千赢国际再次遭到攻击:“从客户的角度来看,它非常令人担忧”

作者:解简

<p>最近备受瞩目的网络攻击削弱了日本科技巨头千赢国际的形象,并让数百万客户担心其个人信息的安全性</p><p> 4月的一次袭击导致该公司的千赢国际Playstation网络脱机;超过7700万用户的个人信息(包括信用卡详细信息)受到了损害</p><p>过去几天的后续攻击暴露了千赢国际基础设施的进一步漏洞,更多的用户信息向公众发布</p><p> Philip Branch博士是斯威本大学的网络安全专家</p><p>千赢国际是一个很大的目标,也是众所周知的目标,黑客社区中有很多关于这些攻击的荣誉</p><p>但我认为该公司面临重复攻击的原因是其安全性可能不如预期的那么好</p><p>某些人可能已经看到第一次,非常大的攻击,认为千赢国际的安全性不足并且想:“我们还能做些什么</p><p>”因此,它归结为一个突出的目标,但也是一个多汁的目标</p><p>如果有人失去备份但是一块软件需要能够“看到”数据是否加密,加密就可以了</p><p>该软件为系统提供了某种凭证,主要是说:“我在这里,把它交给我”</p><p>也许千赢国际服务器上的数据是加密的,但就访问数据的软件而言,数据是原始形式</p><p> SQL(结构化查询语言)是所谓的数据库查询语言 - 应用程序,程序和系统可以查询数据库的方式</p><p> SQL允许用户说出以下内容:“在字段中给我这个值”,或“给我这个特定的电子邮件地址”或“给我这个用​​户ID”或“给我这里和这里之间的所有值”</p><p>在任何网站上都会有一系列表格:“加入我们的邮件列表”,例如 - 那些形式</p><p> SQL注入攻击通过输入SQL数据库识别的基本命令来工作,这将返回结果</p><p>因此,表单可能会说:“输入您的电子邮件地址”</p><p>你可以输入几个SQL命令,用几个字符来表示“我们正在与数据库交谈”,它会吐出数据库中的一些表</p><p>这简直太简单了,这就是为什么千赢国际这么奇怪的人没有为这种攻击辩护公司</p><p>第一件事就是所谓的“输入验证”</p><p>如果您有一个仅接受电子邮件地址的字段,则确保输入的内容看起来像电子邮件地址</p><p>我的电子邮件地址是[email protected] - 所以如果我在登录时开始插入斜线,星号和空格,我的地址将被系统拒绝</p><p>第二件事是称为“存储过程”,这对人们可以做的事情提出了很多限制</p><p>这些过程实际上编写SQL(向数据库添加信息),用户通过填写​​表单来发出带有参数的SQL命令</p><p>我真的不知道</p><p>也许在开发期间错过了某些东西,或者在测试期间错过了一些东西:也许他们没有对安全性进行太多测试</p><p>我无法理解它是如何发生的</p><p>我认为千赢国际不可能独自承受这些漏洞,这是非常可怕的</p><p>大多数公司都有很多不同的系统</p><p>例如,将某个特定系统(一种用于注册简报的表格)放在一起的人可能没有这些与安全相关的事项的专业知识或理解</p><p>我认为千赢国际实际上是不走运的</p><p>在这一点上,千赢国际似乎正在做所有正确的事情</p><p>该公司已聘请外部安全公司寻找身份盗窃等证据,但如果我是订户,我会非常仔细地查看我的信用卡上的奇怪交易</p><p>我考虑更换我的信用卡</p><p>这些攻击如此壮观的原因是,这些黑客不仅在这些攻击中获得了这么多人的数据,他们似乎得到了关于这些人的所有信息</p><p>从消费者的角度来看,....