客戶信息是互聯(lián)網(wǎng)金融最重要的資產(chǎn)之一�����,然而這一重要資產(chǎn)正在不斷飽受著黑客“拖庫”(從數(shù)據(jù)庫導(dǎo)出數(shù)據(jù))的威脅。近日�,在安全寶和網(wǎng)貸天眼一起主辦的互聯(lián)網(wǎng)金融沙龍上,雙方就黑客拖庫問題進(jìn)行了交流與研討���,在沙龍上�,安全寶安全總監(jiān)尹毅講解了黑客拖庫的原理�����、途徑��,并建議互聯(lián)網(wǎng)金融用戶未雨綢繆���,并采用云安全解決方案來進(jìn)行防護(hù)���。
“拖庫”是黑客圈子的一種叫法,是指將網(wǎng)站的數(shù)據(jù)庫被黑客下載到本地���,其往往會導(dǎo)致網(wǎng)站大量數(shù)據(jù)泄露��,進(jìn)行引發(fā)用戶隱私被竊取�����、密碼被盜等嚴(yán)重后果����,F(xiàn)在����,“拖庫”問題已經(jīng)成為網(wǎng)站安全危機(jī)的一個重要導(dǎo)火索,2011年12月����,有黑客在網(wǎng)上公開提供CSDN網(wǎng)站用戶數(shù)據(jù)庫下載,包括600余萬個明文的注冊郵箱和密碼泄露��,引發(fā)了大量用戶的恐慌;而國壽80萬頁用戶數(shù)據(jù)的泄露也在金融服務(wù)業(yè)掀起了軒然大波���?梢姡芯“拖庫”的原理與途徑對于保護(hù)網(wǎng)站安全具備著極為重要的作用�����。
尹毅解釋說:“黑客之所以要進(jìn)行‘拖庫’����,固然有展示自身技術(shù)水平的原因��,但更重要的是利益的驅(qū)使�。很多黑客販賣‘拖庫’獲得的數(shù)據(jù)���,或在網(wǎng)站競爭對手的雇傭下對數(shù)據(jù)進(jìn)行惡意公開�����,以達(dá)到非法牟利的意圖���。特別是對于金融網(wǎng)站來說,其數(shù)據(jù)庫往往會包含銀行卡賬號�、用戶姓名、住址��、聯(lián)系方式等有著重大價值的信息��,用戶敏感性極高���,‘拖庫’顯然會造成嚴(yán)重的損失�。”
為了提高“拖庫”的成功率���,黑客會采取遠(yuǎn)程下載數(shù)據(jù)庫文件��、利用Web應(yīng)用漏洞拖庫�����、利用Web服務(wù)器(Apache,IIS,Tomcat等)漏洞拖庫���、利用網(wǎng)站掛馬拖庫、傳播惡意文件拖庫等多種方式��,這些方式精準(zhǔn)的針對了網(wǎng)站在安全防護(hù)方面存在的漏洞��,一旦黑客發(fā)現(xiàn)網(wǎng)站有可乘之機(jī)����,將會迅速的發(fā)動攻擊。
對于互聯(lián)網(wǎng)金融用戶這樣的數(shù)據(jù)價值密度高的用戶來說��,要防范“拖庫”就不能存在僥幸的心理����,而是需要做好充分的準(zhǔn)備,并及時修復(fù)網(wǎng)站的漏洞以及隱患���。對此����,安全寶建議用戶部署可以迅速修復(fù)網(wǎng)站漏洞、周全防范多種網(wǎng)絡(luò)安全風(fēng)險的安全寶云安全防護(hù)系統(tǒng)�。該系統(tǒng)在累積黑規(guī)則的同時通過創(chuàng)新的智能自學(xué)習(xí)功能為每個網(wǎng)站建立獨(dú)有的白規(guī)則庫,能夠快速的修補(bǔ)漏洞�����,積極精準(zhǔn)的防護(hù)每個Web應(yīng)用���,防止諸如XSS����、SQL注入等問題在內(nèi)的十多種黑客攻擊�����,保證網(wǎng)站用戶無憂應(yīng)對“拖庫”問題�。
