公开问题
UpGuard网络风险研究主管Chris Vickery表示,各种庞大的发现提高了人们的认知,并有助于吸引那些急于确保自己的名字与草率行为无关的公司的业务。他说,即使这些公司不选择UpGuard,这些发现的公关性质也有助于他的领域发展。
今年早些时候,Vickery通过在“数据湖”上搜索,来寻找大的发现,数据湖是指以多种文件格式存储的大量数据汇编。
这一搜索帮助他的团队找到了迄今为止最大的发现之一,即存储在云中的5.4亿条Facebook记录,包括用户名、Facebook账号和大约2.2万个未加密的密码。这些数据是由第三方公司所存储的,而不是Facebook本身。
确保安全
Facebook表示,它迅速采取行动移除相关数据。但并不是所有公司都能够作出反应。
当数据库狩猎者无法让公司做出反应时,他们有时会求助于使用笔名Dissent的安全作者。她过去曾自己寻找过不安全的数据库,但现在则主要提醒公司对其他研究人员发现的数据暴露做出反应。
“最佳回答是,‘谢谢你让我们知道。我们正在保护它,正在通知患者或顾客以及相关监管机构,”Dissent说,她要求媒体使用自己的笔名,以保护她的隐私。
并非每家公司都明白数据泄漏意味着什么,Dissent也在她的网站Databreaches.net上记录了这一点。2017年,Diachenko寻求她的帮助,向纽约一家医院报告了一家金融软件供应商的健康记录泄漏问题。
医院称这是一次黑客攻击,尽管Diachenko只是在网上找到了数据,并没有破解任何密码或加密来查看。Dissent写了一篇博客解释说,一家医院承包商没有保护数据。这家医院聘请了一家外部信息技术公司对此进行了调查。
工具是好是坏
数据库猎人使用的搜索工具非常强大。
Paine坐在酒吧里向我展示了他的一种技术,这种技术让他可以在亚马逊网络服务数据库中找到暴露的数据。他说,这些数据是“用各种不同的工具一起进行黑客攻击的”。这种权宜之计是必要的,因为存储在亚马逊云服务上的数据没有在Shodan上建立索引。
首先,他打开了一个名为Bucket Stream的工具,该工具搜索网站访问加密技术所需的安全证书的公共日志。这些日志让Paine找到亚马逊存储的数据容器的名称,并检查它们是否公开可见。
然后他使用一个独立的工具来创建一个包含他发现的可搜索数据库。
对于一个在互联网中搜索个人数据缓存的人来说,Paine在检查结果时不会表现出高兴或沮丧。这就是互联网的现实。它充满了数据库,这些数据库应该被锁定在密码后面并加密,但现实却并非如此。
他说,理想情况下,公司会聘请专家来完成他的工作。他说,公司应该“确保你的数据没有被泄露。”
如果这种事情发生得更频繁,Paine将不得不寻找一种新的爱好。但这对他来说可能很难。
“这有点像毒品,容易上瘾,”他说。