零零信安丨解析数据库中的数据是如何被攻击者窃取的？(6)

2022年，国际上印度尼西亚、加拿大、阿根廷等多个国家也相继出台相关政策与法规，一些国家的监管机关对于数据泄露的单位罚款和法律费用重新调整比例，美国加州的CCPA和其他监管机构也引入了高额罚款和处罚。
近两年，国内相继颁布了相关的数据保护法律，明确数据安全保护的义务：
2021年9月1日起实施的《中华人民共和国数据安全法》规定了对数据泄露进行：监测、预警、研判、应急、防止危害扩大等要求，最高处以1000万元罚款、吊销营业执照、追究法律责任。
2021年11月1日起实施的《中华人民共和国个人信息保护法》对履行部门具有保护职责，对信息泄露要有汇报、通知、应急、减轻危害等预案，最高处以5000万元或上一年5％营业额罚款、吊销营业执照、追究法律责任。
2022年12月印发的《关于构建数据基础制度更好发挥数据要素作用的意见》提出建立安全可控、弹性包容的数据要素治理制度。把安全贯穿数据治理全过程，构建政府、企业、社会多方协同的治理模式，创新政府治理方式，明确各方主体责任和义务，完善行业自律机制，规范市场发展秩序，形成有效市场和有为政府相结合的数据要素治理格局。
数据泄露的其他实质性影响包括让企业或组织的声誉受到不可挽回的损害或者造成股价下跌。2022年美国政府宣布调查FB数据泄露丑闻后，FB股价一度大跌了6％左右。澳大利亚的某医保基金公司自10月13日首次披露客户资料遭盗取以来，公司股价已经下跌了22％。此外，个人身份的盗窃和银行账户的流失其诉讼费用可能造成数百万损失，尤其是集体诉讼。如果敏感的政府数据落入攻击者手中，那么企业和组织将会陷入政治困难。很明显，如果企业一旦认识到由于不安全的数据库而造成的高昂费用和不断增加的泄露影响，这种风险就需要立即优先考虑，并及时进行处理。
关于我们
作为国内EASM赛道的领军企业，零零信安是国内首家专注于外部攻击面管理（EASM）的网络安全公司。零零信安基于大数据立体攻防、以攻促防、主动防御、力求取得立竿见影效果的理念，为客户提供基于攻击者视角的外部攻击面管理技术产品和服务。系统化能力覆盖企业信息系统（IP设备、子域名、敏感目录、组件、云端、影子资产、边缘资产）、移动应用、M&A和供应链、漏洞和口令、文档和代码泄露、邮箱和人员列表、企业VIP和管理员、全网情报等风险敞口。从外部攻击面管理的角度，来帮助企业站在攻击者视角下，提前获悉自身的薄弱环节，从而提前于攻击前对薄弱环节进行加固，从而避免安全事件的发生。