10年內(nèi)去過泰國的游客信息或全部泄露

來源：GDCA數(shù)安時代 發(fā)布時間：2021-09-29瀏覽：2525次

泰國的風(fēng)景名勝世界聞名，除其他國家外，每年還有大批國內(nèi)游客前往。就2019年就有4000萬游客去了泰國旅游。
近日，網(wǎng)絡(luò)安全研究專家鮑勃·迪亞琴科(Bob Diachenko)發(fā)現(xiàn)他的個人數(shù)據(jù)在線存儲在未受保護(hù)的Elasticsearch數(shù)據(jù)庫中，該數(shù)據(jù)庫大小為200GB，包含超過1.06億泰國游客的個人詳細(xì)信息。這是在十年內(nèi)去過泰國的任何外國人都可能在本次事件中暴露了他們的信息。甚至確認(rèn)數(shù)據(jù)庫中還包含他自己的個人信息。
調(diào)查結(jié)果顯示，暴露的游客信息包括：姓名、性別、居留身份、護(hù)照號碼、簽證信息、抵達(dá)日期、泰國入境卡號碼。
我們要知道，雖然泰國方面采取了保護(hù)，但無法確定泄露的信息在被發(fā)現(xiàn)之前暴露的程度和時間，這些未加保護(hù)的敏感數(shù)據(jù)會被無限利用，或給近十年去過泰國的游客帶來長期且不可預(yù)計的威脅。
這就是數(shù)據(jù)泄露的后果。數(shù)據(jù)保護(hù)不能等到泄露后再采取補(bǔ)救，因為，數(shù)據(jù)一旦泄露就會失控，影響巨大且不可估量，任何明文數(shù)據(jù)都可被無限制利用，而具有保護(hù)措施的密文數(shù)據(jù)對黑客來說則無計可施，所以敏感數(shù)據(jù)一定要進(jìn)行加密處理。
政企應(yīng)在數(shù)據(jù)泄露事發(fā)前，就要提前做好預(yù)防措施。因為我們不能預(yù)測企業(yè)泄露的時間，以及通過何種方式泄露的，所以，防護(hù)措施應(yīng)在發(fā)生事發(fā)之前，提前部署。
企業(yè)應(yīng)該加強(qiáng)哪些防護(hù)措施呢？
1.數(shù)據(jù)加密：對交換數(shù)據(jù)進(jìn)行加密，避免他人窺視。
當(dāng)下企業(yè)核心資料越來越成為競爭主體的情況下，對企業(yè)核心數(shù)據(jù)進(jìn)行加密顯得尤為重要。
2.數(shù)據(jù)完整：保證數(shù)據(jù)交換的完整性。
數(shù)據(jù)加密傳輸，第三方無法通過技術(shù)等工具篡改已受保護(hù)的信息數(shù)據(jù)，確保數(shù)據(jù)準(zhǔn)確和完整，避免欺詐、釣魚等事件的發(fā)生。
3.權(quán)限管控：有效管控內(nèi)部數(shù)據(jù)，不外泄。
內(nèi)部泄密是企業(yè)數(shù)據(jù)泄露的根源之一，內(nèi)部員工可能有意或無意的不當(dāng)行為，是造成數(shù)據(jù)泄露的關(guān)鍵原因。研究發(fā)現(xiàn)，78%的數(shù)據(jù)泄露事件和內(nèi)部員工（包括前雇員）有關(guān)。
數(shù)據(jù)保護(hù)，不僅是對自身核心價值的維護(hù)，更是對客戶和用戶的責(zé)任。
以電子郵件為例，企業(yè)郵件包含：客戶信息、財務(wù)數(shù)據(jù)、公民個人數(shù)據(jù)、商業(yè)核心機(jī)密、科研技術(shù)、甚至于國家機(jī)密，這些涉密數(shù)據(jù)很容易因系統(tǒng)漏洞或管理不當(dāng)而發(fā)生泄露。
4. SSL為最基礎(chǔ)的網(wǎng)絡(luò)防護(hù)
在黑客的眼中，明文傳輸也就是HTTP是一大塊肥肉。它的基數(shù)很大，漏洞百出，在流量劫持者眼中，是最佳的下手目標(biāo)。利用明文傳輸自身的缺陷，網(wǎng)絡(luò)黑客們不費吹灰之力，就可以對信息內(nèi)容進(jìn)行竊聽、篡改和劫持。
相比于通信方身份和數(shù)據(jù)完整性無法驗證的HTTP協(xié)議，HTTPS是一個基于HTTP的安全通信通道，它運用安全套接字層(SSL)進(jìn)行信息交換，具有身份驗證、信息加密和完整性校驗的功能，可以保證傳輸數(shù)據(jù)的機(jī)密性和完整性，乃至服務(wù)器身份的真實性，進(jìn)而有效避免HTTP被劫持的問題。
通過遵循最新的網(wǎng)絡(luò)實踐，不再成為網(wǎng)絡(luò)攻擊的受害者。雖然網(wǎng)絡(luò)攻擊有很多方面，但精心設(shè)計的策略在很大程度上有所幫助。數(shù)據(jù)安全對于留住客戶至關(guān)重要。因此，每個組織都必須了解保持安全的最佳做法。