駭客又雙叒叕得手了，DDOS-Guard資料庫及原始碼被拍賣

資料作為最核心的內容也是組織單位的重點資產，保障資料安全是當前最大的安全挑戰之一。因此，應該重視程式碼安全和系統安全，同時對重要資料進行加密保護，加強資料管控和管理的能力。

據報導，DDoS-Guard的資料庫正在駭客論壇上出售，ddos-guard是一家來自於俄羅斯的IDC提供商,提供有多種服務租賃服務，同時提供有免費的DDOS清洗服務，並以託管眾多檔案共享巨頭而聞名，其中包括 BS.、S. 和 Go-Unlimited 檔案託管服務。據稱，這些待售的資料包括俄羅斯網站RuTracker的運營細節。

研究人員稱，除資料庫外，DDoS-Guard原始碼也是銷售的一部分。這個網名為“kilobyte”的賣家以35萬美元列出了DDoS-Guard的原始碼和資料庫，並在 Exploit.in上出售。

最初，這位使用者以50萬美元起拍價拍賣這些資料，但由於沒有提供資料樣本，無法驗證被盜資料庫和原始碼的真實性，因此不久後就降到35萬美元，這是從2021年1月以來，該使用者第二次試圖在論壇上出售資料。

資料和核心程式碼作為網路網路駭客攻擊的主要目標，國內外盜取資料並進行販賣的事件愈加頻繁並不斷擴大，造成的經濟損失少則數千萬，多達數億乃至十幾億。隨著遠端辦公模式趨於流行，更增加了資料洩露的風險。資料顯示，截至2020年，資料洩露的平均成本為386萬美元，從事件發生到解決，1次資料洩露的平均週期約為280天。此外，發生資料洩露的行業不但涉及金融、網際網路、政府、教育、醫療等，還有一些關鍵基礎設施等影響社會整體執行發展的行業。

丨資料洩露原因

1. 程式碼安全未被重視

數字時代的萬事萬物都離不開程式碼，但作為萬物互聯的基礎，行業內普遍缺少對 程式碼安全檢測和管理的意識，一方面員工可能無意識的將核心程式碼託管到開原始碼共享平臺，另一方面，在程式碼編寫時引入帶有 缺陷的問題程式碼。這將導致程式碼洩露或由於程式碼缺陷引發一系列安全隱患。

今年3月，殼牌公司及美國6所頂尖大學遭資料洩露，究其原因竟為常見辦公軟體中存在的0day漏洞，系統漏洞已成為盜取資料的常用手段，在開發階段加強 靜態程式碼安全檢測可以及時發現程式碼缺陷，減少系統漏洞的產生。

2. 過度依賴傳統防護手段

威瑞森釋出調查報告顯示，2021年網路釣魚、勒索軟體和Web應用攻擊是資料洩露主要原因。Web應用攻擊導致了去年39%的資料洩露事件，而網路釣魚攻擊比上一年猛增11%，勒索軟體增長6%。網路攻擊不但會加密或竊取資料，同時也會透過威脅或勒索，索取大額贖金，一旦不支付就將面臨資料被公開售賣的風險。隨著網路技術的發展，犯罪分子的技術手段也在不斷提高，因此防火牆等軟體防禦手段並不能一勞永逸。

3. 人為失誤是資料洩露的根本原因

Ponemon資料顯示，員工疏忽是造成資料洩露的一大原因。在娛樂行業34%的資料洩露是由粗心的員工造成的，居行業首位，其次是公共和消費產品部門，其中人為錯誤佔資料洩露的28%。在醫療保健領域，雖然規定很嚴格，但員工疏忽是造成所有資料洩露的27%。

丨加強資料安全管理

目前，數字經濟全面發展，資料作為最核心的內容也是組織單位的重點資產，保障資料安全是當前最大的安全挑戰之一。資料洩露的背後，是公眾被迫遭受敏感資訊暴露，釣魚詐騙，是公司資料資產的丟失和品牌信譽的塌陷，經濟的損失，關係到關鍵基礎設施的資料洩露，甚至讓社會穩定和國家安全面臨威脅。

因此，應該重視 程式碼安全和系統安全，同時對重要資料進行加密保護，加強資料管控和管理的能力，才能避免資料洩露給企業帶來嚴重損失。