隱私頻頻被暴露的時代，這群數據獵人正在暗中保護你

【獵雲網（微信號：ilieyun）】5月15日報導（編譯：福爾摩望）

Justin Paine坐在加州奧克蘭的一家酒吧裡，在互聯網上搜索著你最敏感的數據。很快，他就找到了有希望的線索。

他在自己的筆電電腦上打開了Shodan，一個雲伺服器和其他互聯網連接設備的可搜索索引。然後，他鍵入關鍵詞“Kibana”，調出了1.5萬多個在線存儲的數據庫，開始挖掘結果。

“這個來自俄羅斯”Paine說。“這個居然權限大開。”

通過Shodan，Paine可以篩選每個數據庫並檢查其內容。一個數據庫似乎有關於酒店客房服務的信息。如果他繼續往下看，可能會找到信用卡或護照號碼。這樣的事情並不令人感到驚訝，過去，他曾發現數據庫中包含著來自戒毒中心的患者信息，以及圖書館借閱記錄和在線賭博交易。

Paine是非正式網絡研究大軍的一部分，這些人沉溺於一種非常模糊的激情：搜索互聯網上不安全的數據庫。未加密且清晰可見的數據庫可以包含各種敏感信息，包括姓名、地址、電話號碼、銀行詳細信息、社會保險號和醫療診斷。如果落入壞人之手，這些數據可能會被用於欺詐、身份盜竊或敲詐。

數據狩獵社區既兼收並蓄，又全球化。它的一些成員是專業的安全專家，另一些則是愛好者。有些是高級程序員，有些卻一行代碼也不會寫。他們分布在烏克蘭、以色列、澳大利亞、美國，和幾乎任何你能夠提到的國家。他們只有一個共同的目的：促使數據庫所有者鎖定你的信息。

搜尋不安全數據似乎成為了這個時代的標誌。任何組織，包括私人公司、非營利組織或政府機構，都可以輕鬆且廉價地在雲上存儲數據。但是許多幫助將數據庫放到雲中的軟體工具，在默認情況下都會暴露數據。即使這些工具從一開始就意圖讓其成為私有數據，但也不是每個組織都有相應的專業知識，知道應該保留哪些保護措施。通常，數據只是以純文本形式存在，等待讀取。這意味著像Paine這樣的人總能找到一些東西。今年4月，以色列的研究人員發現了8000多萬美國家庭的人口統計細節，包括地址、年齡和收入水準。

網絡安全專家Troy Hunt表示，沒有人知道問題的規模有多大。Hunt在自己的部落格上記錄了數據庫泄漏的問題。他說，不安全的數據庫比研究人員公布的要多得多，但你只能對所能看到的進行統計。此外，不斷地有新數據庫被添加到雲中。

Hunt說：“這只是冰山一角。”

要搜索數據庫，你必須對無聊和失望擁有著很高的容忍度。Paine說，要發現酒店客房服務數據庫是否實際上是暴露敏感數據的緩存需要幾個小時的時間。鑽研數據庫可能會讓人麻木，而且往往會充滿錯誤的線索。它雖然不像大海撈針，但卻像在堆滿乾草堆的田野裡搜尋一根針一樣。此外，我們也不能保證狩獵者能夠提示暴露數據庫的所有者修複這個問題。有時，所有者會威脅采取法律行動。

數據庫大獎

然而，回報可能是激動人心的。來自烏克蘭的Bob Diachenko曾在一家名為Kromtech的公司從事公關工作，該公司從一名安全研究員那裡得知存在數據洩露。這段經歷引起了Diachenko的興趣，他在沒有任何經驗的情況下就加入了數據庫狩獵大軍。7月，他在一個不安全的數據庫中找到了數千名美國選民的記錄，只需使用關鍵詞“選民”就可以查看到。

“如果我，一個沒有技術背景的人，能找到這些數據，”Diachenko說。“那麽世界上任何人都能找到這些數據。”

今年1月，Diachenko在一個公開的數據庫中發現了2400萬份與美國抵押貸款和銀行業務相關的金融文件。這一發現以及其他發現所產生的宣傳，幫助Diachenko推廣了SecurityDiscovery.com——他離職後創辦的一家網絡安全谘詢公司。

公開問題

UpGuard網絡風險研究主管Chris Vickery表示，各種龐大的發現提高了人們的認知，並有助於吸引那些急於確保自己的名字與草率行為無關的公司的業務。他說，即使這些公司不選擇UpGuard，這些發現的公關性質也有助於他的領域發展。

這一搜索幫助他的團隊找到了迄今為止最大的發現之一，即存儲在雲中的5.4億條Facebook記錄，包括用戶名、Facebook账號和大約2.2萬個未加密的密碼。這些數據是由第三方公司所存儲的，而不是Facebook本身。

確保安全

Facebook表示，它迅速采取行動移除相關數據。但並不是所有公司都能夠作出反應。

當數據庫狩獵者無法讓公司做出反應時，他們有時會求助於使用筆名Dissent的安全作者。她過去曾自己尋找過不安全的數據庫，但現在則主要提醒公司對其他研究人員發現的數據暴露做出反應。

“最佳回答是，‘謝謝你讓我們知道。我們正在保護它，正在通知患者或顧客以及相關監管機構，”Dissent說，她要求媒體使用自己的筆名，以保護她的隱私。

並非每家公司都明白數據泄漏意味著什麽，Dissent也在她的網站Databreaches.net上記錄了這一點。2017年，Diachenko尋求她的幫助，向紐約一家醫院報告了一家金融軟體供應商的健康記錄泄漏問題。

醫院稱這是一次黑客攻擊，儘管Diachenko只是在網上找到了數據，並沒有破解任何密碼或加密來查看。Dissent寫了一篇部落格解釋說，一家醫院承包商沒有保護數據。這家醫院聘請了一家外部信息技術公司對此進行了調查。

工具是好是壞

數據庫獵人使用的搜索工具非常強大。

Paine坐在酒吧裡向我展示了他的一種技術，這種技術讓他可以在亞馬遜網絡服務數據庫中找到暴露的數據。他說，這些數據是“用各種不同的工具一起進行黑客攻擊的”。這種權宜之計是必要的，因為存儲在亞馬遜雲服務上的數據沒有在Shodan上建立索引。

首先，他打開了一個名為Bucket Stream的工具，該工具搜索網站訪問加密技術所需的安全證書的公共日誌。這些日誌讓Paine找到亞馬遜存儲的數據容器的名稱，並檢查它們是否公開可見。

然後他使用一個獨立的工具來創建一個包含他發現的可搜索數據庫。

對於一個在互聯網中搜索個人數據緩存的人來說，Paine在檢查結果時不會表現出高興或沮喪。這就是互聯網的現實。它充滿了數據庫，這些數據庫應該被鎖定在密碼後面並加密，但現實卻並非如此。

他說，理想情況下，公司會聘請專家來完成他的工作。他說，公司應該“確保你的數據沒有被洩露。”

如果這種事情發生得更頻繁，Paine將不得不尋找一種新的愛好。但這對他來說可能很難。

“這有點像毒品，容易上癮，”他說。