Dữ liệu quan trọng không được mã hóa làm tăng nguy cơ rò rỉ thông tin khi người tấn công xâm nhập được vào hệ thống máy chủ hoặc nghe lén thông tin trên mạng. Có hai trường hợp người tấn công sẽ khai thác:
- Dữ liệu nhạy cảm không được mã hóa khi lưu trữ trên CSDL: Khi người tấn công xâm nhập được vào hệ thống máy chủ, họ có khả năng truy cập được vào
CSDL hoặc các tập tin trên hệ thống. Qua đó, người tấn công dễ dàng lấy được và sử dụng các thông tin như: thông tin xác thực, cấu hình hệ thống, dữ liệu ngân hàng,… nếu chúng không được mã hóa hoặc có mã hóa nhưng thuật toán mã hóa yếu.
- Dữ liệu nhạy cảm không được mã hóa trên đường truyền: Khi người dùng sử dụng các giao thức không mã hóa thông tin xác thực và dữ liệu trước khi chuyển đi trên đường truyền (POP3, IMAP, HTTP,…) nguy cơ bị lộ thông tin đăng nhập, dữ liệu gửi và nhận trên đường truyền mạng là rất cao. Người tấn công trong cùng hệ thống mạng có thể dùng phương pháp nghe lén gói tin truyền trên mạng để lấy các thông tin đó nếu chúng không được mã hóa.
3.4.2 Phương pháp phòng chống:
Đối với phía máy chủ ứng dụng web: sử dụng các thuật toán mã hóa mạnh để mã hóa các dữ liệu nhạy cảm trước khi lưu lại trên hệ thống, chọn giao thức https để phát triển ứng dụng web, mã hóa thông tin xác thực khi truyền đi trên mạng.
Đối với phía người sử dụng: dùng các tiện ích tạo kênh kết nối VPN khi sử dụng hệ thống mạng internet công cộng (ví dụ: phần mềm Hotspot shield).