网站漏洞导致超过2000名参与报道E3的记者个人信息泄漏

在参与报道了全球最大的视频游戏大会E3之后，由于组织方系统存在的安全漏洞导致大量记者的个人联系信息被公开曝光。在报告中称目前已经有超过2000人受到影响，除了各大新闻机构和媒体的记者、编辑之外，还有YouTube和Twitch等视频网站上的网红主播，以及高盛、IMDb和其他公司的工作人员。

本周六E3游戏展的组织方Entertainment Software Association（简称ESA）向这些受影响的记者发出了电子邮件警告，而这些记者都通过官方渠道注册参与了今年6月在洛杉矶会议中心举办的游戏大展，并获得了新闻报道证书。

在发送给记者的电子邮件中写道：“我们为ESA会员和参展商在一个密码保护的参展商网站上提供了媒体列表，方便用户联系媒体进行报道，以及更好地传播参展方的展示内容。而在过去20多年来一直没有问题。”

在发现这个问题之后，ESA在本周五已经发布告示称参展商网站存在缺陷，导致记者和媒体名单公布于众，随后ESA立即关闭了这个网站。

YouTuber Sophia Narwitz早些时候报道了这个漏洞并注意到她已经联系了ESA，它说可以通过点击公共E3网站页面上标有“注册媒体列表”的链接来下载一份包含联系人列表的电子表格。

她表示在这份名单中还包括了私人的住址信息，任何以新闻或内容创作者身份出席E3的人都可能受到影响。

ESA表示对此事件感到遗憾，并已采取措施确保不再发生这种情况。

一个网站不仅要处理被黑客入侵的后果，还要对其页面上的内容以及人们用来与之交互的机制负责。如果计划存储用户信息（例如密码或电话号码），则必须妥善保护这些数据，否则根据某些法律，可能会因数据泄露事件而受到罚款。为保护网站，应为网站设置以下基础。

添加软件防火墙

基于Web的防火墙解决方案可以监视传入连接并阻止可能具有威胁性的连接。管理防火墙是一项持续的活动，必须确保打开正确的端口并允许网站在开放的互联网上运行，同时持续监控Web服务器访问流量并根据网络威胁级别实时调整防护策略。

严格控制信息的出入

针对网络攻击和未授权的访问，我们建议企业严格控制信息的出入，通过安全审计来检测和监督可疑用户，取消可疑用户的权限，调用更强的保护机制，去掉或修复故障网络以及系统的某些失效部件。

获取SSL证书

如果计划在Web服务器上传输任何敏感用户数据，则必须使用安全套接字层(SSL)证书。SSL是一种在浏览器级别发生的加密协议，可确保所有传入和传出的Web请求都被外部人员屏蔽。作为网站所有者，有责任从权威机构获取有效的SSL证书并使其保持最新。使用域名配置后，用户将在浏览器中看到URL旁边的挂锁符号，这是安全网站的通用指标。

据估计，每个网站每天都会受到22次攻击，这就是为什么需要在网站上线之前制定安全计划的原因。否则，网站也许会成为加密劫持、勒索软件、DDoS、网络钓鱼或更糟糕的网络威胁情况的受害者。在互联互通的全球数字经济背景下，数据是企业最重要的战略资产。只有提升对数据价值的认识，对数据存储、使用和管理的方式予以高度重视并将其置于企业战略的核心，同时建立有效的数据保护策略，方能保障企业安全。