作為新興的網絡大國,中國對互聯網治理有著深入的思考和踏實的行動。這是一種必然,畢竟我們已擁有6.7億網民、413萬多家網站,以及超過3.95萬億人民幣的互聯網上市企業市值。習近平主席在大會致辭中提到一點:“‘保障網絡安全,促進有序發展’,安全和發展是一體之兩翼、驅動之雙輪。安全是發展的保障,發展是安全的目的”,深得業內人士的贊許。
隨著互聯網裂變式的發展,各種各樣的應用被遷移到互聯網使用。然而,互聯網也很脆弱,缺乏相應的防護措施,尤其在數據庫安全方面,數據安全已經成為每個國家、每個企業必須要重視的問題。
2015年已經進入尾聲,對于安全界而言,又是不平靜的一年,安華金和立足國內,回顧國內全年發生的數據泄密相關的十二起安全事件,同時針對事件本身,安華金和的安全專家進行技術原因分析點評。
事件一 新年首起網絡泄密:機鋒論壇2300萬用戶信息泄露(2015.1)
來源:南方網
1月5日,就在機鋒科技二度易主僅半月后,機鋒科技旗下機鋒論壇被曝出存在高危漏洞,多達2300萬用戶的信息遭遇安全威脅。這也成為2015年國內第一起網絡信息泄露事件。
機鋒論壇泄露的2300萬用戶數據包括用戶名、注冊郵箱、加密后的密碼等信息,由于機鋒論壇數據庫對用戶密碼僅使用了簡單的MD5(計算機安全領域廣泛使用的一種散列函數)加密,黑客能夠快速破解出絕大部分密碼。
技術原因: 機鋒論壇回應稱這次泄漏的是2013年泄露的老數據”,并強調,“機鋒所有用戶密碼均為多次加密的非明文轉換碼,網上泄露的用戶信息并不能破解密碼并盜取用戶賬號”。
事件二 多家知名連鎖酒店、高端品牌酒店存在嚴重安全漏洞,海量開房信息存泄露風險(2015.2)
來源:FreeBuf
2月11日,根據漏洞盒子平臺安全報告,知名連鎖酒店桔子、錦江之星、速八、布丁;高端酒店萬豪酒店集團(萬豪、麗思卡爾頓等)、喜達屋集團(喜來登、 艾美、W酒店等)、洲際酒店集團(假日等)存在嚴重安全漏洞,房客開房信息一覽無余,甚至可對酒店訂單進行修改和取消。
黑客可輕松獲取到千萬級的酒店顧客的訂單信息;包括顧客姓名、身份證、手機號、房間號、房型、開房時間、退房時間、家庭住址、信用卡后四位、信用卡截止日期、郵件等等大量敏感信息。
技術原因:大量房客的個人隱私信息存在數據庫中,黑客主要是通過前臺應用程序的漏洞,攻入數據庫服務器,獲取大量個人隱私信息和酒店顧客的訂單信息,同時也由于某些訂單程序漏洞,導致網上就可以修改訂單的敏感信息。
事件三 康威視部分設備被境外IP控制 存嚴重安全隱患(2015.2)
來源:人民網
2月27日,江蘇省公安廳發布《關于立即對全省海康威視監控設備進行全面清查和安全加固的通知》稱,主營安防產品的海康威視其生產的監控設備被曝出嚴重安全隱患,部分設備已被境外IP地址控制,并要求各地立即進行全面清查,開展安全加固,消除安全隱患。
技術原因:采用了弱口令(弱口令是指使用產品初始密碼或其他簡單密碼)。江蘇事件為弱口令漏洞,只需通過修改初始密碼或簡單密碼或者升級設備固件即可解決,不需要召回或更換設備。
事件四 數千萬社保用戶信息或遭泄露 超30省市曝管理漏洞(2015.4)
來源:人民網
4月22日,[CQX1] 重慶、上海、山西、沈陽、貴州、河南等超30個省市衛生和社保系統出現大量高危漏洞,數千萬用戶的社保信息可能因此被泄露。
從補天漏洞響應平臺獲得的數據顯示,目前圍繞社保系統、戶籍查詢系統、疾控中心、醫院等曝出高危漏洞的省市已經超過30個。據統計,僅社保類安全漏洞所 導致的信息泄漏就超過5279.4條 涉及人員數量達數千萬,其中包括個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息。
技術原 因:一是利用互聯網應用系統漏洞,通過sql注入,完成對社保人員信息的批量下載。80%安全事件發生的原因來自于SQL注入。(刷庫)二是外部黑客利用 數據庫漏洞,如系統注入漏洞、緩沖區溢出漏洞和TNS漏洞,進行數據庫的惡意操作。(拖庫)三是開發人員和運維人員被利用,由于對系統熟悉度高,通過程序 中的后門程序或直接訪問數據庫獲得數據。
事件五 中國人壽系統漏洞屢遭曝光 客戶信息安全難保障(2015.5)
來源:廣東消費網
5月21日,網友“carry_your”發布了一則等級為“高級”的漏洞信息,編號:QTVA-2015-237080,漏洞名稱為“中國人壽某省系 統存在漏洞#可getshell#泄漏百萬客戶信息”。保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入多少、職業等敏感信息一覽無余。據烏 云漏洞報告平臺統計,2015年上半年中國人壽漏洞出現7次,漏洞類型主要包括敏感信息泄露、未授權訪問/權限繞過、任意文件遍歷/下載以及設計缺陷/邏 輯錯誤。
技術原因:國家信息技術安全研究中心專家曹岳表示,由于平臺本身交易量巨大、往來客戶數量多,對試圖非法獲取客戶敏感信息的不 法分子來說,一旦入侵[CQX2] 成功,其獲益是巨大的。由此,像保險企業這樣涉及大量客戶個人信息和商業機構信息存儲的企業,須對公眾信息保護承擔義務,更應加強信息安全構建,防止公眾 的合法權益受到侵害。
事件六 多家P2P平臺同時遭黑客攻擊(2015.6)
來源:廣州日報大洋網
6月18日,互聯網金融安全再受拷問,信融財富、寶點網和立業貸等多家P2P平臺本周同時遭受黑客流量攻擊,造成網站無法打開或訪問速度緩慢。根據世界 反黑客組織的通報,中國P2P平臺已成為全世界黑客“宰割的羔羊”。業內人士表示,目前P2P軟件提供商魚龍混雜,不少平臺IT系統簡單、漏洞多,是被黑 客輕易攻擊的主要原因。P2P網貸平臺對技術的要求不亞于銀行,如何解決網貸系統安全問題,事關P2P平臺公司的存亡。
“6月15日 11時04分至16日9時,信融財富官網遭受到惡意流量攻擊,造成網站無法訪問的情況。”深圳P2P平臺信融財富發布公告稱,其官網遭到了黑 客大規模DDOS惡意流量攻擊,使平臺網站訪問受到影響,平臺已于第一時間啟動應急防御措施。幾乎與此同時,另外兩家平臺寶點網和立業貸也均遭到了大規模 黑客攻擊。
技術原因:P2P網貸平臺其技術要求不亞于銀行,甚至比銀行還要高。但現實情況是,大多數P2P網貸平臺無論在架構、數據庫、安全防范方面,應對黑客的攻擊能力幾乎為零。
事件七 約10萬條高考生信息泄露(2015.8)
來源:新浪新聞中心
據新華社電“不管考多少分,都有機會在名校上大學,享受普通本科生一樣的資源和待遇。”高考錄取工作結束之際,一些不法分子利用非法獲取的高考生信息通 過電話進行招生詐騙。武漢警方日前查獲約10萬條泄露的高考生信息,涉嫌用于招生詐騙。這些信息涉及約10萬名考生,遍及13個省區市。
據知情人士介紹,高考生信息在網上被肆意出售。10萬條信息標價1萬元,平均每一條信息價格為0.1元。這些信息被一些不法分子購買后用來進行招生詐 騙,也就是常說的“低分高錄”。騙子自稱是招生院校或省招辦某領導的熟人,聲稱有辦法讓不夠第一批本科線的考生到第一批本科院校就讀。
技術原因:教育考試報名系統中包含大量考生個人隱私信息,需要進行數據庫安全防護,確保敏感數據不會泄露。
事件八 大麥網600多萬用戶賬號密碼泄露 數據已被售賣(2015.8)
來源:新浪科技
8月27日,烏云漏洞報告平臺發布報告顯示,線上票務營銷平臺大麥網再次被發現存在安全漏洞,600余萬用戶賬戶密碼遭到泄露。
起初發現有大麥網用戶數據庫在黑產論壇被公開售賣,于是對泄露的用戶數據進行驗證,發現相鄰賬號的用戶ID也是連續的,并均可登錄。因此,叢技術的角度可以初步證明本次大麥網的數據泄露有被拖庫嫌疑(網站用戶注冊信息數據庫被黑客竊取)。
技術原因:大麥網前臺應用有程序漏洞,主要原因是疑被“拖庫”,指從數據庫中導出數據,現指網站遭到入侵后,黑客竊取其數據庫。
事件九 內蒙古19萬考生信息泄露(2015.9)
來源:京華網
據新華社電內蒙古自治區教育招生考試中心透露,內蒙古19萬名高考考生信息近日遭泄露。9月2日上午得知此事后,教育招生考試中心立即組織人員進行研判,并確認網傳信息基本屬實。隨后,該單位立即報警,希望警方進行徹查。
這些信息中包括考生的姓名、身份證號碼及其父母姓名、電話,名單覆蓋了內蒙古自治區的12個盟市,數量最多的地方達4萬多條。
技術原因:經過認真分析,基本可確定考生信息遭泄露原因大致有三種可能性,分別為“黑客”攻擊、“內鬼”泄露和中介機構或組織“人工”搜集。
事件十 過億郵箱用戶數據泄露? 網易稱遭黑客“撞庫”(2015.10)
來源:新浪科技
10月19日,烏云漏洞報告平臺接到一起驚人的數據泄密報告后 發布新漏洞,漏洞顯示網易用戶數據庫疑似泄露,影響到網易163、126郵箱過億數據,泄露信息包括用戶名、密碼、密碼密保信息、登錄IP以及用戶生日 等。烏云方面指出,前不久,有不少網友抱怨稱自己的iCloud帳號被黑,綁定的iPhone手機被鎖敲詐等,他們共都采用了網易郵箱作為iCloud帳號。
技術原因:這次網易郵箱遭黑客“撞庫”,指黑客通過收集互聯網已泄露的用戶和密碼信息,生成對應的字典表,批量嘗試登陸其他網站。很多用戶在不同網站使用相同用戶和密碼,因此黑客可通過獲取用戶A網站的賬戶從而嘗試登陸B網站。
事件十一 偉易達被曝480萬家長及兒童信息泄露(2015.11)
來源:安全比特網
世界最大的電子玩具生產商之一偉易達集團(VTech)于11月27日指出,11 月 14 日黑客入侵了 Learning Lodge 的客戶資料庫,但在接受報章查詢時不肯透露實際人數,只表示有香港客戶受影響;然而國外媒體 Motherboard 表示,他收到黑客入侵 VTech 的客戶資料,當中有大約500萬個家長和超過20萬個小童的資料,包括姓名、電郵地址、密碼和個人住址。
技術原因:目前VTech仍然使用較為落后的技術開發平臺,包括像ASP.NET 2.0框架, WCF, SOAP, 以及眾多的 Flash。同時VTech的官網以及注冊網站沒有使用像SSL等安全通信協議技術。經過對VTech其中一個端口的掃描探測分析,也發現了可通過SQL查詢可獲取相關調試信息的漏洞。
事件十二 申通被曝13個安全漏洞 黑客竊取3萬多客戶信息(2015.12)
來源:搜狐新聞
黑客利用申通快遞公司的管理系統漏洞,侵入該公司服務器,非法獲取了3萬余條個人信息之后非法出售。在烏云平臺我們發現,2013年以來,該平臺至少公布了申通公司與信息泄露隱患有關的漏洞報告13篇,涉及系統弱口令、服務器目錄、管理后臺、快遞短信等各個方面,其中9份報告被標注的危害等級為“高”。
技術原因:之所以選申通K8速運管理系統下手,并得以利用其漏洞,是因為在“烏云網”上看到了公布出來的申通公司的系統漏洞。據不完全統計,“烏云網” 公布的安全漏洞達77848個。一位IT技術員表示:“如果黑客對‘烏云網’公布的漏洞有興趣,那么只要知道企業名字和大概漏洞消息源頭,侵入這個企業, 不是難事。”
小結
隨著網絡安全事件頻繁,一大批漏洞挖掘平臺涌現出來,漏洞盒子、烏云、阿里云云盾“先知計劃”、360補天等,既有第三方也有BAT巨頭。同時誕生了一大批通過挖漏洞賺錢、甚至以此為職業的白帽黑客。
基于此,國家互聯網應急中心(CNCERT)與國內32家互聯網和安全公司共同簽署了《中國互聯網協會漏洞信息披露和處置自律公約》,以行業自律的方式共同規范安全漏洞信息的接收、處置和發布的公約。
“十三五”規劃建議提出要實施大數據和網絡強國戰略,在政策的大力推動下,網絡安全作為其重要組成部分將迎來快速發展機遇。我國在網絡安全方面的投入占整個IT比重僅為2%左右,遠低于歐美國家10%左右的水平,潛在發展空間將達千億級別。
安華金和數據庫安全專家分析2015年verizon數據泄漏調查報告和全年的數據安全事件,可以發現以下幾個數據泄漏的原因:
使用失竊賬戶密碼依然是非法獲取信息的最主要途徑,三分之二的數據泄露都與漏洞或失竊密碼有關,位列前排的分別是雙因子認證以及web services 的補丁;
發現大多數企業的安全管理和防護都無法跟上網絡犯罪的腳步,入侵企業只需要數分鐘或數小時,而企業發現和識別攻擊則需要數周甚至數月。
雖然外部工具遠超過內部威脅,但與知識產權有關相關時,內部攻擊有抬頭趨勢。作為專業的數據庫安全專家,安華金和建議從以下幾點措施來實現數據的安全防護:
措施一:通過數據庫漏掃定期對數據庫進行安全巡檢,發現數據庫使用中的安全隱患,及時人工進行加固;
措施二:安全管理員要了解本單位數據庫中的數據資產,采取有針對性的安全防御措施,通過對數據庫中的敏感字段加密存儲,防“拖庫”;
措施三:通過數據庫防火墻實現數據庫的外圍防御圈,構建數據庫的可信訪問環境;
網絡上可信:串聯數據庫防火墻后,黑客無法繞過數據庫防火墻直接訪問數據庫。
應用服務器可信:通過IP/MAC綁定,確保只有授權服務器、設備訪問數據庫。
措施四:底線防守,超過閥值限制的批量查詢操作攔截,繞過合法應用的訪問阻斷,禁止本地登錄;
措施五:對數據庫的敏感操作,一定要全部記入審計記錄,如果出現違規操作可以通過事后追責定責。
數據庫已經成為數據泄漏的重災區,在核心數據掌握企業命脈的年代,數據庫的防護成為整個安防體系中不可或缺的環節。
京公網安備 11010502049343號