零零信安丨解析数据库中的数据是如何被攻击者窃取的？

最近某车企被爆车主信息泄露，遇到相同问题的车企并非只有这一企业。去年6月，同为车企的某公司曾表示，有将近数万名客户或潜在买家的数据遭泄露，具体信息包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。另一汽车企业也曾发布声明称，其注意到2022年4月11日—29日期间，部分在线客户账户出现了可疑登录，导致在未经用户授权的情况下，客户的奖励积分被兑换成了礼品卡。此外，今年10月，某汽车公司也在一份声明中表示，使用其T-connect服务的约数万名客户的个人信息可能已被泄露，包括电子邮箱地址和客户编号等。

数据库中储存着大量的机密信息，对于用户和企业来说都至关重要。您是否泄露了敏感数据？是否存在潜在漏洞？您知道数据库怎样认证的吗？使用数据库交换数据的过程安全吗？假如黑客攻击了数据库，又将会发生什么呢？

数据库泄露问题的普遍性和严重性

因为外部入侵和部分人为因素造成的数据泄露仍然是用户和企业的心腹大患。数据泄露事件呈快速增长的态势，造成的危害也越来越严重。那么数据泄露问题现在有多普遍呢？

近年来，超过360亿条的信息记录被曝光，零零信安发现将近4500万可在互联网上公开访问的映像文件。2021年1月，黑客免费公开泄漏了超过7700万条的某用户记录数据库，黑客公布的这个14GB的泄漏数据库包含77,159,696条记录，其中包含用户的电子邮件地址、全名、哈希密码、标题、公司名称、IP地址以及其他与系统相关的信息。数十亿这样的文档由于服务器配置错误或者是不安全的数据库而被获取泄露。研究发现在云计算服务器运行的193万个的数据库并没有设置防火墙或采取其他安全保护措施，那么攻击者完全可以利用这些数据库的漏洞进行攻击，并获得对其数据的访问权限，从而窃取数据。

为什么数据库成为攻击目标？

零零信安通过研究分析将数据库作为攻击目标的主要原因总结如下：

①经济收益，主要是是通过勒索软件和身份信息盗窃。

②账户接管，特别是针对间谍活动来窃取机密或者知识产权。

③潜在意图，表现为恶意破坏、寻求快感、干扰治安、损毁名誉等。

财务收益：

如果将数据比作石油，那么数据库就是这种资源的宝贵存储地。

数据库作为企业或组织的核心知识库，通常被用来存储客户记录、联系人、支付价格和其他机密的业务往来数据，可能包括流程、设计、公式或其他有价值的知识产权、财务细节、政治或法律敏感信息、员工详细信息、人力资源记录或者是国家政府机密。

如果攻击者从你的数据库所泄露的信息中提取有效价值，他们可能会索要赎金，通常以比特币支付。一般过程可能为前期需要支付赎金来获取您所泄露的数据来保证业务的正常运作，后期如果没有支付赎金或没有满足攻击者的要求，勒索者可能会通过公开泄露数据来损毁企业的声誉。

此外，零零信安的分析师发现，近期未受保护的数据库数量急剧上升，增长近75%，而去年则为1%至3%。

账户接管：

即使是一些日常非敏感的信息，比如电子邮件地址和登录名，也可以被攻击者用凭证进行填充，来访问各种不同的账户，这就可能会导致帐户接管。

因此，这不仅仅是信息被访问了，重要的是访问者是谁？有何意图？如果是访问国家政府的机密数据，可能会被攻击者利用来破坏谈判或者用于间谍活动。例如在敌对行动时被账户接管，那么个人身份信息（PII）、工作人员、其他人的数据包括驾照号码、银行账户信息和出生日期，这些都可以用来打开新的信息，从而实施身份盗窃或收取欺诈性的财务费用。

潜在意图：

有些攻击看似毫无意义，例如Meow攻击，它只针对于那些没有启用安全访问控制的数据库。Meow清除文件并不会索取赎金或有其他威胁类的请求，并不提供任何形式的通知或是情况说明。

报告显示，这些Meow攻击看似只是造成数据泄露，但它们实际上会造成破坏，并打开数据库的过程中进一步攻击数据库。

据悉，某数据分析公司被黑客发现数据库没有认证或加密后遭到了黑客的攻击。导致了近30条关于结核病的数据泄露，其中包括120亿条与社交媒体相关的记录。服务器曝光的第二天，Meow攻击删除了一半的数据。据悉，剩下的数据后来被第三个黑客入侵并留下了一张赎金纸条，要求用0.04比特币（当时约为550美元）来取回这些数据。

那些被攻击的数据库有什么共同点？

攻击者想要入侵自然会选择那些安全系数低保密性较差的，零零信安经调查发现大多数被攻击的数据库都是完全开放的，这意味着它们不再需要在线验证或是密码登录。

表1 数据库使用排名

表2 数据库泄露记录

Elasticsearc和MongoDB出现在表1前10个数据库里。通过表2可以知道它们是两个最流行的分布式数据存储，但也最容易受到攻击。零零信安系统平台发现MongoDB数据库被攻击者最常访问和勒索，它们存储的数据也更容易被窃取泄露。

根据调查结果可以知道无论您使用什么数据库，都有可能会被窃取数据。数据泄露很可能在未经授权访问的那一瞬间就完成入侵。企业数据泄露成本将取决于部门和泄露数据的性质，但对于系统的损害、财务的损失、补救的成本、罚款、诉讼或声誉将非常昂贵。

以下仅列举零零信安12月上旬监测到的其中20条国外数据库泄露事件。

1. 国外某网站数据库泄露：用户名、UUID、IP、电子邮件、州、城市、邮政编码、国家、电话号码、姓名和姓氏、帐户类型。

2. 国外某人员数据库泄露：姓名、电话、城市。

3. 国外某求职者数据库泄露：姓名、邮箱、电话。

4. 国外某数据库泄露：用户通讯录、用户昵称、用户电子邮件、订单信息。

5. 国外某卫生与公共服务部数据库泄露：地址、ID、城市、分类名称、电话、国家/地区、邮编。

6.国外某数据库泄露：电话号码、id、邮编。

7. 国外某汽车车主数据库泄露：VIN、车牌号码、电话号码、姓名

8. 国外某公司员工手机数据库泄露：姓名、邮箱、手机号。

9. 国外某电信和无线公司用户数据库泄露:邮编、地址、电话号码、姓名。

10. 某网站数据库泄露: CSV文件和电子邮件。

11. 国外某客户加密数据库泄露:用户名、电话号码、密码、电子邮件。

12. 国外某一互联网平台数据库泄露:姓名、电子邮件、联系方式、地址、地区、地标、城市、网站、URL。

13. 国外某国际电联数据库泄露:姓名、id。

14. 国外某身份证数据库泄露:身份证号、地址、姓名。

15. 国外某网站用户数据库泄露:姓名、密码、电子邮件。

16. 国外某公司数据库泄露:公司名称、电子邮件、电话。

17. 国外某互联网商店消费者数据库泄露:性别、出生日期、税号、地址、城市、州、邮政编码、县、电话、电子邮件地址、设备ID、cookie ID、IP地址。

18. 国外某消费者数据库泄露:名字、电子邮件、家庭电话、城市、县、邮编、年龄等。

19. 国外某情报馈送门户数据库泄露:用户、电子邮件。

20. 国外某医疗行业数据库泄露:街道、城市、电话、邮政编码。

从国家公共组织、情报部门、网站再到企业数据库的泄露频繁发生，一旦数据库被外部人员、内部人员、社交工程、高级持续性威胁等威胁利用，数据库“拖库”、“洗库”带来的隐私泄露、商业诈骗、网络犯罪等就可对企业造成直接性经济损失和秩序失调，对于拥有丰富数据资源的企业来说，未雨绸缪势在必行。

被黑客攻破所用时间？

攻击者正在寻找更多的开放性数据库，无论他们的目标是数据盗窃还是勒索软件开放性数据库都将成为他们的首要选择。

如果数据库未经过任何加密保护那么黑客需要多长时间能找到并窃取它？以一个弹性搜索实例上的不安全数据库的形式蜜罐为例，结果显示将近在11天的时间里，这个数据库被攻击了175次，每天可达18次，甚至在该数据库被搜索引擎索引之前，就已经发生了36起攻击事件。其被搜索引擎索引后，一分钟内发生了两次攻击，这些恶意攻击包括索要赎金和窃取机密数据。这就表明，攻击者正在主动搜索开放性数据库，开放性数据库的被攻击概率将大幅增加。

数据库泄露的原因：

零零信安通过研究分析数据库泄露原因大致包括以下几点：

①人为因素、疏忽、配置错误、工作负载过高；

②开放的API滥用或误用；

③开源软件缺陷；

④媒体存储备份泄露；

⑤具有额外访问权限的第三方。

人为因素：

操作人的疏忽是高达30%的数据泄露事件的根本原因，具体表现为配置失误。公司对于包含关键数据的数据库管理不善，被遗忘的数据库中可能包含敏感信息，很可能这些敏感数据会受到威胁。

造成这些失误的一个原因是，专业人员的持续短缺或者是IT和安全人员的工作负载太高。他们的工作包括复杂又耗时的数据库补丁维护，这可能需要几个月的时间，在此期间它们仍然最容易受到攻击，处于风险窗口期。

开放的API：

开放可能对工作或商务有很大便利，但它不是总是安全的。对于数据的权限太过广泛，使得每个人都能获得相关数据，但最终用户和开发者到传统的银行和金融机构，并不是一个人人都免费的机构。它必须遵守有关隐私保护的法律和法规（如GDPR）以及合法的商业问题(知识产权保护，企业财务状况)。虽然为更多的实体提供了更多的数据，但那些被允许访问数据的人如果蓄意破坏或传播，将会损坏企业的利益。

开源软件缺陷：

开源软件是第三方影响的原因之一，几乎所有的商业数据库约99%都至少包含一个开源组件，其中近75%的代码库包含开源安全漏洞。这些未被发现的漏洞很可能会被黑客利用。一旦开源漏洞被公开，例如通过国家漏洞数据库（NVD），攻击者在修补之前必定会突然出击。在开放源代码中，比较常见的错误就是“窃听门”，这是为了促进开发而故意植入软件中的软件漏洞。而且，在OpenSSL加密软件库中也可能存在缺陷。虽然许可证允许使用、修改和共享源代码但大多数这些许可证都不符合开放源码的严格的OSI和SPDX定义。其中超过200多种类型的开源许可证，并不符合企业或组织的严格标准与要求。零零信安研究发现在1253个应用程序中，约67%的代码库受到许可证冲突的影响，33%的代码库包含未经许可的软件。

媒体存储备份泄露：

数据泄漏的另一个原因是备份存储介质具有不受限制的访问权限。一些用户可能被授予了过多的特权，这可能与内部人士滥用数据库特权的内部威胁相结合。外部攻击者使用的两种主要类型的数据库注入攻击，分别是针对传统数据库系统的SQL注入和针对“大数据”平台的注入。这两者都可以让攻击者对整个数据库不受限制地访问。

第三方泄漏：

即使你已经制定出最佳方案，你的供应链也可能是薄弱环节。根据IBM发布的数据泄露报告可知，约60%企业经历了一次由第三方造成的重大数据泄露事件，平均总成本高达386万英镑。

第三方数据泄露的额外成本数量每年超过426万美元。这似乎令人难以置信，但零零信安经分析发现，有53%的组织至少经历过一次由第三方造成的数据泄露，平均花费750万美元进行补救。此外零零信安还发现接近62%的关键事件、93%的服务器泄露事件以及39%的代码数据库泄露事件都是由于第三方泄露而造成的。

数据泄露违约成本上升

根据IBM发布的《2022年数据泄露成本报告》显示数据泄露事件给企业和组织造成的经济损失和影响力度达到前所未有的水平，单个数据泄露事件给全球的受访组织造成平均高达 435 万美元的损失，创下该年度报告发布17年以来的最高纪录，60% 的受访组织表示他们在遭遇数据泄露事件之后提高了自身产品或服务的价格。据调查2022年数据泄露的平均成本达到435万美元，比2021年的424万美元增加了2.6%，比2020年的386万美元增加了12.7%。

2022年，国际上印度尼西亚、加拿大、阿根廷等多个国家也相继出台相关政策与法规，一些国家的监管机关对于数据泄露的单位罚款和法律费用重新调整比例，美国加州的CCPA和其他监管机构也引入了高额罚款和处罚。

近两年，国内相继颁布了相关的数据保护法律，明确数据安全保护的义务：

2021年9月1日起实施的《中华人民共和国数据安全法》规定了对数据泄露进行：监测、预警、研判、应急、防止危害扩大等要求，最高处以1000万元罚款、吊销营业执照、追究法律责任。

2021年11月1日起实施的《中华人民共和国个人信息保护法》对履行部门具有保护职责，对信息泄露要有汇报、通知、应急、减轻危害等预案，最高处以5000万元或上一年5%营业额罚款、吊销营业执照、追究法律责任。

2022年12月印发的《关于构建数据基础制度更好发挥数据要素作用的意见》提出建立安全可控、弹性包容的数据要素治理制度。把安全贯穿数据治理全过程，构建政府、企业、社会多方协同的治理模式，创新政府治理方式，明确各方主体责任和义务，完善行业自律机制，规范市场发展秩序，形成有效市场和有为政府相结合的数据要素治理格局。

数据泄露的其他实质性影响包括让企业或组织的声誉受到不可挽回的损害或者造成股价下跌。2022年美国政府宣布调查FB数据泄露丑闻后，FB股价一度大跌了6%左右。澳大利亚的某医保基金公司自10月13日首次披露客户资料遭盗取以来，公司股价已经下跌了22%。此外，个人身份的盗窃和银行账户的流失其诉讼费用可能造成数百万损失，尤其是集体诉讼。如果敏感的政府数据落入攻击者手中，那么企业和组织将会陷入政治困难。很明显，如果企业一旦认识到由于不安全的数据库而造成的高昂费用和不断增加的泄露影响，这种风险就需要立即优先考虑，并及时进行处理。

关于我们

作为国内EASM赛道的领军企业，零零信安是国内首家专注于外部攻击面管理（EASM）的网络安全公司。零零信安基于大数据立体攻防、以攻促防、主动防御、力求取得立竿见影效果的理念，为客户提供基于攻击者视角的外部攻击面管理技术产品和服务。系统化能力覆盖企业信息系统（IP设备、子域名、敏感目录、组件、云端、影子资产、边缘资产）、移动应用、M&A和供应链、漏洞和口令、文档和代码泄露、邮箱和人员列表、企业VIP和管理员、全网情报等风险敞口。从外部攻击面管理的角度，来帮助企业站在攻击者视角下，提前获悉自身的薄弱环节，从而提前于攻击前对薄弱环节进行加固，从而避免安全事件的发生。

零零信安目前已将EASM实现了产品服务化落地，零零信安旗下国内首个在线EASM平台0.zone发布以来，注册用户已超过5万，随着企业越加重视网络安全与数据安全的建设工作，越来越多的企事业单位的安全运维人员正在使用零零信安外部攻击面管理技术建设自身的网络安全与数据安全。

00SEC-E&E可以专注于为甲乙方企业提供外部攻击面数据服务。目标是在安全管理、攻击检测、漏洞管理三个场景下，为SOAR、SOC、SIEM、MDR、安全运维（服务）；IDS、IPS、NDR、XDR、蜜罐、CTI、应急响应团队（服务）；漏洞管理系统、扫描器、 CAASM、BAS、风险评估（服务）、渗透测试团队（服务）；等产品和服务提供基础数据能力，让国内所有安全产品具备外部攻击面/暴露面检测能力。

零零信安还在前不久全新发布了两款EASM细分能力产品，其中00SEC-D&D数据泄露报警系统00SEC-D&D数据泄露报警系统将为监管侧、企业用户提供全网数据泄露可视性，该系统可对数千个泄露源进行7*24小时监控，通过对海量数据汇聚和数据智能分析，让客户第一时间获取是否存在数据泄露的情况发生，从而为后期的研判、应急提供支撑。

另外一款EASM细分能力产品00SEC-O&S数据泄露预警系统则可以从外部视角精准洞悉企业全面的数据泄露风险面，完整覆盖客户持续发展的数字足迹，从而为企业进行提前的技术干预提供线索支撑，避免进一步的数据泄露事件发生。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。

关键词：