时间:2017-10-31 来源:互联网 浏览量:
数据库安全的重要性现在提到了核心的重要地位,谁都承担不起数据库遭泄露的后果。但是最近,一些致命的国际大公司却连连被曝数据库泄露。这是在让人费解。
最近,外媒曝光:一个罗马尼亚的漏洞猎人在谷歌官方的bug追踪系统中发现了三个缺陷,其中一个可能允许未经授权的入侵者读取敏感的漏洞信息。
发现这些缺陷的研究人员Alex Birsan,是一家罗马尼亚网络安全公司的员工,一名Python开发者,他将最后这个缺陷描述为“谷歌漏洞的圣杯”(“Holy Grail of Google bugs”),因为利用该漏洞将允许攻击者访问那些谷歌产品中尚未修复的漏洞信息。攻击者可以自行利用这些漏洞,或者在暗网市场中高价出售,数亿的谷歌用户将陷入风险之中。
漏洞信息的截图如下所示:
Microsoft和Mozilla的前车之鉴
据昂楷数据库安全中心的统计,Microsoft(2013年)和Mozilla(2015年)也遭遇过类似的漏洞数据库泄漏的事件,但Google比他们幸运,因为是一个Bug猎人发现了这些缺陷,而不是未知的攻击者。
Birsan还提到:“尽管攻击者存在访问敏感的bug报告的可能性,但对于攻击者而言,识别这些漏洞是否可用是一件非常困难的事情。”Birsan看到Buganizer系统每小时会添加大约2000~3000个新的bug报告,而攻击者需要对这些信息进行筛选。
此外,Birsan还说,他报告的漏洞很可能在一个小时内就被修复了,因此Google漏洞信息泄漏所能造成的威胁大为降低了。
昂楷数据库安全中心称:虽然漏洞很快被修复,但是作为核心安全资源的漏洞数据库遭到泄露是不可原谅的,因为一旦这些泄露的数据落入目的不纯的人手中,后果不堪设想。谷歌作为一个跨国互联网顶级服务商,对数据库的安全防护措施简单得让人失望。希望谷歌能从中吸取教训,提高对数据库安全的重视。