數據泄露問題頻頻發生，如何找到突破口？

你在網站上留下的私人數據，很有可能被隨機訪問者看到或使用。但你卻無法責怪這些黑客或者盜用你數據的人。

某個傢伙可能會竊用你的個人信息，將之放到一個類似選民投票箱的盒子里，而這些數據可能會將你的習性暴露無遺，這個傢伙也有可能是電信運營商、郵件公司，或者政治研究公司。對於一個安全研究工作人員來說，數據泄露這種事情經常發生，畢竟發現泄露的數據正是他們的專長所在。

更有甚者，會將你的個人數據偷偷隱藏起來，在你毫不知情的情況下。

數據泄露問題頻頻發生

Chris Vickery是安防部門的網路安全研究主管，他想通過一些例子來解釋為什麼他一直在尋找泄露的資料庫。

「便利可能是數據泄露的根本原因，」Vickery在索諾馬縣的一家咖啡店接受採訪時說， 「大家都為圖一己之便而利用網路傳送信息，而這極力於黑客竊取數據。」

「然而，那些倒霉的職員並不認為是他們將公司的數據泄露出去的，否則的話，公司是不會同意他們遠程辦公的。」 Vickery補充道。

最能說明這一問題的例子是Vickery發現了共和黨全國委員會的承包商公開的大約2億選民的登記記錄。

當你在類似亞馬遜AWS的雲系統中，改變安全默認設置的同時，你也會收到大量的垃圾郵件。

比如說，2015年，Vickery從Mac軟體公司Kromtech中發現了1300萬個賬號，而這些賬號可能被黑客以同樣的密碼侵入。

Vickery上個月還發現了600萬個Verizon無線用戶記錄，其中包括一些帳號密碼。兩步驗證的方法已經不具備安全性了，黑客們已經可以用手機發送的一次性代碼來登錄了。

他在2016年還發現了8700萬的墨西哥投票記錄，這些記錄一旦被毒販利用，可能會帶來綁架、謀殺等社會問題。Vickery回憶道:「但你不能讓這些毒販壟斷者知道。」

32年的工作經驗讓他贏得了其他安全研究人員的認可。

如何找到突破口？

Vickery說，由於工作原因，要找到這些資料庫並不困難。只要通過一個名為「Shodan」的自動掃描工具，就可以快速檢測出哪裡有開放的資料庫。

他說:「尋回的數據量並不大，但其傳輸速度非常快。」 Vickery表明：「無論如何，他都不會參與黑客活動，也不會假冒合法用戶。即便我能獲取你的用戶名和密碼，我也不會盜用賬戶里的資料。」

如果搜索工具找到了敏感數據，它會自動下載一個樣本，已確認其是否是本該保密的數據。

Vickery說他一般不會刻意去尋找自己的信息，但當他發現自己的信息時，他也不會驚訝。比如，在2016年泄露的選民登記資料庫中，他就曾經找到自己的個人信息。

一旦發現開放的數據后，Vickery會設法通知受影響的公司，但這卻並不容易。Kromtech，一家安全應用程序的開發商，該公司的數據經常被泄露，當Vickery提出該問題時，卻沒有得到企業方的及時回應。直到Vickery在Reddit上發布了這個問題后，該公司才雇傭他來當安全顧問。

澳大利亞的研究人員Hunt在網路安全問題上也遇到了一些阻力。英國的一家公司為其主題公園策劃了家庭團購折扣活動，其會員的資料卻被暴露出去，當Hunt發現這一問題時，該公司卻阻止他在Twitter上公布該公司網路安全疏忽問題。

Vickery說:「以往我都是將問題反饋給諸如電話接待員這樣的基層員工，而這通常都得不到回應。現在我利用泄露的數據，找到CEO的聯繫方式，並在晚餐時打電話給他。」如此處理，一般響應都十分迅速。

新的法規能改善網路安全問題嗎？

當Vickery問及被調查公司是否有泄露數據這一問題時，通常他們都予以否認。Vickery建議，用戶千萬不要相信他們的保密協議，畢竟這些公司沒有任何的記錄來證實這一點。而他卻看到了諸多泄露的數據。

Vickery說，他偶爾也會被誤解有違法操作行為，儘管他並沒有利用黑客工具潛入網站盜用數據。

但是，86年的關於電腦欺詐的法規對網路非法入侵的定義卻很模糊，某些公司可能會利用法律的漏洞來起訴像Vickery這樣的研究人員。

新的物聯網網路安全改進法規將於2017年通過，這將使更多的安全研究員免受限制，同時也表明了政府對於網路安全的監管已越來越嚴。

新的監管法律能改變目前的現狀嗎?儘管消費者對於網路安全的認知更全面，但企業方卻仍在犯同樣的錯誤。

Vickery說:「我認為，在過去的幾年裡，儘管網路安全問題已越來越受重視，事情也正在朝著好的方向發展，但違規事件的數量卻並未減少。」

您可能感興趣的文章：