数据泄露是如何发生的?

为了证明网络犯罪分子入侵数据库的速度有多快，Travelers的网络欺诈调查团队开发了一个基于公共开源平台的模拟商业网站，该网站有一个共同的弱点，这将使其成为网络犯罪分子的主要目标。在最近的一次活动中，该团队演示了如何在几分钟内侵入该网站、下载敏感数据和破坏网站主页。

示范,旅客的网络欺诈专业Kurt Oestreicher能够将命令输入用户名和密码字段,这让他获得行政访问网站,下载信用卡应用程序文件并替换首页形象要求100万美元。

随着黑客工具包的出现，包括用于防御网络的渗透测试工具包，黑客能够迅速识别出他们可以利用的弱点。了解这些漏洞以及如何防范它们，可以帮助企业保护自己的数据不受那些寻找有价值的个人数据的窃贼的侵害。

“电脑攻击并不是魔法，”旅行者网络欺诈专家、负责网络调查的前联邦调查局特工克里斯·豪泽解释说。“它们是利用某些漏洞进行的一系列离散攻击。”

SQL注入攻击

“震撼家具”模拟网站是用免费的开源软件程序Drupal构建的，它有一个商店信用卡的在线应用程序。在这里，消费者将输入敏感信息，包括他们的社会保险号、出生日期和收入，这些信息将存储在数据库中，很容易受到SQL注入攻击。

SQL注入攻击利用了软件中的漏洞，用户在其中输入数据。Drupal的漏洞允许黑客在用户名和密码字段中输入代码。从那里，黑客可以分配一个管理用户名和密码，并在服务器上执行命令，包括下载敏感数据。

“如果我们把震惊家具作为一个典型的商业实体的例子，我们的数据显示，他们可能没有一个应对攻击的计划，”旅行者网络主管蒂姆·弗朗西斯说，他表示，中小企业往往是准备最少的。“他们一开始就缺乏一些资源和专业知识来充分防止这些攻击的发生，当这些攻击真的发生时，他们往往是最不可能做出反应的。”

一个可以避免的问题

“SQL注入是一种非常常见的攻击模式，”Hauser说，他解释说，这种攻击允许黑客在数据输入字段中输入恶意代码。“它被认为是唾手可得的果实，是最可预防的电脑黑客形式之一。”

开源软件已经发现了这个漏洞，并发布了一个“补丁”来修复它，但并不是所有的企业都实行及时的补丁管理。2015年Verizon数据泄露调查报告发现，10个常见漏洞和暴露(cve)占2014年漏洞利用的97%。该报告还发现，99%的被利用漏洞是在CVE被公开一年多后被攻破的。

提供数据泄露危机服务的NetDiligence公司的马克·格雷西格表示，供应商管理不善是未能捕捉到这一可预防的黑客攻击的部分原因。“通常情况下，客户将他们的计算业务外包给第三方承包商、供应商和云计算，而这些实体正在遭遇不幸，”格雷辛格说。“这些第三方实体负责照顾、保管和控制投保人的数据。未来几年，对供应商进行尽职调查将变得更加重要。”