公開問題

UpGuard網(wǎng)絡(luò)風(fēng)險研究主管Chris Vickery表示，各種龐大的發(fā)現(xiàn)提高了人們的認(rèn)知，并有助于吸引那些急于確保自己的名字與草率行為無關(guān)的公司的業(yè)務(wù)。他說，即使這些公司不選擇UpGuard，這些發(fā)現(xiàn)的公關(guān)性質(zhì)也有助于他的領(lǐng)域發(fā)展。

今年早些時候，Vickery通過在“數(shù)據(jù)湖”上搜索，來尋找大的發(fā)現(xiàn)，數(shù)據(jù)湖是指以多種文件格式存儲的大量數(shù)據(jù)匯編。

這一搜索幫助他的團隊找到了迄今為止最大的發(fā)現(xiàn)之一，即存儲在云中的5．4億條Facebook記錄，包括用戶名、Facebook賬號和大約2．2萬個未加密的密碼。這些數(shù)據(jù)是由第三方公司所存儲的，而不是Facebook本身。

確保安全

Facebook表示，它迅速采取行動移除相關(guān)數(shù)據(jù)。但并不是所有公司都能夠作出反應(yīng)。

當(dāng)數(shù)據(jù)庫狩獵者無法讓公司做出反應(yīng)時，他們有時會求助于使用筆名Dissent的安全作者。她過去曾自己尋找過不安全的數(shù)據(jù)庫，但現(xiàn)在則主要提醒公司對其他研究人員發(fā)現(xiàn)的數(shù)據(jù)暴露做出反應(yīng)。

“最佳回答是，‘謝謝你讓我們知道。我們正在保護它，正在通知患者或顧客以及相關(guān)監(jiān)管機構(gòu)，”Dissent說，她要求媒體使用自己的筆名，以保護她的隱私。

并非每家公司都明白數(shù)據(jù)泄漏意味著什么，Dissent也在她的網(wǎng)站Databreaches．net上記錄了這一點。2017年，Diachenko尋求她的幫助，向紐約一家醫(yī)院報告了一家金融軟件供應(yīng)商的健康記錄泄漏問題。

醫(yī)院稱這是一次黑客攻擊，盡管Diachenko只是在網(wǎng)上找到了數(shù)據(jù)，并沒有破解任何密碼或加密來查看。Dissent寫了一篇博客解釋說，一家醫(yī)院承包商沒有保護數(shù)據(jù)。這家醫(yī)院聘請了一家外部信息技術(shù)公司對此進行了調(diào)查。

工具是好是壞

數(shù)據(jù)庫獵人使用的搜索工具非常強大。

Paine坐在酒吧里向我展示了他的一種技術(shù)，這種技術(shù)讓他可以在亞馬遜網(wǎng)絡(luò)服務(wù)數(shù)據(jù)庫中找到暴露的數(shù)據(jù)。他說，這些數(shù)據(jù)是“用各種不同的工具一起進行黑客攻擊的”。這種權(quán)宜之計是必要的，因為存儲在亞馬遜云服務(wù)上的數(shù)據(jù)沒有在Shodan上建立索引。

首先，他打開了一個名為Bucket Stream的工具，該工具搜索網(wǎng)站訪問加密技術(shù)所需的安全證書的公共日志。這些日志讓Paine找到亞馬遜存儲的數(shù)據(jù)容器的名稱，并檢查它們是否公開可見。

然后他使用一個獨立的工具來創(chuàng)建一個包含他發(fā)現(xiàn)的可搜索數(shù)據(jù)庫。

對于一個在互聯(lián)網(wǎng)中搜索個人數(shù)據(jù)緩存的人來說，Paine在檢查結(jié)果時不會表現(xiàn)出高興或沮喪。這就是互聯(lián)網(wǎng)的現(xiàn)實。它充滿了數(shù)據(jù)庫，這些數(shù)據(jù)庫應(yīng)該被鎖定在密碼后面并加密，但現(xiàn)實卻并非如此。

他說，理想情況下，公司會聘請專家來完成他的工作。他說，公司應(yīng)該“確保你的數(shù)據(jù)沒有被泄露�！�

如果這種事情發(fā)生得更頻繁，Paine將不得不尋找一種新的愛好。但這對他來說可能很難。

“這有點像毒品，容易上癮，”他說。