据统计,2018 年共 10 余家公司发生数据泄露,超 10 亿人受到影响,企业应该如何避免此类事件发生?
回顾 2018 年,全球数据泄露事件不断,当事公司不乏技术实力雄厚、人才充足的大型互联网企业,但都没有逃脱数据泄露的命运,个别企业的安全漏洞甚至被黑客利用数年之久,泄露的总体数据量超过 10 亿。
2018 数据泄露事件回顾
最大的数据泄露事件应该是万豪酒店数据泄露门,目前此事件已被百度百科词条收录。根据万豪国际集团官方微博声明,喜达屋旗下酒店客户预订数据库被黑客入侵,在 2018 年 9 月 10 日或之前曾在该酒店预定的最多 5 亿条客户数据或被泄露。喜达屋旗下酒店包括瑞吉酒店、威斯汀酒店、喜来登酒店、雅乐轩酒店,福朋酒店以及 W 酒店等品牌。消息公布后,万豪国际美股盘前跌逾 5%。
万豪方面表示,黑客在过去四年一直可以访问预订系统和客户数据。被盗数据包括客户姓名、地址、电话、卡号和护照信息等,甚至有关旅行的地点和人员信息。
但是,此次如此大规模的信息泄露事件却并未被货币化,不少专家怀疑可能不是黑客的个人行为,或许是有组织和有规划的窃取。
除此之外,Twitter 的密码散列出现问题,导致无法对密码进行加密并以纯文本格式保存,此次事件影响了 3.3 亿用户;华住集团被爆数据泄露,用户信息在暗网公开出售,标价 8 个比特币(当时的市值大约等价 37 万人民币),被泄露用户信息近 5 亿;Under Armour 旗下软件 My Fitness Pal 泄漏 1.5 亿用户数据;谷歌旗下开发平台 Firebase 泄露超过 1 亿用户敏感信息; Quora 被第三方软件恶意攻击,1 亿用户数据遭遇泄露风险;Facebook 大约有 1.47 亿帐户暴露在漏洞之下;Uber、Ticket Fly、英国航空、新加坡航空等公司均未能幸免。
企业和个人安全措施
这些数据泄露事件的发生让用户对企业的信任大打折扣,用户很难放心将数据暴露给这些组织。对这些事件进行复盘,企业和个人应该如何尽可能避免这类事件带来的影响呢?
对企业而言,数据泄露的方式大致分为黑客攻击、内部泄漏和软件漏洞等,企业在整个业务流程开始时就应该认真考虑安全因素。在架构设计层面有明确的授权管理、用户认证和日志审计要求,必要的漏洞修复和架构升级需要有专业技术人员负责。
目前常见的系统安全设计分为三部分:在技术架构层面,采用分层架构,实现底层业务逻辑有效隔离,避免将底层实现细节暴露给最终用户; 在部署架构层面,采用应用服务器、数据库服务器分离的部署模式,即站库分离思想,避免核心应用数据泄露;在外部接口设计层面,采用最小接口暴露原则,避免因开发不必要的服务而带来的安全隐患。
对于数据存储,比如对象存储、Redis 数据库等,每种存储方式都具有完备的数据安全方案, 通过安全隔离、加密存储、访问控制、隐私保护、数据监控等技术手段保证数据安全。此外,对于拥有大量隐私数据的企业而言,加强内部员工管理也很关键,内因往往是造成此类事件发生的最大原因之一。
如果用户想要避免自身利益受损,也可以采取一些安全措施,比如使用复杂而独特的密码;在社交平台发布内容前多次调整;使用信用卡进行网上购物,如果财务信息泄露,欺诈性收费的责任就会减少;仅对外提供必要信息,信息提供越少,泄漏的就可能越少;在终端设备上选择一些安全防护软件;如果数据已被通知泄露,请立即更改密码并采取相应公司建议。
参考链接:
InfoQ 主编
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
评论