Over the last few years, sensitive data exposure has been one of the most common attacks around the world. Some examples of data leaks that ended up in exposing sensitive data are:
The Brazilian C&A retail fashion retail clothing chain gift card platform cyberattack that happened in August 2018.
The Uber breach in 2016 that exposed the personal information of 57 million Uber users, as well as 600,000 drivers.
The Target store data breach that occurred around Thanksgiving exposing credit/debit card information and contact information of up to 110 million people.
Not encrypting sensitive data is the main reason why these attacks are still so widespread. Even encrypted data can be broken due to weak:
Key generation process
Key management process
Algorithm usage
Protocol usage
Cipher usage
Password hashing storage techniques
This vulnerability is usually very hard to exploit; however, the consequences of a successful attack are dreadful. If you want to learn more, we have written a blog post on the Impacts of a Security Breach.
Nozik maʼlumotlarga taʼsir qilish Nozik ma'lumotlarga ta'sir qilish OWASP ro'yxatidagi eng keng tarqalgan zaifliklardan biridir. Bu himoyalangan bo'lishi kerak bo'lgan ma'lumotlardan iborat. Nozik ma'lumotlarga misollar Himoyalashni talab qiladigan ba'zi nozik ma'lumotlar: Hisob ma'lumotlari Kredit karta raqamlari Ijtimoiy sug'urta raqamlari Tibbiy ma'lumot Shaxsiy identifikatsiya qilinadigan ma'lumotlar (PII) Boshqa shaxsiy ma'lumotlar Har qanday tashkilot uchun foydalanuvchilarning ma'lumotlari va maxfiyligini himoya qilish muhimligini tushunish juda muhimdir. Barcha kompaniyalar mahalliy maxfiylik qonunlariga rioya qilishlari kerak. Mas'uliyatli nozik ma'lumotlarni to'plash va qayta ishlash, ayniqsa, umumiy ma'lumotlarni himoya qilish to'g'risidagi nizom (GDPR) paydo bo'lgandan keyin sezilarli bo'ldi. Bu 2018-yilning may oyida kuchga kirgan maʼlumotlarning maxfiyligi toʻgʻrisidagi yangi qonun. Unga koʻra, kompaniyalar rezidentlar va tashrif buyuruvchilar uchun Yevropa Ittifoqidan kelib chiqadigan shaxsiy maʼlumotlarni qanday toʻplash, oʻzgartirish, qayta ishlash, saqlash va oʻchirish majburiyatini yuklaydi. Ikki turdagi ma'lumotlar mavjud: Saqlangan ma'lumotlar - dam olish holatidagi ma'lumotlar O'tkazilgan ma'lumotlar - serverlar yoki veb-brauzerlar o'rtasida ichki uzatiladigan ma'lumotlar Tranzitda ma'lumotlarni himoya qilish Ikkala turdagi ma'lumotlar ham himoyalangan bo'lishi kerak. Tranzitdagi ma'lumotlar haqida o'ylayotganda, uni veb-saytda himoya qilishning bir usuli SSL sertifikatiga ega bo'lishdir. SSL bu Secure Sockets Layerning qisqartmasi. Bu veb-server va brauzer o'rtasida shifrlangan aloqani o'rnatish uchun standart xavfsizlik texnologiyasidir. SSL sertifikatlari xost (veb-server yoki xavfsizlik devori) va mijoz (veb-brauzer) o'rtasida o'tkazilayotgan ma'lumotlarning yaxlitligini himoya qilishga yordam beradi. Biz har bir veb-sayt egasiga SSL sertifikatini o'rnatish bo'yicha yordam berish uchun DIY qo'llanmasini yaratdik. Nozik ma'lumotlarga ta'sir qilish xavfi qanday? OWASP Top 10 ga ko'ra, nozik ma'lumotlar ochilganda nima sodir bo'lishi mumkinligiga bir nechta misollar: Stsenariy №1: Ilova ma'lumotlar bazasini avtomatik shifrlash yordamida ma'lumotlar bazasidagi kredit karta raqamlarini shifrlaydi. Biroq, bu ma'lumotlar olinayotganda avtomatik ravishda shifrlanadi, bu SQL in'ektsiya nuqsoni kredit karta raqamlarini aniq matnda olish imkonini beradi. Stsenariy №2: Sayt barcha sahifalar uchun TLS dan foydalanmaydi yoki qo'llamaydi yoki zaif shifrlashni qo'llab-quvvatlaydi. Buzg'unchi tarmoq trafigini kuzatib boradi (masalan, xavfsiz simsiz tarmoqda), ulanishlarni HTTPS dan HTTP ga pasaytiradi, so'rovlarni to'xtatadi va foydalanuvchining seans cookie faylini o'g'irlaydi. Keyin tajovuzkor ushbu cookie-faylni takrorlaydi va foydalanuvchining shaxsiy ma'lumotlariga kirish yoki o'zgartirish orqali foydalanuvchining (autentifikatsiya qilingan) sessiyasini o'g'irlaydi. Yuqoridagilarning o'rniga ular barcha tashilgan ma'lumotlarni o'zgartirishi mumkin, masalan. pul o'tkazmasini oluvchi. Stsenariy №3: Parollar ma'lumotlar bazasi har kimning parollarini saqlash uchun tuzsiz yoki oddiy xeshlardan foydalanadi. Fayl yuklashdagi nuqson tajovuzkorga parollar bazasini olish imkonini beradi. Barcha tuzsiz xeshlarni oldindan hisoblangan xeshlarning kamalak jadvali bilan ochish mumkin. Oddiy yoki tezkor xesh funksiyalari tomonidan yaratilgan xeshlar tuzlangan bo'lsa ham, GPUlar tomonidan yorilishi mumkin. Nega nozik ma'lumotlarga ta'sir qilish juda keng tarqalgan? So'nggi bir necha yil ichida maxfiy ma'lumotlarga ta'sir qilish butun dunyo bo'ylab eng keng tarqalgan hujumlardan biri bo'ldi. Nozik ma'lumotlarni oshkor qilish bilan yakunlangan ma'lumotlar sizib chiqishiga ba'zi misollar: Braziliyalik C&A chakana moda chakana kiyim zanjiri sovg'a kartasi platformasi 2018 yil avgust oyida sodir bo'lgan kiberhujum. 2016-yilda Uber’ning 57 million foydalanuvchisi, shuningdek, 600 ming haydovchining shaxsiy ma’lumotlarini fosh qilgan Uber buzilishi. Shukrona kuni atrofida sodir bo'lgan maqsadli do'kon ma'lumotlarining buzilishi kredit/debet karta ma'lumotlari va 110 milliongacha odamning aloqa ma'lumotlarini oshkor qildi. Nozik ma'lumotlarni shifrlamaslik bu hujumlar hali ham keng tarqalganligining asosiy sababidir. Hatto shifrlangan ma'lumotlar zaif tufayli buzilishi mumkin: Kalit yaratish jarayoni Asosiy boshqaruv jarayoni Algoritmdan foydalanish Protokoldan foydalanish Shifrdan foydalanish Parolni xeshlashni saqlash texnikasi Ushbu zaiflikdan foydalanish odatda juda qiyin; ammo, muvaffaqiyatli hujumning oqibatlari dahshatli. Agar siz ko'proq ma'lumot olishni istasangiz, biz Xavfsizlik buzilishining ta'siri haqida blog postini yozdik.