数据库拖库指南

关于all in

几年前跟一个福建的传统领域富二代投资人聊过一个相似的话题，他当时觉得，钱都是他出的，对方只是投入人力和精力。他认为股份是他慷慨给对方的，对方应该感激他才对，我说你这么想就不对了，人家创业，押上的自己的人生，你呢，说句难听的，钱哪里没有？一个项目失败了，对你而言，不过是1/n的投资失败而已，对创业者来说，是几年精力，心血的百分之百。

互联网时代，人才的价值远超过资本和资源，这也是互联网时代人特别贵，创始人而不是资本家要当大股东的最重要原因。对方表示理解并认同了我的观点，后来过了几年，我发现他投的几个项目表现还不错。

关于“脱裤”

“脱裤”是一种俗称，其实是拖库，或者说，数据库被黑客整个拖下来。
拖库的可能性：

1、这种github密码泄露，惨剧挺多的了已经。

2、内鬼。

3、SQL注入，惨剧也极多，而且经久不衰。

4、服务器被其他原因入侵，连带数据库被拖

5、研发或运维的个人电脑被入侵，植入木马

6、备份服务器安全策略不当，或者第三方备份系统出问题，也包括数据分析服务器。很多时候这就是个意识问题，觉得反正不是线上业务，随便跑跑数据。

7、云穿透，云主机现在太流行了，虽然暂时案例可能没有，风险还是存在的，而且一出问题肯定不小。

8、授权滥用，比如第三方接口给的权限太高，或者没注意到授权验证逻辑上的风险。

9、报废服务器处置不当，硬盘被人数据修复什么的，别说异想天开，只要资料有价值，就有人会琢磨这些。有些公司业务关停，二手服务器批量出售，如果处理不当，这个风险还是有的。

10、基于社工，拿到数据库密码，比如微信上假冒技术总监找运维工程师要到密码。

11、嗅探侦听，通过sniffer拿到管理员密码入侵服务器。不过现在应该没有管理员用telnet了吧。

12、钓鱼，比如机房如果安全配置很扯淡，在同机房内搞个服务器，弄个arp欺骗，把管理员骗到蜜罐里，密码轻松到手。

案例：
很不幸的是，同样的问题，你看，华住会犯了同样的错误，因为数据库密码被传递到了github上，数据被拖库，现在已经在地下黑市流通。想想几亿条开房记录，我还是华住会金会籍呢。要不要瑟瑟发抖呢？