時間:2017-10-31 來源:互聯網 瀏覽量:
數據庫安全的重要性現在提到了核心的重要地位,誰都承擔不起數據庫遭泄露的後果。但是最近,一些致命的國際大公司卻連連被曝數據庫泄露。這是在讓人費解。
最近,外媒曝光:一個羅馬尼亞的漏洞獵人在穀歌官方的bug追蹤係統中發現了三個缺陷,其中一個可能允許未經授權的入侵者讀取敏感的漏洞信息。
發現這些缺陷的研究人員Alex Birsan,是一家羅馬尼亞網絡安全公司的員工,一名Python開發者,他將最後這個缺陷描述為“穀歌漏洞的聖杯”(“Holy Grail of Google bugs”),因為利用該漏洞將允許攻擊者訪問那些穀歌產品中尚未修複的漏洞信息。攻擊者可以自行利用這些漏洞,或者在暗網市場中高價出售,數億的穀歌用戶將陷入風險之中。
漏洞信息的截圖如下所示:
Microsoft和Mozilla的前車之鑒
據昂楷數據庫安全中心的統計,Microsoft(2013年)和Mozilla(2015年)也遭遇過類似的漏洞數據庫泄漏的事件,但Google比他們幸運,因為是一個Bug獵人發現了這些缺陷,而不是未知的攻擊者。
Birsan還提到:“盡管攻擊者存在訪問敏感的bug報告的可能性,但對於攻擊者而言,識別這些漏洞是否可用是一件非常困難的事情。”Birsan看到Buganizer係統每小時會添加大約2000~3000個新的bug報告,而攻擊者需要對這些信息進行篩選。
此外,Birsan還說,他報告的漏洞很可能在一個小時內就被修複了,因此Google漏洞信息泄漏所能造成的威脅大為降低了。
昂楷數據庫安全中心稱:雖然漏洞很快被修複,但是作為核心安全資源的漏洞數據庫遭到泄露是不可原諒的,因為一旦這些泄露的數據落入目的不純的人手中,後果不堪設想。穀歌作為一個跨國互聯網頂級服務商,對數據庫的安全防護措施簡單得讓人失望。希望穀歌能從中吸取教訓,提高對數據庫安全的重視。