从Equifax信息泄露看数据安全

最新推荐文章于 2024-04-28 23:00:00 发布
最新推荐文章于 2024-04-28 23:00:00 发布
阅读量763 收藏 2
点赞数
分类专栏: # 张先生的成长之路 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z_z_z_666666/article/details/109566670
版权

从Equifax信息泄露看数据安全

01 | 数据泄露攻击

1、攻击手段

1)利用程序框架或库的已知漏洞。例如Equifax被攻击的Apache Struts漏洞。
2)暴力破解密码。利用密码字典库或是已经泄露的密码来“撞库”。
3)代码注入。通过程序员代码的安全性问题,如SQL注入、XSS攻击、CSRF攻击等取得用户的权限。
4)利用程序日志不小心泄露的信息。
5)社会工程学。

2、背后折射的数据管理问题

1)只有一层安全。
2)弱密码。密码要定期更换,最好的方式是通过数据证书、VPN、双因子验证的方式来登录。
3)向公网暴露了内部系统。
4)未对系统及时打安全补丁。需要监控业内的安全漏洞事件,及时作出响应。
5)安全日志被暴露。安全日志往往包含大量信息,被暴露是非常危险的。
6)保存了不必要保存的用户数据。
7)密码没有被合理地散列。不用明文方式保存密码,如果只保存密码的散列值,要加一个安全随机数作为盐。

02 | 专家建议

1、了解产品中相关的安全问题

1)了解软件产品中使用了哪些支持性框架和库,它们的版本号是多少。时刻跟踪影响这些产品和版本的最新安全性声明。

2、建立一个流程,来快速部署带有安全补丁的软件产品发布版本。

1)最好在几个小时

最低0.47元/天 解锁文章
爱读书的张先生
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Equifax信息泄露始末笔记
isunlight001的专栏
03-14 2019
读后笔记 1.使用开源的框架必须实时关注其动态,特别是安全漏洞方面 2.任何公开的入口,都必须进行严格的安全检查 3.框架的选型十分重要,必须将安全考察进去,选择使用比较成熟的框架。 作为架构师及产品负责人应该及时关注框架安全方面的相关漏洞,对未来可能产生的影响做到未雨绸缪。 Equifax 信息泄露始末 Equifax 日前确认,黑客利用了其系统中未修复的 Apache Str...
左耳听风-Equifax信息泄露始末
z_z_z_666666的博客
10-31 772
左耳听风-Equifax信息泄露始末 01 | 导读 1)作者以美国征信公司Equifax数据泄露的始末和影响,点出了信息安全的重要性。 2)Equifax公司的主营业务是为多个国家的客户提供公民信息,掌握了多个国家公民的信用档案。 3)Equifax公司缺乏对信息安全的重视,未及时修复漏洞,导致大规模数据泄露事件。 02 | Equifax信息泄露相关 1、Equifax的系统被黑客利用Struts2中的漏洞进行攻击,盗取了大量的用户征信信息,影响巨大。 2、发生数据泄露事件后,Equifax的市值
02.11 Day 58 - Equifax 信息泄露(始末/看数据安全
纽雪澳诺加海美德的博客
02-11 1968
大家好,我是 Snow Hide,作为《左耳听风》这个专栏的学员之一,这是我打卡的第 58 天,也是我第 80 次进行这种操作。 今天我温习了该专栏里叫《Equifax 信息泄露始末》、《从 Equifax 信息泄露数据安全》的文章。 关键词总结:Equifax 信息泄露始末(Apache Struts 漏洞导致的问题、安全意识薄弱)、Apache Struts 漏洞相关(漏洞百出)、数据泄漏介...
美征信巨头Equifax因Struts漏洞导致数据大规模泄露
cpongo5
09-17 200
各新闻机构和在线新闻网站都报道了黑客从征信企业Equifax窃取了1.43亿美国人的详细个人信息,这一事件表明Apache Struts框架存在安全缺陷。Struts是一种开源的MVC框架,用于创建基于Java的Web应用。作为这一框架管理者,Apache软件基金会发布声明对此指责做出了回应。\\据媒体最初报道表明,漏洞可能是由Struts的一个未公开漏洞所导致。但是,Equifax已经确认在攻击...
美最大征信机构Equifax数据泄露 1.43亿美国公民个人信息被“曝光”
weixin_33854644的博客
09-01 804
7月29日发现的美国最大征信机构Equifax数据泄露事件波及约1.43亿美国用户。1.43亿美国人民数据包括驾照号、社保号、出生日期和地址。征信机构存储有大量的公民个人敏感信息(具体原因见后),所以在今年4月,个人信息保护与征信管理国际研讨会在京举行,最高法、央行再次强调个人征信重在个人信息保护,而数据防泄漏解决方案措施,可以看看绿盟科技金融...
信息安全_数据安全_Equifax canada multiclient colla.pdf
08-22
【标题】:Equifax Canada 多客户协作网络安全审计 【描述】:Equifax Canada 的多客户协作网络安全审计...它不仅减轻了公司内部的压力,还提高了客户对其服务安全性的信心,进一步巩固了在数据安全领域的领先地位。
信息安全_数据安全_Securing your Application Identi.pdf
08-22
【标题】"信息安全_数据安全_Securing your Application Identity"正是针对这一领域的关注点,旨在探讨如何确保应用程序的身份安全,防止敏感信息泄露。 【描述】中提到了安全分析、安全对抗、法律法规以及移动...
信息安全_数据安全_Leading Change Building a Securi.pdf
08-22
标题中的“信息安全_数据安全_Leading Change Building a Security Culture of Protect, Detect & Respond”强调了在信息安全领域,尤其是在数据安全方面,领导变革以构建保护、检测和响应的安全文化的重要性。...
那些著名的黑客事件 四
i1531571的博客
03-21 635
征信机构Equifax数据泄露 EquiFax是美国最大的个人信用评级机构之一,最早创立于1899年,到目前为止拥有8亿消费者和全球8800万企业的信 息。Equifax数据泄露事件发生在2017年5月份,黑客攻击了Equiftax两个多月后,该公司才发现数据泄露了。并旦该公司在事 情发生的第四个月才正式公布了这个网络漏洞。这个黑客攻击事件,让1.455亿,美国Eguifax消费者的个人数据泄露,其中包括 全名、身份证号、出生日期、抵制和驾驶证号码。除此之外,英国和美国加拿大的居民也受到了这次黑容攻
网络安全实例,你学习了吗?
2401_84466325的博客
04-28 1431
在网络安全领域,典型案例不仅揭示了攻击者的手法和动机,还展示了企业和组织如何应对这些威胁,以及从中学到的教训。以下是几个网络安全的典型案例,它们各自突出了不同的安全问题和应对策略。
Equifax案例分析与合规性场景实践
SafePloy_SH的博客
11-17 292
数据安全已经成为各个组织和企业必须重视的问题,KMS可以加强数据的安全性,满足行业合规性要求,降低法律风险,建立起可信任的数据安全保障体系,并有效地防范类似的数据泄露事件。KMS提供了密钥的访问控制、轮换和审计功能,可以帮助组织和企业确保密钥的安全性和合规性,实现对密钥的细粒度控制,限制特定用户或系统对特定密钥权限,以及密钥轮换策略等,从而提高数据安全性。首先,数据加密是保护敏感数据的首要手段。通过对数据进行加密处理,数据与密钥分开管理,即使数据遭到非法窃取,也无法获取明文信息,从而有效保护数据的机密性。
《网络安全0-100》安全事件案例
一只正的博客
06-16 1812
Equifax是美国一家信用评级机构,2017年9月,该公司披露发生了一起重大的数据泄露事件,涉及1.43亿美国人的个人信息,包括姓名、出生日期、社会安全号码等敏感信息。经过调查,该事件是由于该公司网站的软件漏洞导致黑客入侵所致。该事件引起了广泛的关注和批评,也对Equifax的信誉和业务产生了严重的影响。
盘点 2017 全球八大数据泄露案件,刷新你的认知
热门推荐
CSDN资讯
11-24 2万+
近日,有关公民个人隐私数据泄露的新闻此起彼伏,前有社交平台Facebook影响美国大选,后有趣店数据遭遇内鬼外泄,而Uber也曝光了早在一年前发生的数据泄露事件。
【技术思路】极客时间-左耳听风-开篇词1
weixin_30872157的博客
12-27 1180
开篇词 | 洞悉技术的本质,享受科技的乐趣 01 | 程序员如何用技术变现(上) 独立:没有必要通过打工听人安排而活着,而是反过来通过在公司工作提高自己的技能,让自己可以更为独立和自由地生活。 思考:留出更多的时间,去研究公司里外那些更为核心更有技术含量的技术。 02 | 程序员如何用技术变现(下) 学习力:能够掌握大多数人不能掌握的技能或技术,学习更多别人没有的经验和经历。 洞察...
国外14亿泄露数据下载及还原
weixin_34032779的博客
06-25 3746
国外14亿泄露数据下载及还原simeon     2018年6月10日freebuf发布了篇文章《14亿邮箱泄露密码明文信息查询网站惊现网络》(链接地址:http://www.freebuf.com/news/174410.html),声称其泄露的数据可以通过暗网网站(http://dumpedlqezarfife.onion.lu/)进行查询,后续通过网络获取其泄露文件的下载地址,历经千辛万苦,...
ant-design-vue-1.1.10-beta.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
基于flask实现的社交博客项目--《FlaskWeb开发》.zip
最新发布
08-26
基于flask实现的社交博客项目--《FlaskWeb开发》.zip
数据安全治理:从重大事件看保护策略
1. 数据安全的重要性:这些事件表明,无论企业大小,都需要对数据安全有深刻认识,因为数据丢失或泄露可能导致经济损失、声誉损害,甚至法律纠纷。 2. 运维人员误操作:Gitlab.com的案例强调了运维人员在处理关键...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值