|
|
51CTO旗下网站
|
|
开户注册送38体验金端

一则新用户注册送47元彩金泄露案例教你做好安全基线的重要性

做好常易被人忽视的日常安全运营之安全基线工作即能轻松预防和避免部分新用户注册送47元彩金泄露事件的发生。

作者:heymind来源:Freebuf|2019-04-01 07:51

据澎湃新闻2月15日消息,2月13日,GDI基金会荷兰安全研究员Victor Gevers在推特上爆料,中国某公司发生大规模新用户注册送47元彩金泄露事件。Gevers表示,该公司所掌握的数百万人的跟踪新用户注册送47元彩金可供任何人访问,其中包含超过256万人的个人信息,例如身份证号码、身份证发行日期、性别、国家、住址、生日、照片、雇主和过去24小时内的位置,大约有668万条记录。Gevers称,该公司的新用户注册送47元彩金库从2018年7月开始就处于任何人都可以访问的状态。

新用户注册送47元彩金泄露

经仔细阅读分析该案例后,发现常易被人忽视的日常安全运营之安全基线工作即能轻松预防和避免该类事件的发生,详细分析如下:

一、案例成因分析

1. 背景信息

新用户注册送47元彩金泄露

2. 新用户注册送47元彩金泄露原因技术分析

从Gevers在推特上发的截图和描述可以初步分析如下,该公司使用MongoDB新用户注册送47元彩金库存放人脸识别等个人敏感新用户注册送47元彩金,该新用户注册送47元彩金库实例服务使用MongnDB安装缺省端口27017,该服务端口可由互联网直接访问,该新用户注册送47元彩金库未启用身份认证机制,即允许任何人访问。

事件产生原因:该公司对存放人脸识别敏感新用户注册送47元彩金的MongoDB新用户注册送47元彩金库使用了出场安装缺省配置,未进行日常安全运营中的安全基线工作,存在严重安全漏洞导致了此事件的发生。

二、安全运营之安全基线工作的预防能力介绍

在日常安全运营中的安全基线工作中,企业的安全团队会针对公司使用的各种系统、软件和新用户注册送47元彩金库开发和发布相应的安全基线标准,在系统上线前进行部署和合规性检查,经检查只有在与公司的安全基线标准符合的前提下才允许上线,这样就可以避免由于各种系统、软件和新用户注册送47元彩金库由于使用厂家出厂不安全缺省配置导致的安全漏洞问题,有效地降低和控制安全风险。

下面针对该案例摘录部分MangoDB安全基线内容如下:

1. 端到端安全架构设计

MongoDB端到端安全架构设计如下图所示,从人员、过程和产品(技术)三个维度进行纵深安全体系防护,分别通过访问控制、加密和审计来实施。

网络安全架构部署参照下图,通过两层防火墙将WEB/应用服务器和MongoDB新用户注册送47元彩金库服务器分别隔离在不同的两个DMZ类进行网络区域隔离和分层网络访问控制,新用户注册送47元彩金库服务器通过防火墙访问规则控制只能由DMZ1区域内的应用服务器访问,避免了将其直接暴露给互联网的安全风险问题。

2. 启用MongoDB新用户注册送47元彩金库身份认证功能

身份认证功能状态检查:

  1. cat /etc/mongod.conf | grep “Auth=” 

如果身份认证功能已启用,则Auth的设置值为“True”。

激活身份认证功能步骤:

(1)启动未激活身份认证功能的MongoDB新用户注册送47元彩金库实例;

  1. mongod --port 27017--dbpath /data/db1 

(2)创建新用户注册送47元彩金库系统管理员用户,并确保设置的口令符合组织口令策略的要求;

  1. use admin db.createUser(  
  2.        {  
  3.          user: "siteUserAdmin", pwd:"password",  
  4.          roles: [ { role: "userAdminAnyDatabase",db: "admin" } ]  
  5.                  }  
  6.                 )  

(3)重启已激活身份认证功能的MongoDB新用户注册送47元彩金库实例。

  1. mongod --auth--config /etc/mongod.conf 

3. 确保MongoDB新用户注册送47元彩金库实例只在授权的接口上侦听网络连接

当前新用户注册送47元彩金库实例网络侦听状态检查:

检查MongoDB配置文件;

  1. cat /etc/mongod.conf |grep –A12“net”| grep “bindIp“ 

检查相关网络访问控制设置;

  1. iptables –L 

配置新用户注册送47元彩金库实例侦听在指定网络接口并用防火墙规则进行严格访问控制,应只允许DMZ区域里的应用服务器连接,下面以主机防火墙iptables示例配置如下。

  1. iptables -A INPUT -s <ip-address> -p tcp--destination-port 27017 -m state --state NEW,ESTABLISHED -j ACCEPT 
  2.  
  3. iptables -A OUTPUT -d <ip-address> -p tcp--source-port 27017 -m state --state ESTABLISHED -j ACCEPT 

如上对比分析可以看出,如果企业在日常安全运营中,认真严格地按照MongoDB新用户注册送47元彩金库安全基线标准执行的话,就能够有效地预防和避免类似大新用户注册送47元彩金泄露案例的发生。

Reference:

https://github.com/cn-quantumsec/Diaoyu-Castle-Sec-Benchmark-Project

【编辑推荐】

  1. 发起一次网络电子游艺免费申请彩金要花多少钱?
  2. 为什么我3岁的儿子有不良信用记录?儿童新用户注册送47元彩金泄露问题暗潮汹涌
  3. 赛门铁克:网页表单内容劫持成网络罪犯牟取暴利的最新途径
  4. 网络电子游艺免费申请彩金暴涨,黑客们有了新目标
  5. 你是否能抵御这些常见类型的网络电子游艺免费申请彩金?
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

共章 |

人订阅学习

共章 |

人订阅学习

读 书 +更多

《广域网》

在开始学习WAN资料时,我经常面对资料深度不够或者为电气工程师编写的书。另外,在看了几本书,并且对Internet进行了研究以后,我觉得应当...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客

博聚网