امنیت بازان یا امنیت کاران عزیز، نوبت آشنا شدن با آسیب پذیری Sensitive Data Exposure است. در بخش قبل، در مورد داده های حساس گفتیم و با ذکر چند مثال، اهمیت آن ها و از دست دادنشان را برایتان شرح دادیم. حالا ببینیم این آسیب پذیری خطرناک که OWASP TOP 10 آن را در ردیف سوم قرار داده است، چیست.
آسیب پذیری افشای داده های حساس
همان طور که در بخش قبل گفتیم، داده های حساس به هر چیزی گفته می شود که نباید در دسترس افراد غیر مجاز قرار گیرد. آسیب پذیری Sensitive Data Exposure، در فارسی، به صورت های مختلفی ترجمه می شود. برخی از آن با عنوان افشای داده های حساس یا آسیب پذیری افشای داده های حساس یاد می کنند.
آسیب پذیری Sensitive Data Exposure، زمانی رخ می دهد که یک سازمان به طور ناآگاهانه یا در اثر رخ دادن یک حادثه ی امنیتی، داده های حساسی که در اختیار دارد را افشا کند. برای مثال یک اتفاقی بیافتد که منجر به تخریب تصادفی، از دست دادن، تغییر یا افشای غیرمجاز یا حتی دادن دسترسی به داده های حساس شود. اگر داده ها به این صورت فاش شوند تنها یک دلیل می تواند داشته باشد و آن هم محافظت نکردن درست و کافی از آن ها است. ممکن است پایگاه داده درست پیکربندی نشده باشد حتی احتمال دارد ذخیره سازی و استفاده ی نامناسب از سیستم های ذخیره سازی، باعث این اتفاق شود.
آسیب پذیری افشای داده ها به نحوه ی مدیریت اطلاعات بستگی دارد. اگر داده های حساس را در اسناد متنی ساده ذخیره کنیم، برنامه ی خود را در برابر این حمله، آسیب پذیر می کنیم.
به طور مشابه، اگر از SSL استفاده نکنیم و پروتکل ایمن HTTPS را در صفحه های وب، که اطلاعات را ذخیره می کنند نداشته باشیم، خطر افشای داده ها وجود دارد.
یکی دیگر از مواردی که باید مراقب آن باشید، ذخیره ی داده ها در یک پایگاه داده است که ممکن است با آسیب پذیری SQL Injection، به خطر بیافتد.
همچنین اگر از الگوریتم های رمزنگاری ضعیف و کلید های نامناسب استفاده می کنیم یا رمزهای عبور هش (hash) شده را پیاده سازی نمی کنیم، برنامه ی ما در برابر این نوع حمله، آسیبپذیر می شود.
تفاوت بین افشای داده و رخنه در داده چیست؟
از دست دادن داده، اغلب به عنوان رخنه در داده یا افشای داده ها نامیده می شود. با این حال، رخنه و افشا، مفاهیم متمایزی هستند. در ادامه به توضیح هر کدام از این موارد خواهیم پرداخت.
رخنه در داده ها (Data Breach)
وقتی که یک فرد (افراد) مجاز، به داده های یک شرکت یا فرد دیگری دسترسی پیدا می کند، به عنوان رخنه در داده شناخته می شود. اغلب، این اطلاعات خصوصی در معرض خطر، سرقت یا فروخته شدن قرار دارند. این کار به خاطر نقص سیستم امنیتی یا سهل انگاری انسان اتفاق می افتد. شایع ترین دلایل رخنه در امنیت داده ها، یک اشتباه انسانی است.
رخنه در داده ها از طریق روش های مختلف امکان پذیر است و به مهاجمان یا فرد مخرب، امکان دسترسی به داده های ایمن را می دهد. این نوع از حمله ها، ممکن است شامل آلودگی های بدافزار، رخنه در امنیت داخلی، حمله های brute-force، فیشینگ (fishing) و سو استفاده از رمز عبور باشد.
افشای داده ها (Data Exposure)
افشای داده زمانی است که اطلاعات حساس به دلیل افشای داده ها به طور ناخواسته، از بین می روند. دقت کنید این مفهوم با زمانی که، رخنه در داده ای که فرد یا گروه غیرمجاز، اطلاعات خصوصی را در طول حمله به دست می آورند، متفاوت است.
افشای داده های حساس ناشی از اقدام امنیتی نامناسب یا عدم وجود آن در یک شرکت یا سازمان است. زمانی اتفاق می افتد که داده های آنلاین به اندازه ی کافی محافظت و رمزگذاری نشده باشند و به دست آوردن آن ها آسان تر شود. داده هایی که به طور ناخواسته در پایگاه داده یا سیستم های آنلاین اشتباه، آپلود شده اند، نمونه های معمولی از افشای داده ها هستند.
افشای داده همچنین می تواند به داده هایی اشاره داشته باشد که به دلیل رمزگذاری ضعیف، نبود رمزگذاری یا خطاهای برنامه نویسی، راحت تر به دست می آیند.
جمع بندی
در دنیای سیاست های کاری ترکیبی و زیر ساخت های فناوری اطلاعات ترکیبی، حفاظت از داده ها اهمیت بیشتری پیدا می کند. افشای داده های حساس یکی از آسیب پذیری های بسیار مهم است و ناتوانی در محافظت از داده های حساس، به احتمال زیاد باعث افشای آن ها و خطر های جدی تری خواهد شد. به ویژه با ظهور مهاجمان جدید و به روز که به دنبال استخراج داده های کسب و کارها و نگه داشتن آنها برای باج گیری یا فروش مجدد اطلاعات حساس هستند.
حالا که با آسیب پذیری Sensitive Data Exposure آشنا شدید، پیشنهاد می کنم ادامه ی بحث در مورد این آسیب پذیری را نیز مطالعه کنید.