近年来数据泄露安全事件频发，在今年的hw网络安全攻防演练中，获取敏感信息、数据泄露等漏洞的得分也越来越高。在实际工作的工作中我们也遇到了一次数据泄露情况，下面就来看看当遇到这种情况时如何进行排查。

数据泄露的可能途径

1.外部攻击和黑客活动

如果系统存在漏洞，黑客发现并成功利用这个漏洞，则可能会导致数据的泄露。如sql注入，命令执行漏洞等等。

另外还有接口中返回了敏感信息，导致数据泄露。

2.内部人员泄露

这里包含两个方面，一个是由于员工的疏忽，不当操作或缺乏安全意识导致的不是故意的泄露。如电子邮件发给了错误的收件人。

另一个就是内部员工故意泄露的，如通过售卖公司信息获利。

3.系统漏洞和配置错误

未及时更新或配置不当的系统和软件可能存在安全漏洞，攻击者可利用这些漏洞访问和窃取数据。错误的网络配置或安全设置也可能导致数据泄露，如不安全的文件共享设置或未加密的通信通道。

4.第三方服务或合作伙伴

与第三方合作伙伴共享数据时，未采取足够的安全措施，遭到攻击或违反合同规定，未经授权地访问，都可能导致数据泄露。

5.物理安全漏洞

丢失或被盗的存储设备（如笔记本电脑、手机、USB闪存盘等）可能包含敏感数据及不安全的文件处理（如随意丢弃包含敏感信息的纸质文件）也可能导致数据泄露。

数据泄露排查办法：

1. 首先要看下数据泄露的数据特征，判断数据可能来自哪个应用系统（APP、网站、系统）。

2. 然后对重点怀疑数据可能泄露的应用系统，画出业务关系拓扑图。

3. 根据业务拓扑图，对所涉及的应用系统（APP、网站、系统），开展渗透测试(H5/api/PC)，检测是否存在漏洞，而这个漏洞是否可导致数据泄露。

4. 对所有的应用系统的访问日志进行安全审计与人工排查，是否有可疑的请求与访问，有些接口可能存在数据泄露，在实际排查过程中，有些黑客会使用python等工具进行批量爬取数据的特征，检查是否有python等的浏览器标识日志，以及某个IP的访问频次。

5. 对（APP、网站、系统）访问权限进行梳理确认，看是否存在越权访问等漏洞。

6. 排查WAF/阿里云盾/腾讯云安全等的安全告警日志，检查是否有被黑客入侵和攻击的痕迹，像提示有Webshell木马后门文件，服务器异地登录，bash后门，服务器后门，异常进程，等等的安全提醒都要注意查看，一般来说服务器都可能被黑客入侵了。

一次数据泄露排查

事件起因：一次在咸鱼上看到有人在卖我们公司的验证码，可以通过验证码注册公司账号。当发现该问题以后，我们开始排查该验证码的泄露途径。

排查过程

1）首先分析验证码可能得泄露途径

• 外部接口中返回包中包含了验证码

• 内部人员泄露

• 存在漏洞，恶意攻击者进入了内部

2）排查是否通过外部接口泄露

我们通过waf，以及人工去测试相关功能点都没有发现相应的系统存在。

3）排查相关日志

排查相关数据库，系统的日志看是否有异常访问

4）修改数据库数据排查

上面的几个步骤都没有发现泄露的问题点在哪里，最后决定修改数据库中的数据，看泄露的点在哪里。

首先，画出了验证码的数据流图，统计除了验证码在那几个数据库以及系统中存在，然后手工修改库里面的内容，在咸鱼上联系人看是否能够给出正确答案。通过该方式最终确定了泄露点在哪里，然后再去排查相关系统的日志，最终也找到了泄露的原因。

总结

数据泄露的方式多种多样，要根据实际的情况进行分析以及指定恰当的方式去排查。

参考链接

https://cloud.tencent.com/developer/article/2326322