学习通数据库疑发生信息泄露，1.7亿数据泄露被非法售卖

6月21日早间，词条#学习通数据库疑发生信息泄露#冲上热搜榜单。消息一经爆出，立马引得网友广泛关注和讨论。

超星学习通是大学中普及率非常高的一款APP，可上课可考试，上课时需要开麦克风开视频，考试时还需要出示身份证。但是就在6月20日晚上，据安全行业业界内消息，大学生学习软件超星学习通被曝出现数据库泄露，被公开售卖，里面的数据包括姓名、性别、手机号、学校、学号等学生信息1亿7千万条。

实际上，根据Imperva一项为期五年的新研究，全球46%的本地数据库包含安全漏洞，其中大多数是严重或者高危漏洞。Imperva在五年内扫描了全球2.7万个数据库，发现平均每个数据库包含26个漏洞，其中约56%都是严重或者高危漏洞。这意味着一旦被利用，会导致严重的危害。

破坏不可公开访问的数据库的标准攻击途径是通过Web应用漏洞，例如SQLi、网络钓鱼，或者投放能让攻击者在网络中立足的恶意软件。报告指出，企业应当采取以下三大措施来提高数据安全能力：

1、获得可见性：除非您对整个组织中存储数据的所有位置都有一个概览，包括设置在安全范围之外的恶意数据库，否则无法保护数据。现代业务的复杂性意味着数据变得比以往任何时候都更加分散，因此必须自动化此发现过程以确保不会无意中遗漏任何内容。至关重要的是，这还应该涉及部署工具来检测数据库活动异常，以及可以防止漏洞被利用的解决方案。

2、优先考虑高优先级漏洞和敏感数据：在理想化的场景中，安全团队有时间在每个数据库中的每个漏洞发布后立即对其进行修补。然而，考虑到来自整个企业的其他任务的冲击以及补丁发布时间的限制，这变得越来越难以管理。因此，安全团队需要确保他们为不同优先级任务正确分配时间，无论是在缓解最严重的漏洞方面，还是在保护哪些数据方面。拥有可以识别哪些数据库保存敏感客户数据（例如信用卡号或护照号）的工具可以帮助安全团队更好的部署防御措施。

3、了解数字化转型的风险：如今所有行业都在紧锣密鼓地推进数字化转型计划，并将数据转移到云端。然而，研究表明，在考虑保护云中数据的复杂性之前，管理本地数据的安全性已经非常具有挑战性。虽然数字化转型对于保持竞争力至关重要，但企业需要制定清晰、有凝聚力的安全战略来保护数据，这是一切努力的根本。

新网云数据库通过IP白名单授权机制，严格管控访问源。支持通过VPC来获取更高程度的网络访问控制，为企业的业务数据提升安全性：https://www.xinnet.com/cs/rds.html