開(kāi)發(fā)人員錯(cuò)誤配置數(shù)據(jù)庫(kù)，致1億用戶(hù)數(shù)據(jù)泄露

近日，Check Point研究人員發(fā)現(xiàn)：過(guò)去幾個(gè)月，共有23個(gè)APP的手機(jī)應(yīng)用開(kāi)發(fā)者在配置和融入第三方云服務(wù)時(shí)，沒(méi)有遵循最佳實(shí)踐導(dǎo)致開(kāi)發(fā)者內(nèi)部資源數(shù)據(jù)和用戶(hù)個(gè)人數(shù)據(jù)處于危險(xiǎn)中。大多數(shù)APP下載量超過(guò)1000萬(wàn)，累計(jì)有超過(guò)1億用戶(hù)數(shù)據(jù)泄露，包括郵件地址、密碼、隱私會(huì)話、設(shè)備位置、用戶(hù)id等敏感信息。

實(shí)時(shí)數(shù)據(jù)庫(kù)可以讓?xiě)?yīng)用開(kāi)發(fā)者在云端保存數(shù)據(jù)，確保與每個(gè)連接的客戶(hù)端實(shí)時(shí)同步。該服務(wù)可以解決應(yīng)用開(kāi)發(fā)過(guò)程中的許多問(wèn)題，確保數(shù)據(jù)庫(kù)支持所有的客戶(hù)端平臺(tái)。但研究人員發(fā)現(xiàn)許多應(yīng)用開(kāi)發(fā)者并沒(méi)有配置實(shí)時(shí)數(shù)據(jù)庫(kù)的基本功能——認(rèn)證。

研究人員發(fā)現(xiàn)，從這些開(kāi)放的數(shù)據(jù)庫(kù)中可以恢復(fù)出郵件地址、密碼、隱私會(huì)話、設(shè)備位置、用戶(hù)id等敏感信息。如果惡意攻擊者獲得了這些數(shù)據(jù)的訪問(wèn)權(quán)限，就可能引發(fā)欺詐、身份竊取等惡意行為。

云服務(wù)是開(kāi)發(fā)者或安裝的應(yīng)用用來(lái)分享文件的一種很好的解決方案。比如，兩個(gè)APP可以通過(guò)云服務(wù)共享截圖信息。但如果開(kāi)發(fā)者將密鑰和訪問(wèn)密鑰嵌入到服務(wù)中，那么通過(guò)云服務(wù)共享數(shù)據(jù)也可能會(huì)引發(fā)風(fēng)險(xiǎn)。研究人員分析發(fā)現(xiàn)，通過(guò)應(yīng)用的文件，可以恢復(fù)出授予云服務(wù)文件訪問(wèn)權(quán)限的密鑰。

許多開(kāi)發(fā)者也知道在應(yīng)用中存儲(chǔ)云服務(wù)秘鑰是不安全的。研究人員分析多個(gè)APP發(fā)現(xiàn)，許多開(kāi)發(fā)者嘗試通過(guò)一些方法來(lái)進(jìn)行補(bǔ)救，但是并沒(méi)有修復(fù)密鑰存儲(chǔ)的問(wèn)題。比如，Jadx應(yīng)用用base64編碼來(lái)隱藏密鑰，但是base64解碼非常容易，此外甚至不需要解碼，只需要復(fù)制base64編碼的秘鑰就可以訪問(wèn)對(duì)應(yīng)的內(nèi)容。

新網(wǎng)云數(shù)據(jù)庫(kù)通過(guò)IP白名單授權(quán)機(jī)制，嚴(yán)格管控訪問(wèn)源。支持通過(guò)VPC來(lái)獲取更高程度的網(wǎng)絡(luò)訪問(wèn)控制，為企業(yè)的業(yè)務(wù)數(shù)據(jù)提升安全性，豐富的運(yùn)維功能，大幅降低運(yùn)維成本 通過(guò)數(shù)據(jù)庫(kù)運(yùn)行狀態(tài)一目了然，按需定制監(jiān)控策略，讓企業(yè)更專(zhuān)注業(yè)務(wù)發(fā)展。支持主備切換，故障秒級(jí)恢復(fù)。緊隨業(yè)務(wù)發(fā)展，盡情享受云計(jì)算所帶來(lái)的靈活體驗(yàn)：http://www.xinnet.com/cs/rds.html