大數據可能涉及哪些技術安全問題？

01-22

這裡解釋一下，我指的安全問題是指技術安全，而非業務安全，舉個例子：
比如Redis、Mongodb未授權訪問或弱口令，hadoop控制台未授權訪問，分散式管理平台的代碼執行等，分散式文件系統任意文件下載等。
希望搞大數據的大神和安全大神分享下在日常開發或者滲透中遇到的這類問題，能描述下具體的場景就更Nice了！

數據採集，數據存儲，數據清洗，數據挖掘，數據可視化。數據採集有硬體採集，如OBD，有軟體採集，如滴滴，淘寶。而數據採集會涉及到採集的完整性、隱私性和準確性三方面的問題。數據存儲就包括NOSQL，hadoop等等。數據清洗包括語議分析，流媒體格式化等等。數據挖掘包括關聯分析，相似度分析，距離分析，聚類分析等等。數據可視化就是WEB的了。

題主的問題有點大，先簡單的說說大數據的技術框架，方便理解。

目前用戶數據的收集，存儲，管理與使用等均缺

乏規範，更缺乏監管，主要依靠企業的自律。用戶幾乎無法知道自己隱私信息的用途，所以幾乎是不公開化的狀態，就算髮生安全事件後，企業的應急響應能力也會滯後。

簡單說一下可能涉及哪些問題。

1.訪問控制，許可權管理。

2.黑客攻擊或者入侵導致數據信息內容被竊取、破壞、篡改等等，大數據當中的數據價值密度雖然低，但是由於量大，所以總體價值高，而且其中肯定包含有一定的敏感數據。

3.基礎設施面臨的安全威脅。大數據中的數據都是分布存儲，很多數據都存儲在第三方平台，較為分散，所以在存儲方面就存在一定的危險性。

4.管理不當。大數據的數據量非常龐大，數據類型多，分布廣泛，在組織和管理上存在較高的難度，容易導致數據丟失、泄露或是破壞。

5.不安全的介面和API

6.DDoS

7.APT

8.賬號和服務劫持

謝邀，我回答不了大數據。但是我能談一下數據積累在滲透測試中的重要作用。

1、用戶名口令撞庫詐騙釣魚

這幾點主要放在一起，因為都與資料庫泄露相關。當手上的資料庫積累到一定程度的時候，大部分人的曾用密碼或現用密碼都能查的到，包括身份證信息。所以很多時候盜號之類的攻擊是根本就不需要什麼特殊的技巧，直接找資料庫販子買數據即可了。這也是為什麼現在支付寶和QQ微信這類的廠商會弄風控的原因，登錄個號需要密碼，簡訊驗證碼的多重驗證，需要驗證你是不是在常用地址登錄，是不是在常用電腦登錄等。

這還只是針對普通用戶的，要是像管理員賬號密碼，ssh，ftp，mysql等這類服務密碼被分析出來了，那可是一招致命的。

2、抓雞應急響應

當0day爆發的時候，手上有積累了域名/IP/服務數據的就可以瘋狂的來一發了，當初心臟出血的時候有人跑爆了好多硬碟，最近無論是st2還是魔法圖片從烏雲首頁就能看出，都是平時有積累一些資源的人可能就能趕在企業應急響應之前玩一把。像zoomeye和nosec還有國外的shodan這種的本質就是收集和分析了大量的數據。

3、規則分析

根據已有的一些漏洞庫，分析規則，就很有可能發現一些新的漏洞。比起當初像一個無頭蒼蠅去找漏洞的時代還是要簡單些。包括掃描器規則，積累的越多就能發現越多的漏洞。

暫時就想到這些。

大數據技術就是用數據來分析，通過以前來分析將來，找出一些不變的規律。這個問題有點迷。

為什麼還沒看到魏十七和那個什麼95zz來回答？

MongoDB下也存在注入的，NoSql注入

在全民實名制的浪潮下各種政府部門擁有了公民住址電話家庭關係等等等詳細信息，缺沒有好好的保存起來一個漏洞百出的網站下保存著百萬級別的用戶信息才導致一個中國公民的信息在暗網中僅僅價值幾角錢，暴露出了政府網站在安全方面的不足。另一方面普通用戶輕信各種網站輸入真實個人信息恕不知這種網站轉手就會把你的信息出售給黑產詐騙團伙等等等手段已形成完整的產業鏈，不再贅述。普通用戶在當今大數據的浪潮下能做到的也只有增強個人安全意識及時告知家中的老人詐騙團伙的可怕之處。想到再寫下地鐵了