6月21日，有微博網(wǎng)友曝料稱，大學生學習軟件超星學習通的數(shù)據(jù)庫信息疑似被公開售賣，其中疑似泄露的數(shù)據(jù)包含姓名、手機號、性別、學校、學號、郵箱等信息1億7273萬條。#學習通#話題一度登上微博熱搜第一。

 

有意思的是，在整整一年前（6月22日），知名職場社交軟件領英被曝出當時最大規(guī)模數(shù)據(jù)泄露事件，超7億用戶數(shù)據(jù)被掛在暗網(wǎng)出售。

據(jù)悉，超星學習通是在大學中普及率非常高的一款App，其功能包括網(wǎng)絡課打卡、考試監(jiān)考等。有大量學生用戶在社交媒體聲稱，近日有外地的手機號給自己發(fā)信息、打電話，甚至有用戶反映，自己前幾天就接到了境外詐騙電話，對方能報出自己的身份證號、知道自己有支付寶學生認證。

 “從過去多起數(shù)據(jù)泄露事件來看，通常造成企業(yè)數(shù)據(jù)泄露的原因既可能是外部的也可能是內部的，當然也可能是二者皆有?！逼姘残艛?shù)據(jù)安全專家、數(shù)據(jù)安全子公司副總經(jīng)理姚磊分析稱，攻擊者可能利用目標系統(tǒng)漏洞或者竊取到的特權賬戶，獲取了相應數(shù)據(jù)庫管理員的權限，從而完成拖庫行為。此類事件此前也時有發(fā)生，比如領英數(shù)據(jù)泄露事件被證實為黑客利用其API漏洞所致。因此，企業(yè)應當加強數(shù)據(jù)安全防護力度，避免大量使用弱口令，對于發(fā)現(xiàn)的安全隱患要及時處置。

內部原因也要分為兩種情況。第一種有可能是運維人員的不當操作致使數(shù)據(jù)意外泄露；第二種則是有內鬼作祟，如果其內部權限管控缺失或者行為審計有紕漏，內部員工（如數(shù)據(jù)庫管理員）可以利用自身系統(tǒng)權限，將數(shù)據(jù)庫中的數(shù)據(jù)批量下載下來，然后進行倒賣。從這個角度來看，企業(yè)應采用技術手段，加強自身內部員工的權限管理和行為審計，對于某些超越權限或者高危操作應嚴格控制。

奇安信集團副總裁、創(chuàng)新BG負責人孔德亮表示，近年來媒體多次曝出的信息泄露事件再次表明，很多企業(yè)機構的數(shù)據(jù)處在“裸奔”狀態(tài)，這是數(shù)據(jù)安全當前的首要問題，防裸奔、補短板迫在眉睫，85%以上的客戶需要從這開始。

針對這種情況，奇安信發(fā)布了保障數(shù)據(jù)安全的“五件套”，即特權賬號管理、堡壘機、數(shù)據(jù)庫審計、API安全衛(wèi)士和數(shù)據(jù)安全態(tài)勢感知，能夠幫助政企機構在數(shù)據(jù)安全建設過程中的“補短板、防裸奔”期間，針對特權賬號的全生命周期統(tǒng)一管理、訪問的安全管控與審計、數(shù)據(jù)訪問行為的審計、API接口的防護與態(tài)勢感知建立的多維度監(jiān)控，進行全方位的數(shù)據(jù)安全保障，幫助企業(yè)兼顧業(yè)務發(fā)展和安全合規(guī)。

雷峰網(wǎng)(公眾號：雷峰網(wǎng))

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉載。詳情見轉載須知。