2011年上半年五大臭名昭著的数据库泄密事件(1)

2011年上半年五大臭名昭著的数据库泄密事件(1)

51CTO.com 5月31日外电头条】在如今重大数据泄密事件层出不穷的年代，2011年似乎完全延续了这个趋势：大大小小的企业在遭到数据库泄密事件的重创。据隐私权信息交流中心Privacy Rights Clearinghouse）声称，单单2011年上半年就发生了234起泄密事件，受影响的人成千上万。

下面看看今年到目前为止影响最大的几起数据库泄密事件，IT安全专业人员应该引以为戒：

1、受害者：HBGary Federal公司

失窃/受影响的资产：60000封机密电子邮件、公司主管的社交媒体帐户和客户信息。

安全公司HBGary Federal宣布打算披露关于离经叛道的Anonymous黑客组织的信息后不久，这家公司就遭到了Anonymous组织成员的攻击。Anonymous成员通过一个不堪一击的前端Web应用程序，攻入了HBGary的内容管理系统CMS）数据库，窃取了大量登录信息。之后，他们得以利用这些登录信息，闯入了这家公司的多位主管的电子邮件、Twitter和LinkedIn帐户。他们还完全通过HBGary Federal的安全漏洞，得以进入HBGary的电子邮件目录，随后公开抛售邮件信息。

汲取的经验教训：这次攻击事件再一次证明，SQL注入攻击仍是黑客潜入数据库系统的首要手段；Anonymous成员最初正是采用了这种方法，得以闯入HBGary Federal的系统。但要是存储在受影响的数据库里面的登录信息使用比MD5更强大的方法生成散列，这起攻击的后果恐怕也不至于这么严重。不过更令人窘迫的是这个事实：公司主管们使用的密码很简单，登录信息重复使用于许多帐户。