日起實施的《中華人民共和國數據安全法》規定了對數據泄露進行：監測、預警、研判、應急、防止危害擴大等要求，最高處以1000萬元罰款、吊銷營業執照、追究法律責任。

2021年11月1日起實施的《中華人民共和國個人信息保護法》對履行部門具有保護職責，對信息泄露要有匯報、通知、應急、減輕危害等預案，最高處以5000萬元或上一年5%營業額罰款、吊銷營業執照、追究法律責任。

2022年12月印發的《關于構建數據基礎制度更好發揮數據要素作用的意見》提出建立安全可控、彈性包容的數據要素治理制度。把安全貫穿數據治理全過程，構建政府、企業、社會多方協同的治理模式，創新政府治理方式，明確各方主體責任和義務，完善行業自律機制，規范市場發展秩序，形成有效市場和有為政府相結合的數據要素治理格局。

數據泄露的其他實質性影響包括讓企業或組織的聲譽受到不可挽回的損害或者造成股價下跌。2022年美國政府宣布調查FB數據泄露丑聞后，FB股價一度大跌了6%左右。澳大利亞的某醫保基金公司自10月13日首次披露客戶資料遭盜取以來，公司股價已經下跌了22%。此外，個人身份的盜竊和銀行賬戶的流失其訴訟費用可能造成數百萬損失，尤其是集體訴訟。如果敏感的政府數據落入攻擊者手中，那么企業和組織將會陷入政治困難。很明顯，如果企業一旦認識到由于不安全的數據庫而造成的高昂費用和不斷增加的泄露影響，這種風險就需要立即優先考慮，并及時進行處理。

關于我們

作為國內EASM賽道的領軍企業，零零信安是國內首家專注于外部攻擊面管理（EASM）的網絡安全公司。零零信安基于大數據立體攻防、以攻促防、主動防御、力求取得立竿見影效果的理念，為客戶提供基于攻擊者視角的外部攻擊面管理技術產品和服務。系統化能力覆蓋企業信息系統（IP設備、子域名、敏感目錄、組件、云端、影子資產、邊緣資產）、移動應用、M&A和供應鏈、漏洞和口令、文檔和代碼泄露、郵箱和人員列表、企業VIP和管理員、全網情報等風險敞口。從外部攻擊面管理的角度，來幫助企業站在攻擊者視角下，提前獲悉自身的薄弱環節，從而提前于攻擊前對薄弱環節進行加固，從而避免安全事件的發生。

零零信安目前已將EASM實現了產品服務化落地，零零信安旗下國內首個在線EASM平臺0.zone發布以來，注冊用戶已超過5萬，隨著企業越加重視網絡安全與數據安全的建設工作，越來越多的企事業單位的安全運維人員正在使用零零信安外部攻擊面管理技術建設自身的網絡安全與數據安全。

00SEC-E&E可以專注于為甲乙方企業提供外部攻擊面數據服務。目標是在安全管理、攻擊檢測、漏洞管理三個場景下，為SOAR、SOC、SIEM、MDR、安全運維（服務）；IDS、IPS、NDR、XDR、蜜罐、CTI、應急響應團隊（服務）；漏洞管理系統、掃描器、 CAASM、BAS、風險評估（服務）、滲透測試團隊（服務）；等產品和服務提供基礎數據能力，讓國內所有安全產品具備外部攻擊面/暴露面檢測能力。

零零信安還在前不久全新發布了兩款EASM細分能力產品，其中00SEC-D&D數據泄露報警系統00SEC-D&D數據泄露報警系統將為監管側、企業用戶提供全網數據泄露可視性，該系統可對數千個泄露源進行7*24小時監控，通過對海量數據匯聚和數據智能分析，讓客戶第一時間獲取是否存在數據泄露的情況發生，從而為后期的研判、應急提供支撐。

另外一款EASM細分能力產品00SEC-O&S數據泄露預警系統則可以從外部視角精準洞悉企業全面的數據泄露風險面，完整覆蓋客戶持續發展的數字足跡，從而為企業進行提前的技術干預提供線索支撐，避免進一步的數據泄露事件發生。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：