数据库拖库指南

关于all in

几年前跟一个福建的传统领域富二代投资人聊过一个相似的话题,他当时觉得,钱都是他出的,对方只是投入人力和精力。他认为股份是他慷慨给对方的,对方应该感激他才对,我说你这么想就不对了,人家创业,押上的自己的人生,你呢,说句难听的,钱哪里没有?一个项目失败了,对你而言,不过是1/n的投资失败而已,对创业者来说,是几年精力,心血的百分之百。

互联网时代,人才的价值远超过资本和资源,这也是互联网时代人特别贵,创始人而不是资本家要当大股东的最重要原因。对方表示理解并认同了我的观点,后来过了几年,我发现他投的几个项目表现还不错。

关于“脱裤”

“脱裤”是一种俗称,其实是拖库,或者说,数据库被黑客整个拖下来。
拖库的可能性:

1、这种github密码泄露,惨剧挺多的了已经。

2、内鬼。

3、SQL注入,惨剧也极多,而且经久不衰。

4、服务器被其他原因入侵,连带数据库被拖

5、研发或运维的个人电脑被入侵,植入木马

6、备份服务器安全策略不当,或者第三方备份系统出问题,也包括数据分析服务器。很多时候这就是个意识问题,觉得反正不是线上业务,随便跑跑数据。

7、云穿透,云主机现在太流行了,虽然暂时案例可能没有,风险还是存在的,而且一出问题肯定不小。

8、授权滥用,比如第三方接口给的权限太高,或者没注意到授权验证逻辑上的风险。

9、报废服务器处置不当,硬盘被人数据修复什么的,别说异想天开,只要资料有价值,就有人会琢磨这些。有些公司业务关停,二手服务器批量出售,如果处理不当,这个风险还是有的。

10、基于社工,拿到数据库密码,比如微信上假冒技术总监找运维工程师要到密码。

11、嗅探侦听,通过sniffer拿到管理员密码入侵服务器。不过现在应该没有管理员用telnet了吧。

12、钓鱼,比如机房如果安全配置很扯淡,在同机房内搞个服务器,弄个arp欺骗,把管理员骗到蜜罐里,密码轻松到手。

案例:
很不幸的是,同样的问题,你看,华住会犯了同样的错误,因为数据库密码被传递到了github上,数据被拖库,现在已经在地下黑市流通。想想几亿条开房记录,我还是华住会金会籍呢。要不要瑟瑟发抖呢?

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值