新聞上常常出現某家公司的客戶資料外洩,或是資料遭到盜用。這也間接表示資料庫被駭其實是一項常見的資安問題。
企業資料庫通常都儲存了客戶的個資、信用卡資料等等。一旦外洩將會對公司及客戶造成很大的影響。例如,消費者的消費資料外洩,詐騙集團會藉此發送消費異常通知。像是網購簡訊詐騙等等。
而當消費者也會對企業產生不信任感,之後可能會減少消費。因此,資料外洩對於企業有很大的影響。
如何避免資料外洩?
一般網站分成系統及資料庫兩個部分,駭客攻擊系統會導致癱瘓,造成網站無法使用。而如果資料庫遭到攻擊,那麼存放在資料庫中的資料就會外洩讓企業受到嚴重的傷害。
所以,要避免資料外洩,有以下幾個方法
- 將系統與資料庫分開:避免外部使用者直接藉由瀏覽器接觸到資料庫
- 分割資料庫:將不同資料存放在個別資料庫中,避免駭客直接竊取所有資料
- SSL憑證:將網站安裝SSL憑證,確保不會有人從中攔截資訊
- 防毒軟體及防火牆:除了公司內部的資安防護,個人也應該安裝防毒軟體及防火牆,以避免惡意軟體藉由個人電腦工及企業。
- 強度高的密碼:設定強度高、複雜的密碼,可以避免駭客使用暴力破解
資料庫外洩原因
資料外洩有很多原因,有利用資安漏洞進入資料庫,也有利用重複嘗試帳號密碼暴力破解。了解資料庫被駭的原因可以提早避免遭到攻擊。
拖庫
拖庫就是資料庫洩漏。有可能是網站的系統或資料庫存取有漏洞,從而導致攻擊者藉由這個漏洞潛入資料庫。或是擁有存取權的人員的設備遭到攻擊者入侵,以至於攻擊者通過設備進入資料庫。
撞庫
撞庫就是有心人士利用重複嘗試不同組合的帳號密碼暴力破解。成功登入後進入資料庫竊取資料。要避免被暴力破解,最好的方法就是設立強度高的密碼。
資料流外洩
在資料傳輸的過程中可能會有人從中攔截,這樣的情況就會導致資料流外洩。要避免資料流外洩,可以在網站安裝SSL憑證,確保資料傳輸的過程中不會有第三人從中加入。
內部人員洩漏
這是指公司內部人員故意或是不小心將公司資料庫資料外洩出去。有可能是內部人員通過正常或不正當的方式竊取公司資料,將資料洩漏給外部人員。或是內部人員未妥善做好資安管理,讓有心人士趁虛而入。
結論:保護資料安全是企業的責任
資料庫中的資料包含了客戶的個資,企業應該做好完整的資料保護措施。包括定期更新軟體、強化身份驗證、監控異常活動、設定良好的權限管理和提供員工資安教育。
