10年內去過泰國的游客信息或全部泄露

來源：GDCA數安時代 發布時間：2021-09-29瀏覽：2393次

泰國的風景名勝世界聞名，除其他國家外，每年還有大批國內游客前往。就2019年就有4000萬游客去了泰國旅游。
近日，網絡安全研究專家鮑勃·迪亞琴科(Bob Diachenko)發現他的個人數據在線存儲在未受保護的Elasticsearch數據庫中，該數據庫大小為200GB，包含超過1.06億泰國游客的個人詳細信息。這是在十年內去過泰國的任何外國人都可能在本次事件中暴露了他們的信息。甚至確認數據庫中還包含他自己的個人信息。
調查結果顯示，暴露的游客信息包括：姓名、性別、居留身份、護照號碼、簽證信息、抵達日期、泰國入境卡號碼。
我們要知道，雖然泰國方面采取了保護，但無法確定泄露的信息在被發現之前暴露的程度和時間，這些未加保護的敏感數據會被無限利用，或給近十年去過泰國的游客帶來長期且不可預計的威脅。
這就是數據泄露的后果。數據保護不能等到泄露后再采取補救，因為，數據一旦泄露就會失控，影響巨大且不可估量，任何明文數據都可被無限制利用，而具有保護措施的密文數據對黑客來說則無計可施，所以敏感數據一定要進行加密處理。
政企應在數據泄露事發前，就要提前做好預防措施。因為我們不能預測企業泄露的時間，以及通過何種方式泄露的，所以，防護措施應在發生事發之前，提前部署。
企業應該加強哪些防護措施呢？
1.數據加密：對交換數據進行加密，避免他人窺視。
當下企業核心資料越來越成為競爭主體的情況下，對企業核心數據進行加密顯得尤為重要。
2.數據完整：保證數據交換的完整性。
數據加密傳輸，第三方無法通過技術等工具篡改已受保護的信息數據，確保數據準確和完整，避免欺詐、釣魚等事件的發生。
3.權限管控：有效管控內部數據，不外泄。
內部泄密是企業數據泄露的根源之一，內部員工可能有意或無意的不當行為，是造成數據泄露的關鍵原因。研究發現，78%的數據泄露事件和內部員工（包括前雇員）有關。
數據保護，不僅是對自身核心價值的維護，更是對客戶和用戶的責任。
以電子郵件為例，企業郵件包含：客戶信息、財務數據、公民個人數據、商業核心機密、科研技術、甚至于國家機密，這些涉密數據很容易因系統漏洞或管理不當而發生泄露。
4. SSL為最基礎的網絡防護
在黑客的眼中，明文傳輸也就是HTTP是一大塊肥肉。它的基數很大，漏洞百出，在流量劫持者眼中，是最佳的下手目標。利用明文傳輸自身的缺陷，網絡黑客們不費吹灰之力，就可以對信息內容進行竊聽、篡改和劫持。
相比于通信方身份和數據完整性無法驗證的HTTP協議，HTTPS是一個基于HTTP的安全通信通道，它運用安全套接字層(SSL)進行信息交換，具有身份驗證、信息加密和完整性校驗的功能，可以保證傳輸數據的機密性和完整性，乃至服務器身份的真實性，進而有效避免HTTP被劫持的問題。
通過遵循最新的網絡實踐，不再成為網絡攻擊的受害者。雖然網絡攻擊有很多方面，但精心設計的策略在很大程度上有所幫助。數據安全對于留住客戶至關重要。因此，每個組織都必須了解保持安全的最佳做法。