左耳听风
陈皓
网名“左耳朵耗子”,资深技术专家
180927 人已学习
新⼈⾸单¥98
登录后,你可以任选6讲全文学习
课程目录
已完结/共 119 讲
左耳听风
15
15
1.0x
00:00/00:00
登录|注册

04 | 从Equifax信息泄露看数据安全

风控和安全方案
通知和限制外部系统的数据访问
加密存储和密钥管理
关键数据隔离和访问控制
监控异常访问模式
建立多个安全层
不要基于假设建立安全策略
快速部署带有安全补丁的软件产品
理解使用的支持性框架和库
密码没有被合理地散列
保存不必要的用户数据
安全日志被暴露
缺乏及时打安全补丁
向公网暴露内部系统
弱密码
只有一层安全
社会工程学攻击
利用程序日志泄露的信息
代码注入
暴力破解密码
利用程序框架或库的已知漏洞
RSA公司被攻击
携程网安全支付日志泄露
LinkedIn数据泄露
雅虎数据泄露
Equifax信息泄露
技术上的安全做法
专家建议
数据管理上的问题
数据泄露攻击方式
大规模数据泄露事件
数据安全问题

该思维导图由 AI 生成,仅供参考

你好,我是陈皓,网名左耳朵耗子。
上节课中,我们讲了 Equifax 信息泄露始末,并对造成此次事件的漏洞进行了分析。今天,我们就来回顾一下互联网时代的其他几次大规模数据泄露事件,分析背后的原因,给出解决这类安全问题的技术手段和方法。

数据泄露介绍以及历史回顾

类似于 Equifax 这样的大规模数据泄露事件在互联网时代时不时地会发生。上一次如此大规模的数据泄露事件主角应该是雅虎。
继 2013 年大规模数据泄露之后,雅虎在 2014 年又遭遇攻击,泄露出 5 亿用户的密码,直到 2016 年有人在黑市公开交易这些数据时才为大众所知。雅虎股价在事件爆出的第二天就下跌了 2.4%。而此次 Equifax 的股价下跌超过 30%,市值缩水约 53 亿。这让各大企业不得不警惕。
类似的,LinkedIn 在 2012 年也泄露了 6500 万用户名和密码。事件发生后,LinkedIn 为了亡羊补牢,及时阻止被黑账户的登录,强制被黑用户修改密码,并改进了登录措施,从单步认证增强为带短信验证的两步认证。
国内也有类似的事件。2014 年携程网安全支付日志存在漏洞,导致大量用户信息如姓名、身份证号、银行卡类别、银行卡号、银行卡 CVV 码等信息泄露。这意味着,一旦这些信息被黑客窃取,在网络上盗刷银行卡消费将易如反掌。
如果说网络运维安全是一道防线,那么社会工程学攻击则可能攻破另一道防线——人。2011 年,RSA 公司声称他们被一种复杂的网络攻击所侵害,起因是有两个小组的员工收到一些钓鱼邮件。邮件的附件是带有恶意代码的 Excel 文件。
当一个 RSA 员工打开该 Excel 文件时,恶意代码攻破了 Adobe Flash 中的一个漏洞。该漏洞让黑客能用 Poison Ivy 远程管理工具来取得对机器的管理权,并访问 RSA 内网中的服务器。这次攻击主要威胁的是 SecurID 系统,最终导致了其母公司 EMC 花费 6630 万美元来调查、加固系统,并最终召回和重新分发了 30000 家企业客户的 SecurID 卡片。

数据泄露攻击

以这些公司为例,我们来看看这些攻击是怎样实现的。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

Equifax信息泄露事件引发了对互联网时代大规模数据泄露事件的回顾和分析。文章探讨了数据泄露的攻击手段,如程序漏洞利用、暴力破解密码、代码注入和社会工程学攻击。同时,还提出了数据管理上的问题,如单一安全防护、弱密码管理和安全日志暴露。针对这些问题,文章提出了解决安全问题的技术手段和方法,如加强程序安全性、采用双因子验证和定期更换密码。此外,还介绍了一些技术上的安全做法,如将关键数据隔离到安全级别高的区域、采用非对称加密算法和限制外部系统的数据访问量。文章强调了安全防范的重要性,指出虽然无法做到绝对安全,但可以通过不断提高黑客入侵门槛和风控来降低风险。文章内容丰富,涵盖了技术安全领域的多个方面,为读者提供了全面的数据安全问题认识和解决方法。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《左耳听风》
新⼈⾸单¥98
立即购买
登录 后留言

全部留言(79)

  • 最新
  • 精选
  • 夏洛克的救赎
    当黑客的投入和收益大大不相符时,黑客也就失去了入侵的意义。 这句话一语道破真谛,一切行为都可以看做商业行为,用商业思维和方式解决。
    2018-06-08
    4
    89
  • 陈斌
    皓哥,有个文章中的细节问题想问您。您提到的密钥自动更换机制,“在外部系统调用 100 次或是第一个小时后就自动更换加密的密钥”,在更换后怎么处理旧密钥加密的数据呢?全部解密然后用新密钥重新加密吗?对于后期越来越大量的数据,会不会负荷过重?如果不是我理解的方法,又是怎么处理的呢?期待您的解答,谢谢~
    2019-03-06
    14
    42
  • Viktor
    其实在安全这一块,非常多的大公司都做得不好。有个特别简单的列子,app端输出的api接口尽然暴漏用户的手机号信息和其他信息,我光是通过接口就获取到用户所有信息了,并且接口没有做当前用户认证,修改一个参数就可以访问其他用户信息。以前学习python的时候抓取过很多有名公司的信息,所以我在做自己公司项目的时候在这些方面都做了严格校验处理。
    2019-05-07
    1
    36
  • MC
    安全事故常用。我前同事与他人一起成立了针对计算机网络安全的保险公司。
    2017-10-17
    24
  • 头发茂密
    有段时间最喜欢看的一部电影就是《没有绝对安全的系统》是一个黑客组织的故事。我认为主线思路是从内部和外部出发的。 内部: 第一,提升内部人员安全意识,规范内部人员使用数据权限。 第二,提升内部数据安全技术实力。 第三,内部人员模仿外部黑客对自己的系统进行模拟攻击,提高系统的攻防弹性,但是,要注意不能对系统造成损伤和数据破坏。 外部: 第一,定期跟进使用框架和版本的更新说明,对于已经发现的漏洞,短时间内迅速处理。 第二,利用经济学思维和技术手段,提高黑客攻击成本,但是也要平衡好维护成本。 初次阅读,只是粗浅的想到这么多,大家还有其他想法,欢迎一起讨论,我认为耗子前辈把我们聚在一起也是一种缘分大家可以一起学习一起成长。
    2019-04-01
    1
    19
  • 二师哥
    信息安全也是商业问题, 如果攻击成本高于收获成本,那么攻击者的行为便毫无意义。 如果赔偿成本低于安全成本,那么又何必浪费更多的资源和成本。 没有完全安全的系统,却可以有不断追求成功的解决方案!
    2018-06-15
    13
  • 转型很痛
    我参与的项目都是,赔偿小与安全,对安全问题在实际开发中往往都不重视,公司测试都是人工一个一个功能进行点击,完全没有接触过自动化测试。
    2018-07-09
    11
  • 清水
    我想知道目前亚马逊,阿里做到了吗?这里不是抬杠只是咨询。新业务普遍是增长优先。这些安全要求会影响业务进度。而且项目都是有排期的。作为一线的领导怎么协调,怎么协调才好?求教。
    2019-05-24
    1
    8
  • 哈软糖
    不同网站使用不同密码实在难以维护,想知道1password这类的密码管理软件安全不安全
    2018-07-09
    7
  • missa
    提高安全意识,做好系统的审计,关注相关开源系统的漏洞情况,及时更新升级。把控好风险,做到风控成本小于赔偿的成本。
    2018-03-13
    7
收起评论
显示
设置
留言
79
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部