忧！千万暴富棋牌用户社保信息疑遭泄漏之后

一则经济参考报的报道引起信息安全领域的强烈震动。该报道称，目前重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞，数千万用户的社保信息可能因此被泄露。

　　人们不禁要问，这些信息都是怎样泄露出来的呢？

　　就此，记者采访了业内相关专家。江苏敏捷科技的数据安全专家张晓波表示，就在人们对大数据极力热捧之时，大数据的安全危机已经逐渐显露，大数据安全隐患的“冰山一角”已经呈现在我们面前了。

　　来自360公司的统计数据显示，2021年一年中360网站安全检测平台扫描的网站中有65%的网站存在漏洞。这还只是自动化扫描攻击工具发现，还不包含专业的apt攻击。

　　该公司的技术人员告诉记者，网站是没有绝对安全的。对于信息安全可以毫不夸张地说：“几乎所有的网站都是存在漏洞的，只有我们还没发现的漏洞。”而通过漏洞，就会导致网站的数据被黑，这在行业内叫“拖库”。

　　他说：“数据泄露的途径主要有三种：善意内部人员、目标性攻击和恶意内部人员、钓鱼盗号。更多情况下，数据泄露的是由上述几种原因共同引发的。例如，目标性攻击通常是由善意的内部人员未遵从安全策略无意中引发，导致数据泄露。或者恶意内部人员泄露出去。”

　　他进而分析，善意内部人员是指内部人员无意中没有按照安全策略或者工作中的疏忽而引发的数据被泄露。这些数据可能存在于员工的电脑中，也可能存在于服务器上。由于员工安全意识薄弱，信息暴露在外，被黑客发现并被利用。

　　比如，电子邮件、web邮件和可移动设备已经和人们如影随形。黑客会向被攻击公司的员工发送恶意的电子邮件或者钓鱼邮件，诱使员工点击邮件，植入木马后门或者钓取员工信息，从而进一步入侵公司内部的服务器来获取敏感数据。

　　还有，当业务流程不当或者过时，会导致数据自动传输到未授权的个人用户或未受保护的系统上。这种情况下，数据很容易遭受到黑客攻击或者恶意内部人员窃取。

　　更多情况下，由于利益的驱使，另一种黑客目标性攻击越来越趋向于窃取信息。所谓目标性攻击，就是攻击者通过寻找制定目标内的漏洞来入侵系统，获取数据信息。或者通过自动扫描互联网上存在漏洞的服务器来获取敏感数据。

　　目前流行的获取数据的攻击手段主要包含：SQL注入攻击、命令执行、暴力破解、撞库攻击、文件上传漏洞、弱口令、未授权访问配置不当。

　　近年来，恶意内部人员导致数据泄露的事件也在不断增加。

　　专家表示，企业窃取信息的内部人员所引发的数据泄露主要有三类：白领犯罪、已经离职的员工和商业间谍。

文章链接地址：/renjishejiao/20210404/21375.html