近日發(fā)生的兩起數(shù)據(jù)庫泄漏事故凸顯了一個常見但經(jīng)常被忽視的問題，包含敏感信息的錯誤配置的數(shù)據(jù)庫容易被網(wǎng)絡(luò)搜索曝露。

***個數(shù)據(jù)泄漏事故發(fā)生在耶魯大學，F(xiàn)TP服務(wù)器上的包含屬于43000位用戶的敏感信息的數(shù)據(jù)存儲在2010年9月被谷歌建立索引。第二個事故發(fā)生在南加州醫(yī)療法律咨詢公司(SCMLC)，他們將包含將近30萬名用戶的重要信息的數(shù)據(jù)庫放在一個網(wǎng)絡(luò)應(yīng)用程序后面，不需要密碼就可以訪問，也可以通過搜索引擎檢索。

根據(jù)安全專家表示，在深度挖掘數(shù)據(jù)庫政策合規(guī)的差距方面，搜索引擎是很好的均衡器。

“搜索的特點在于它是徹底的，而大多數(shù)人的防御并不是徹底的，”RedSeal系統(tǒng)公司***技術(shù)高Mike Lloyd表示，“我們發(fā)現(xiàn)大多數(shù)試圖遵循‘不要將重要數(shù)據(jù)放在面向互聯(lián)網(wǎng)的FTP服務(wù)器’策略的企業(yè)通常自我感覺都非常好，他們認為自己95%地遵守了這些策略。但是搜索的徹底性讓任何低于100%的策略遵守都成了無用功。如果你出現(xiàn)了百萬分之一的錯誤，搜索引擎都會幫你找出來。”

耶魯大學的錯誤最開始于六月底被學校發(fā)現(xiàn)，并于近日公開宣布。當時學校的安全團隊組織了搜索引擎對FTP服務(wù)器的房屋，并刪除了保護社會安全號碼等敏感信息(但是沒有刪除地址、出生日期和財務(wù)信息)的存儲。但是，在去年谷歌推出抓取功能和索引FTP服務(wù)器后，這些信息已經(jīng)曝光了10個月之久。

與此同時，SCMLC公司的數(shù)據(jù)泄漏則由Identity Finder的研究人員公布，該研究人員在6月份發(fā)現(xiàn)了幾GB的SCMLC數(shù)據(jù)庫、電子表格和其他包含敏感信息的文件，這些都可以通過網(wǎng)絡(luò)搜索找到。數(shù)據(jù)庫文件對于黑客來說是一個大金礦，他們能夠挖掘出很多信息。

“這并不只是輸入幾個關(guān)鍵字，找到你想要的信息，你需要清楚知道你要找的字符串，以及數(shù)據(jù)庫如何運作和數(shù)據(jù)庫信息如何被存儲的，”Ipswitch公司的全球戰(zhàn)略副總裁，也是前Gartner分析師。

很多安全領(lǐng)域的人認為，正是因為谷歌不斷增加FTP和PDF索引等功能以增強其web和桌面搜索功能，增加了配置不當?shù)臄?shù)據(jù)庫被泄露的風險。

似乎很多人都愿意將問題歸咎于谷歌，“將責任都推給谷歌似乎有點不合乎情理，”他表示，“谷歌只是讓你清楚問題的存在。如果幾年以來你的儲藏室都沒有上鎖，然后谷歌地圖出現(xiàn)了，并貼出照片顯示你的儲藏室沒有上鎖，貼照片并不是問題所在，問題是你的門幾年都沒有上鎖。”Kenny認為，企業(yè)需要更加清楚面向網(wǎng)絡(luò)的數(shù)據(jù)庫包含哪些數(shù)據(jù)，因為數(shù)據(jù)庫的簡單連接和搜索引擎的力量可能會索引出數(shù)據(jù)庫的信息。

“在很多情況下，他們并不知道自己的數(shù)據(jù)庫是敞開的，”他解釋說道，“現(xiàn)有的數(shù)據(jù)庫都被設(shè)計為允許從多種設(shè)備和多個地方的最簡單的訪問。在很多人的心目中，他們認為你需要通過在服務(wù)器上運行的應(yīng)用程序來訪問服務(wù)器，這樣的話，應(yīng)用程序背后的數(shù)據(jù)就很安全，因為應(yīng)用程序很安全。但是你的數(shù)據(jù)庫就在那里，在很多情況下，還是連接到互聯(lián)網(wǎng)的。”

【編輯推薦】

1. 如何鑒定企業(yè)信息安全風險
2. 全球信息安全風險評估發(fā)展及現(xiàn)狀
3. 如何保證打印機不給給企業(yè)帶來安全風險