Justin Paine坐在加州奧克蘭的一家酒吧里，在互聯(lián)網(wǎng)上搜索著你最敏感的數(shù)據(jù)。很快，他就找到了有希望的線索。

他在自己的筆記本電腦上打開了Shodan，一個(gè)云服務(wù)器和其他互聯(lián)網(wǎng)連接設(shè)備的可搜索索引。然后，他鍵入關(guān)鍵詞“Kibana”，調(diào)出了1．5萬(wàn)多個(gè)在線存儲(chǔ)的數(shù)據(jù)庫(kù)，開始挖掘結(jié)果。

“這個(gè)來(lái)自俄羅斯”Paine說(shuō)�！斑@個(gè)居然權(quán)限大開�！�

通過(guò)Shodan，Paine可以篩選每個(gè)數(shù)據(jù)庫(kù)并檢查其內(nèi)容。一個(gè)數(shù)據(jù)庫(kù)似乎有關(guān)于酒店客房服務(wù)的信息。如果他繼續(xù)往下看，可能會(huì)找到信用卡或護(hù)照號(hào)碼。這樣的事情并不令人感到驚訝，過(guò)去，他曾發(fā)現(xiàn)數(shù)據(jù)庫(kù)中包含著來(lái)自戒毒中心的患者信息，以及圖書館借閱記錄和在線賭博交易。

Paine是非正式網(wǎng)絡(luò)研究大軍的一部分，這些人沉溺于一種非常模糊的激情：搜索互聯(lián)網(wǎng)上不安全的數(shù)據(jù)庫(kù)。未加密且清晰可見(jiàn)的數(shù)據(jù)庫(kù)可以包含各種敏感信息，包括姓名、地址、電話號(hào)碼、銀行詳細(xì)信息、社會(huì)保險(xiǎn)號(hào)和醫(yī)療診斷。如果落入壞人之手，這些數(shù)據(jù)可能會(huì)被用于欺詐、身份盜竊或敲詐。

數(shù)據(jù)狩獵社區(qū)既兼收并蓄，又全球化。它的一些成員是專業(yè)的安全專家，另一些則是愛(ài)好者。有些是高級(jí)程序員，有些卻一行代碼也不會(huì)寫。他們分布在烏克蘭、以色列、澳大利亞、美國(guó)，和幾乎任何你能夠提到的國(guó)家。他們只有一個(gè)共同的目的：促使數(shù)據(jù)庫(kù)所有者鎖定你的信息。

搜尋不安全數(shù)據(jù)似乎成為了這個(gè)時(shí)代的標(biāo)志。任何組織，包括私人公司、非營(yíng)利組織或政府機(jī)構(gòu)，都可以輕松且廉價(jià)地在云上存儲(chǔ)數(shù)據(jù)。但是許多幫助將數(shù)據(jù)庫(kù)放到云中的軟件工具，在默認(rèn)情況下都會(huì)暴露數(shù)據(jù)。即使這些工具從一開始就意圖讓其成為私有數(shù)據(jù)，但也不是每個(gè)組織都有相應(yīng)的專業(yè)知識(shí)，知道應(yīng)該保留哪些保護(hù)措施。通常，數(shù)據(jù)只是以純文本形式存在，等待讀取。這意味著像Paine這樣的人總能找到一些東西。今年4月，以色列的研究人員發(fā)現(xiàn)了8000多萬(wàn)美國(guó)家庭的人口統(tǒng)計(jì)細(xì)節(jié)，包括地址、年齡和收入水平。

網(wǎng)絡(luò)安全專家Troy Hunt表示，沒(méi)有人知道問(wèn)題的規(guī)模有多大。Hunt在自己的博客上記錄了數(shù)據(jù)庫(kù)泄漏的問(wèn)題。他說(shuō)，不安全的數(shù)據(jù)庫(kù)比研究人員公布的要多得多，但你只能對(duì)所能看到的進(jìn)行統(tǒng)計(jì)。此外，不斷地有新數(shù)據(jù)庫(kù)被添加到云中。

Hunt說(shuō)：“這只是冰山一角�！�

要搜索數(shù)據(jù)庫(kù)，你必須對(duì)無(wú)聊和失望擁有著很高的容忍度。Paine說(shuō)，要發(fā)現(xiàn)酒店客房服務(wù)數(shù)據(jù)庫(kù)是否實(shí)際上是暴露敏感數(shù)據(jù)的緩存需要幾個(gè)小時(shí)的時(shí)間。鉆研數(shù)據(jù)庫(kù)可能會(huì)讓人麻木，而且往往會(huì)充滿錯(cuò)誤的線索。它雖然不像大海撈針，但卻像在堆滿干草堆的田野里搜尋一根針一樣。此外，我們也不能保證狩獵者能夠提示暴露數(shù)據(jù)庫(kù)的所有者修復(fù)這個(gè)問(wèn)題。有時(shí)，所有者會(huì)威脅采取法律行動(dòng)。

數(shù)據(jù)庫(kù)大獎(jiǎng)

然而，回報(bào)可能是激動(dòng)人心的。來(lái)自烏克蘭的Bob Diachenko曾在一家名為Kromtech的公司從事公關(guān)工作，該公司從一名安全研究員那里得知存在數(shù)據(jù)泄露。這段經(jīng)歷引起了Diachenko的興趣，他在沒(méi)有任何經(jīng)驗(yàn)的情況下就加入了數(shù)據(jù)庫(kù)狩獵大軍。7月，他在一個(gè)不安全的數(shù)據(jù)庫(kù)中找到了數(shù)千名美國(guó)選民的記錄，只需使用關(guān)鍵詞“選民”就可以查看到。

“如果我，一個(gè)沒(méi)有技術(shù)背景的人，能找到這些數(shù)據(jù)，”Diachenko說(shuō)�！澳敲词澜缟先魏稳硕寄苷业竭@些數(shù)據(jù)�！�

今年1月，Diachenko在一個(gè)公開的數(shù)據(jù)庫(kù)中發(fā)現(xiàn)了2400萬(wàn)份與美國(guó)抵押貸款和銀行業(yè)務(wù)相關(guān)的金融文件。這一發(fā)現(xiàn)以及其他發(fā)現(xiàn)所產(chǎn)生的宣傳，幫助Diachenko推廣了SecurityDiscovery．com——他離職后創(chuàng)辦的一家網(wǎng)絡(luò)安全咨詢公司。