Uber大规模数据库泄露,密钥存储竟成主因
来源:互联网 发布:cdr ai是什么软件 编辑:程序博客网 时间:2024/06/05 12:06
近日,据国外媒体报道,去年Uber曾遭受黑客攻击并导致数据大规模泄露。黑客通过第三方云服务对Uber实施了攻击,获取了5700万名用户数据,包括司机的姓名和驾照号码,用户的姓名、邮箱和手机号。
经过调查发现,数据泄露原因竟然是Uber解锁数据库的安全密钥被存储在GitHub的一个可以公开访问的页面。外媒称这是“In major goof”(超级傻瓜)的失误。
似乎将密匙,敏感信息上传到GitHub公开页面并非只有Uber才这样做。在GitHub上使用关键字:“extension:key BEGIN RSA PRIVATE KEY”搜索,发现有很多人将私有密匙上传到了GitHub公开页面上,搜索结果高达5W多条。
什么是GitHub
gitHub是一个面向开源及私有软件项目的托管平台,因为只支持git 作为唯一的版本库格式进行托管,故名gitHub。除了git代码仓库托管及基本的 Web管理界面以外,还提供了订阅、讨论组、文本渲染、在线文件编辑器、协作图谱(报表)、代码片段分享(Gist)等功能。目前,其注册用户已经超过350万,托管版本数量也是非常之多,其中不乏知名开源项目 Ruby on Rails、jQuery、python 等。
如何保管私钥文件
其实很多的信息泄露事件可以避免,人们往往忽略了密钥存储的安全性。密钥对加密信息解密,保护信息安全的重要因素之一。如果私钥泄露,服务器的加密安全协议都会受到威胁,如SSL证书、代码签名证书等常见的数字证书。黑客和网络罪犯可以从字面上肆意破坏服务器的私钥。
因此对于私钥必须要小心储存。
国内信息安全服务商数安时代(GDCA)建议服务器用户不要私钥存储在未经授权的人可以访问的网络上。将私钥存储在物理硬件令牌(如U盾)中远比网络上安全。这个令牌可以在任何时候被物理上占用。无疑增加了一个有益的额外的安全层,在实际中必须在物理上获得密钥才能使用密钥。
如扩展型验证的代码签名证书实际上带有存储在物理硬件令牌上(如U盾)的私钥。但是,服务器用户可以将私钥存储到物理硬件令牌上。
最后,数安时代(GDCA)提醒广大用户,千万管好个人的敏感信息,不要随便把未经审查的东西上传到公开页面,包括GitHub。
文章转载来源于https://www.trustauth.cn/news/security-news/23231.html
- Uber大规模数据库泄露,密钥存储竟成主因
- Uber无模式数据存储
- Uber数据泄露事件本可以使用区块链…
- Uber公布数据泄露事件最新进展:澳洲120万人恐遭波及
- des密钥的存储
- 淘宝大规模数据库
- iPhone自动关机?劣质第三方电源适配器或成主因
- 微软封杀泄露密钥 YouTube视频遭误删
- 大规模虚拟存储---SAN初识
- 诚信竟成了奢侈品
- 队列应用之密钥存储
- 大规模数据库架构与技术
- 揭秘美国中央情报局大规模数据泄露 | 本周专栏精选
- 腾讯安全反病毒实验室:CIA大规模数据泄露揭秘
- Uber的底层存储从Postgres换成MySQL之后
- 解决云数据中心大规模存储的难题
- ceph存储 BloomFilter大规模数据处理利器
- 百度技术沙龙-大规模分布式存储
- Connection reset
- 云星数据---Scala实战系列(精品版)】:Scala入门教程009-Scala实战源码-Hello Word
- HttpsConnection获取你的公众号access_token
- Laravel 5 多个视图共享数据的方法
- 胚胎发育
- Uber大规模数据库泄露,密钥存储竟成主因
- Tensorflow 常用方法总结(持续更新)
- SQL笔记-Hive
- UE4蓝图节点翻译---Add Comment...
- Android Dagger2 浅析
- Linux 学习点滴总结(补充)
- [Codeforces 894D. Ralph And His Tour in Binary Country]预处理+二分
- File
- 15算法课程 205. Isomorphic Strings