研究员发现美国加州保险局网站漏洞,一个连接到interactive.web.insurance[.]gov的Oracle报表服务器在24小时内生成了24450多份报表,而该服务器能够被公开访问。数据库安全问题再次引发多方关注,请看下方详细报道。
最近,印度网络安全公司Banbreach就一个美国加州保险局(California Department of Insurance,CDI)网站漏洞与网络安全博客DataBreaches.net取得了联系。据Banbreach称,他们在早前已经通知了CDI,一个连接到interactive.web.insurance[.]gov的Oracle报表服务器在24小时内生成了24450多份报表,而该服务器能够被公开访问。
大多数报表似乎都是保险代理人的续签报告,其中包括代理人的姓名、续签ID和税务识别号(TIN)。由于有很多人也使用他们的社会安全号码(SSN,相当于我国的居民身份证号)作为他们的税务识别号,因此这些人的名字和SSN号码可能已经遭到泄露。通过这个网站漏洞暴露的其他报告被描述为:
保险索赔调查报告,包括姓名、车辆登记号码和住址等详细信息;
关于月度欺诈的统计报告;
被起诉人的详细个人信息,以及指控的细节(如罪名、罚款等)。
据称,Banbreach是在2018年11月9日向CDI通报了他们的发现,并在随后与州检察长办公室取得了联系。在一周之后,Banbreach收到对于漏洞的确认,并被要求保证不会滥用这些数据并立即销毁这些数据。
然而,DataBreaches.net表示,加州保险局目前仍没有公布这起事件,在任何政府网站上都找不到相关的通知或公告。
目前,CDI已经切断了存在安全问题的Oracle报表服务器与外部网站之间的连接。也就是说,数据能够被公开访问的问题已经得到了控制。
内容来源:secrss
https://www.secrss.com/articles/7806
当下,数据库已经成为网络犯罪的主要攻击目标,因为它们存储着大量有价值和敏感的信息。网络罪犯开始从入侵在线业务服务器和破坏数据库中大量获利,因此,选择一款安全可控的数据库产品十分重要。优炫数据库(简称UXDB)为优炫软件自主研发,是安全可控、支持云平台的Newsql数据库。具备在线弹性扩容、高可用性、高安全性、数据即服务等核心能力。目前已通过多项国家认证及行业测试,在国家统计局,国家知识产权局,国家行政学院等部委级别的成功案例,获得众多客户认可。
2019-01-29 02:52:30
