開(kāi)發(fā)人員錯誤配置數據庫，致1億用戶(hù)數據泄露

近日，Check Point研究人員發(fā)現：過(guò)去幾個(gè)月，共有23個(gè)APP的手機應用開(kāi)發(fā)者在配置和融入第三方云服務(wù)時(shí)，沒(méi)有遵循最佳實(shí)踐導致開(kāi)發(fā)者內部資源數據和用戶(hù)個(gè)人數據處于危險中。大多數APP下載量超過(guò)1000萬(wàn)，累計有超過(guò)1億用戶(hù)數據泄露，包括、密碼、隱私會(huì )話(huà)、設備位置、用戶(hù)id等敏感信息。

實(shí)時(shí)數據庫可以讓?xiě)瞄_(kāi)發(fā)者在云端保存數據，確保與每個(gè)連接的客戶(hù)端實(shí)時(shí)同步。該服務(wù)可以解決應用開(kāi)發(fā)過(guò)程中的許多問(wèn)題，確保數據庫支持所有的客戶(hù)端平臺。但研究人員發(fā)現許多應用開(kāi)發(fā)者并沒(méi)有配置實(shí)時(shí)數據庫的基本功能——認證。

研究人員發(fā)現，從這些開(kāi)放的數據庫中可以恢復出郵件地址、密碼、隱私會(huì )話(huà)、設備位置、用戶(hù)id等敏感信息。如果惡意攻擊者獲得了這些數據的訪(fǎng)問(wèn)權限，就可能引發(fā)欺詐、身份竊取等惡意行為。

云服務(wù)是開(kāi)發(fā)者或安裝的應用用來(lái)分享文件的一種很好的解決方案。比如，兩個(gè)APP可以通過(guò)云服務(wù)共享截圖信息。但如果開(kāi)發(fā)者將密鑰和訪(fǎng)問(wèn)密鑰嵌入到服務(wù)中，那么通過(guò)云服務(wù)共享數據也可能會(huì )引發(fā)風(fēng)險。研究人員分析發(fā)現，通過(guò)應用的文件，可以恢復出授予云服務(wù)文件訪(fǎng)問(wèn)權限的密鑰。

許多開(kāi)發(fā)者也知道在應用中存儲云服務(wù)秘鑰是不安全的。研究人員分析多個(gè)APP發(fā)現，許多開(kāi)發(fā)者嘗試通過(guò)一些方法來(lái)進(jìn)行補救，但是并沒(méi)有修復密鑰存儲的問(wèn)題。比如，Jadx應用用base64編碼來(lái)隱藏密鑰，但是base64解碼非常容易，此外甚至不需要解碼，只需要復制base64編碼的秘鑰就可以訪(fǎng)問(wèn)對應的內容。

云數據庫通過(guò)IP白名單授權機制，嚴格管控訪(fǎng)問(wèn)源。支持通過(guò)VPC來(lái)獲取更高程度的網(wǎng)絡(luò )訪(fǎng)問(wèn)控制，為企業(yè)的業(yè)務(wù)數據提升安全性，豐富的運維功能，大幅降低運維成本 通過(guò)數據庫運行狀態(tài)一目了然，按需定制監控策略，讓企業(yè)更專(zhuān)注業(yè)務(wù)發(fā)展。支持主備切換，故障秒級恢復。緊隨業(yè)務(wù)發(fā)展，盡情享受云計算所帶來(lái)的靈活體驗：http://wap.friendlycc.com.cn/