2020年以来数据安全状况似乎更加严峻。近期全球就出现多家重点机构遭遇了不同程度的数据泄露,影响用户千万,数据安全已成为世界范围内共同关注的焦点。
1. 运营商Elasticsearch数据库泄露,百万用户受影响
据外媒报道,泰国移动运营商 Advanced Info Service (AIS) 子公司 Advanced Wireless Network (AWN) 控制的 Elasticsearch 数据库可被公开访问,数据库中包含了约 83 亿记录,数据体量约为 4.7 TB,波及数百万名用户。
2. 英国航空公司EasyJet发生数据泄露事件,超900万客户受影响
据外媒报道,5月19日易捷航空(EasyJet)宣布,公司遭遇了重大网络攻击。易捷航空是欧洲廉价航空公司,目前因冠状病毒已经停飞。该公司表示,其系统的未经授权访问已被关闭。据CNBC报道,该航空公司的一项调查显示,大约有900万名乘客的电子邮件地址和旅行信息被窃取,而有2208名乘客的信用卡信息被泄露。易捷航空表示,将在5月26日前联系受影响的客户。
3. WordPress插件漏洞曝光,允许未经身份验证的黑客注入恶意代码
据外媒报道,研究人员近日披露,WordPress的WP Product Review Lite插件存在严重漏洞,允许未经身份验证的黑客攻击网站,注入恶意代码。据悉,此次攻击事件导致恶意脚本被注入到该网站的所有产品中,影响近4万多名用户。截至目前,该公司针对此次漏洞已发布最新修复版本WP Product Review Lite 3.7.6,建议用户尽快更新,以免遭受攻击。
事实上,以上泄露事件每天都在上演,只是“主角”不同而已。似乎这些大企业成了“鱼塘”源源不断的为黑客提供资源和数据。然而,我国的安全形势也不容乐观,据调查研究显示,目前我国与互联网相连的网络节点95%都遭到过攻击或侵入,其中银行、证券等金融机构和政府是攻击的重点。
数据泄露产生的根本原因是什么?
数据泄露的根本原因可能多种多样,总结起来,几乎都可以归类为两种,一种为企业对于数据的技术管控策略不足到导致的数据泄露,另外一种则是数据安全管理策略或制度上缺失导致敏感数据被未授权的访问。
- 技术方面,网站/平台/应用/系统因为存在安全问题,如基础安全措施没有做好,系统漏洞或配置失误、数据脱敏手段和数据加密措施缺失、异常操作审计手段缺失、敏感信息泄露发现机制缺失等,都可能导致攻击者利用获取到敏感数据;
- 管理方面,由于开发人员或实习员工安全意识薄弱、或对合作商缺乏数据使用约束条款或限制措施等,导致数据未授权公开或被非法滥用,也是导致数据外泄另外一大主要原因。
为避免个人信息被恶意程序窃取,数安时代GDCA在此提醒广大手机用户,对于无缘无故出现的链接或文件,即便是熟人通过短信、微信等工具发送的链接或文件,不要点击或接收,尽量问清楚在再做打算;手机上的重要信息如通讯录,需要定期备份,并且要限制各类App的访问权限。同时,在使用手机观看视频或浏览信息时,不要点击如一夜暴富、轻松赚钱、色情、赌博等广告链接。
当网站SSL证书过期或者无效,警告会显示在用户浏览器,以提示当前登录网站的安全证书无效,或不受信任的CA机构颁发的SSL证书。用户应该退出浏览或检查网站的真实性。在提供登录认证或帐户等任何个人信息之前,用户应养成认真检查地址栏中证书信息的习惯。
随着“互联网+”不断融入生活,个人信息的内涵及范围均在不断扩大,其安全问题也在不断显露。只有提升对数据价值的认识,对数据存储、使用和管理的方式予以高度重视并将其置于企业战略的核心,同时建立有效的数据保护策略,方能保障企业安全。