近日發(fā)生的兩起數(shù)據(jù)庫泄漏事故凸顯了一個(gè)常見但經(jīng)常被忽視的問題，包含敏感信息的錯(cuò)誤配置的數(shù)據(jù)庫容易被網(wǎng)絡(luò)搜索曝露。

***個(gè)數(shù)據(jù)泄漏事故發(fā)生在耶魯大學(xué)，F(xiàn)TP服務(wù)器上的包含屬于43000位用戶的敏感信息的數(shù)據(jù)存儲(chǔ)在2010年9月被谷歌建立索引。第二個(gè)事故發(fā)生在南加州醫(yī)療法律咨詢公司(SCMLC)，他們將包含將近30萬名用戶的重要信息的數(shù)據(jù)庫放在一個(gè)網(wǎng)絡(luò)應(yīng)用程序后面，不需要密碼就可以訪問，也可以通過搜索引擎檢索。

根據(jù)安全專家表示，在深度挖掘數(shù)據(jù)庫政策合規(guī)的差距方面，搜索引擎是很好的均衡器。

“搜索的特點(diǎn)在于它是徹底的，而大多數(shù)人的防御并不是徹底的，”RedSeal系統(tǒng)公司***技術(shù)高M(jìn)ike Lloyd表示，“我們發(fā)現(xiàn)大多數(shù)試圖遵循‘不要將重要數(shù)據(jù)放在面向互聯(lián)網(wǎng)的FTP服務(wù)器’策略的企業(yè)通常自我感覺都非常好，他們認(rèn)為自己95%地遵守了這些策略。但是搜索的徹底性讓任何低于100%的策略遵守都成了無用功。如果你出現(xiàn)了百萬分之一的錯(cuò)誤，搜索引擎都會(huì)幫你找出來。”

耶魯大學(xué)的錯(cuò)誤最開始于六月底被學(xué)校發(fā)現(xiàn)，并于近日公開宣布。當(dāng)時(shí)學(xué)校的安全團(tuán)隊(duì)組織了搜索引擎對(duì)FTP服務(wù)器的房屋，并刪除了保護(hù)社會(huì)安全號(hào)碼等敏感信息(但是沒有刪除地址、出生日期和財(cái)務(wù)信息)的存儲(chǔ)。但是，在去年谷歌推出抓取功能和索引FTP服務(wù)器后，這些信息已經(jīng)曝光了10個(gè)月之久。

與此同時(shí)，SCMLC公司的數(shù)據(jù)泄漏則由Identity Finder的研究人員公布，該研究人員在6月份發(fā)現(xiàn)了幾GB的SCMLC數(shù)據(jù)庫、電子表格和其他包含敏感信息的文件，這些都可以通過網(wǎng)絡(luò)搜索找到。數(shù)據(jù)庫文件對(duì)于黑客來說是一個(gè)大金礦，他們能夠挖掘出很多信息。

“這并不只是輸入幾個(gè)關(guān)鍵字，找到你想要的信息，你需要清楚知道你要找的字符串，以及數(shù)據(jù)庫如何運(yùn)作和數(shù)據(jù)庫信息如何被存儲(chǔ)的，”Ipswitch公司的全球戰(zhàn)略副總裁，也是前Gartner分析師。

很多安全領(lǐng)域的人認(rèn)為，正是因?yàn)楣雀璨粩嘣黾覨TP和PDF索引等功能以增強(qiáng)其web和桌面搜索功能，增加了配置不當(dāng)?shù)臄?shù)據(jù)庫被泄露的風(fēng)險(xiǎn)。

似乎很多人都愿意將問題歸咎于谷歌，“將責(zé)任都推給谷歌似乎有點(diǎn)不合乎情理，”他表示，“谷歌只是讓你清楚問題的存在。如果幾年以來你的儲(chǔ)藏室都沒有上鎖，然后谷歌地圖出現(xiàn)了，并貼出照片顯示你的儲(chǔ)藏室沒有上鎖，貼照片并不是問題所在，問題是你的門幾年都沒有上鎖。”Kenny認(rèn)為，企業(yè)需要更加清楚面向網(wǎng)絡(luò)的數(shù)據(jù)庫包含哪些數(shù)據(jù)，因?yàn)閿?shù)據(jù)庫的簡(jiǎn)單連接和搜索引擎的力量可能會(huì)索引出數(shù)據(jù)庫的信息。

“在很多情況下，他們并不知道自己的數(shù)據(jù)庫是敞開的，”他解釋說道，“現(xiàn)有的數(shù)據(jù)庫都被設(shè)計(jì)為允許從多種設(shè)備和多個(gè)地方的最簡(jiǎn)單的訪問。在很多人的心目中，他們認(rèn)為你需要通過在服務(wù)器上運(yùn)行的應(yīng)用程序來訪問服務(wù)器，這樣的話，應(yīng)用程序背后的數(shù)據(jù)就很安全，因?yàn)閼?yīng)用程序很安全。但是你的數(shù)據(jù)庫就在那里，在很多情況下，還是連接到互聯(lián)網(wǎng)的。”

【編輯推薦】

1. 如何鑒定企業(yè)信息安全風(fēng)險(xiǎn)
2. 全球信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展及現(xiàn)狀
3. 如何保證打印機(jī)不給給企業(yè)帶來安全風(fēng)險(xiǎn)