公開問題

UpGuard網絡風險研究主管Chris Vickery表示，各種龐大的發(fā)現提高了人們的認知，并有助于吸引那些急于確保自己的名字與草率行為無關的公司的業(yè)務。他說，即使這些公司不選擇UpGuard，這些發(fā)現的公關性質也有助于他的領域發(fā)展。

今年早些時候，Vickery通過在“數據湖”上搜索，來尋找大的發(fā)現，數據湖是指以多種文件格式存儲的大量數據匯編。

這一搜索幫助他的團隊找到了迄今為止最大的發(fā)現之一，即存儲在云中的5．4億條Facebook記錄，包括用戶名、Facebook賬號和大約2．2萬個未加密的密碼。這些數據是由第三方公司所存儲的，而不是Facebook本身。

確保安全

Facebook表示，它迅速采取行動移除相關數據。但并不是所有公司都能夠作出反應。

當數據庫狩獵者無法讓公司做出反應時，他們有時會求助于使用筆名Dissent的安全作者。她過去曾自己尋找過不安全的數據庫，但現在則主要提醒公司對其他研究人員發(fā)現的數據暴露做出反應。

“最佳回答是，‘謝謝你讓我們知道。我們正在保護它，正在通知患者或顧客以及相關監(jiān)管機構，”Dissent說，她要求媒體使用自己的筆名，以保護她的隱私。

并非每家公司都明白數據泄漏意味著什么，Dissent也在她的網站Databreaches．net上記錄了這一點。2017年，Diachenko尋求她的幫助，向紐約一家醫(yī)院報告了一家金融軟件供應商的健康記錄泄漏問題。

醫(yī)院稱這是一次黑客攻擊，盡管Diachenko只是在網上找到了數據，并沒有破解任何密碼或加密來查看。Dissent寫了一篇博客解釋說，一家醫(yī)院承包商沒有保護數據。這家醫(yī)院聘請了一家外部信息技術公司對此進行了調查。

工具是好是壞

數據庫獵人使用的搜索工具非常強大。

Paine坐在酒吧里向我展示了他的一種技術，這種技術讓他可以在亞馬遜網絡服務數據庫中找到暴露的數據。他說，這些數據是“用各種不同的工具一起進行黑客攻擊的”。這種權宜之計是必要的，因為存儲在亞馬遜云服務上的數據沒有在Shodan上建立索引。

首先，他打開了一個名為Bucket Stream的工具，該工具搜索網站訪問加密技術所需的安全證書的公共日志。這些日志讓Paine找到亞馬遜存儲的數據容器的名稱，并檢查它們是否公開可見。

然后他使用一個獨立的工具來創(chuàng)建一個包含他發(fā)現的可搜索數據庫。

對于一個在互聯網中搜索個人數據緩存的人來說，Paine在檢查結果時不會表現出高興或沮喪。這就是互聯網的現實。它充滿了數據庫，這些數據庫應該被鎖定在密碼后面并加密，但現實卻并非如此。

他說，理想情況下，公司會聘請專家來完成他的工作。他說，公司應該“確保你的數據沒有被泄露。”

如果這種事情發(fā)生得更頻繁，Paine將不得不尋找一種新的愛好。但這對他來說可能很難。

“這有點像毒品，容易上癮，”他說。