6月21日，有微博網(wǎng)友曝料稱，大學(xué)生學(xué)習(xí)軟件超星學(xué)習(xí)通的數(shù)據(jù)庫信息疑似被公開售賣，其中疑似泄露的數(shù)據(jù)包含姓名、手機(jī)號、性別、學(xué)校、學(xué)號、郵箱等信息1億7273萬條。#學(xué)習(xí)通#話題一度登上微博熱搜第一。

 

有意思的是，在整整一年前（6月22日），知名職場社交軟件領(lǐng)英被曝出當(dāng)時最大規(guī)模數(shù)據(jù)泄露事件，超7億用戶數(shù)據(jù)被掛在暗網(wǎng)出售。

據(jù)悉，超星學(xué)習(xí)通是在大學(xué)中普及率非常高的一款A(yù)pp，其功能包括網(wǎng)絡(luò)課打卡、考試監(jiān)考等。有大量學(xué)生用戶在社交媒體聲稱，近日有外地的手機(jī)號給自己發(fā)信息、打電話，甚至有用戶反映，自己前幾天就接到了境外詐騙電話，對方能報(bào)出自己的身份證號、知道自己有支付寶學(xué)生認(rèn)證。

 “從過去多起數(shù)據(jù)泄露事件來看，通常造成企業(yè)數(shù)據(jù)泄露的原因既可能是外部的也可能是內(nèi)部的，當(dāng)然也可能是二者皆有?！逼姘残艛?shù)據(jù)安全專家、數(shù)據(jù)安全子公司副總經(jīng)理姚磊分析稱，攻擊者可能利用目標(biāo)系統(tǒng)漏洞或者竊取到的特權(quán)賬戶，獲取了相應(yīng)數(shù)據(jù)庫管理員的權(quán)限，從而完成拖庫行為。此類事件此前也時有發(fā)生，比如領(lǐng)英數(shù)據(jù)泄露事件被證實(shí)為黑客利用其API漏洞所致。因此，企業(yè)應(yīng)當(dāng)加強(qiáng)數(shù)據(jù)安全防護(hù)力度，避免大量使用弱口令，對于發(fā)現(xiàn)的安全隱患要及時處置。

內(nèi)部原因也要分為兩種情況。第一種有可能是運(yùn)維人員的不當(dāng)操作致使數(shù)據(jù)意外泄露；第二種則是有內(nèi)鬼作祟，如果其內(nèi)部權(quán)限管控缺失或者行為審計(jì)有紕漏，內(nèi)部員工（如數(shù)據(jù)庫管理員）可以利用自身系統(tǒng)權(quán)限，將數(shù)據(jù)庫中的數(shù)據(jù)批量下載下來，然后進(jìn)行倒賣。從這個角度來看，企業(yè)應(yīng)采用技術(shù)手段，加強(qiáng)自身內(nèi)部員工的權(quán)限管理和行為審計(jì)，對于某些超越權(quán)限或者高危操作應(yīng)嚴(yán)格控制。

奇安信集團(tuán)副總裁、創(chuàng)新BG負(fù)責(zé)人孔德亮表示，近年來媒體多次曝出的信息泄露事件再次表明，很多企業(yè)機(jī)構(gòu)的數(shù)據(jù)處在“裸奔”狀態(tài)，這是數(shù)據(jù)安全當(dāng)前的首要問題，防裸奔、補(bǔ)短板迫在眉睫，85%以上的客戶需要從這開始。

針對這種情況，奇安信發(fā)布了保障數(shù)據(jù)安全的“五件套”，即特權(quán)賬號管理、堡壘機(jī)、數(shù)據(jù)庫審計(jì)、API安全衛(wèi)士和數(shù)據(jù)安全態(tài)勢感知，能夠幫助政企機(jī)構(gòu)在數(shù)據(jù)安全建設(shè)過程中的“補(bǔ)短板、防裸奔”期間，針對特權(quán)賬號的全生命周期統(tǒng)一管理、訪問的安全管控與審計(jì)、數(shù)據(jù)訪問行為的審計(jì)、API接口的防護(hù)與態(tài)勢感知建立的多維度監(jiān)控，進(jìn)行全方位的數(shù)據(jù)安全保障，幫助企業(yè)兼顧業(yè)務(wù)發(fā)展和安全合規(guī)。

雷峰網(wǎng)(公眾號：雷峰網(wǎng))

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。