Verizon發(fā)布了《2014年度數(shù)據(jù)泄露調(diào)查報告》,報告中回顧了63737起賽博安全事件和1367起已經(jīng)確認的數(shù)據(jù)泄漏事件���。報告數(shù)據(jù)顯示:由于數(shù)據(jù)庫原因產(chǎn)生的信息泄漏高達25%�����。
賽博一詞源于希臘語�����,意指在掌控或管治方面是很有技能的人����、動物和任何東西�。美國東西方研究所與莫斯科國立大學情報安全學院成立的聯(lián)合工作小組在一份報告中指出,賽博是“信息”超集的一個子集����,人們可以從這一“信息子集”中獲得“利益”和“好處”。
2014年國內(nèi)外都發(fā)生了哪些信息泄漏事件��?這些事件的背后的深層技術原因是什么����?
【2014.1 國內(nèi)】 春運第一天12306爆用戶信息泄露漏洞
2014年鐵路春運售票第一天����,在經(jīng)歷了早上宕機1小時之后�,12306鐵路客戶服務中心網(wǎng)站再次爆發(fā)用戶賬號串號的問題�,大量用戶身份證等信息遭泄露。
下午15時左右�����,開始有網(wǎng)友在微博上反映�,登陸自己帳號后可以看到他人的姓名、身份證號碼�����、手機號碼等信息�����。
下午17時34分����,新版12306網(wǎng)站出現(xiàn)用戶資料大量泄露的漏洞��,并表明危害等級為高�����。
造成此次串號的原因可能有以下原因:
1���、訪問流量過大,導致其賬號體系出現(xiàn)異常��;
2��、12306網(wǎng)站新版的代碼不穩(wěn)定�,存在bug,系統(tǒng)有漏洞�����;
3���、12306網(wǎng)站的新版和舊版后臺出現(xiàn)了兼容性問題��;
4�、訂票系統(tǒng)的PC版和移動版出現(xiàn)兼容性問題�;
5�����、session(會話)重復生成����,非全局唯一�;
6、session未及時刪除����。
來源:騰訊科技http://tech.qq.com/a/20131228/005361.htm
【2014.1金融銀行】 韓2000萬信用卡信息泄露 引發(fā)“銷戶潮”
人民網(wǎng)首爾1月21日電�����,韓國發(fā)生史上最大規(guī)模的信用卡個人信息泄露事件���,KB國民卡����、樂天卡及NH農(nóng)協(xié)卡公司社長于20日全部引咎辭職����。
8日�,KB國民卡�、樂天卡及NH農(nóng)協(xié)卡公司的一億多條用戶個人信息被泄露,三家公司社長于當日舉行記者會�,就此次事件公開表示了歉意。據(jù)韓聯(lián)社報道�����,這是迄今為止韓國國內(nèi)金融行業(yè)最大規(guī)模的個人信息泄露事件���。報道稱��,信用評級公司職員樸某等在受信用卡公司委托開發(fā)電腦程序的過程中���,非法收集和泄露上述信用卡公司的1.04億條用戶個人信息,韓國檢方已對案犯予以拘留起訴����。
但14日,韓國檢察機關與信用卡業(yè)界又表示�����,此次大量泄露的信息中,除了姓名�����、電話號碼��、住所�����、公司名等個人信息以外���,還包含身份證號碼����、貸款交易內(nèi)容���、信用卡認可免稅書等5391件敏感的信用信息,占全部泄露信息的一半以上���。信用信息作為可以了解顧客的消費模式及習慣的信息���,很容易被金融欺詐電話或強制貸款所利用。
來源:人民網(wǎng) 韓國頻道http://korea.people.com.cn/205155/205166/8518347.html
【2014.2互聯(lián)網(wǎng)金融】支付寶前員工販賣20G用戶資料 一條可賣數(shù)十元
網(wǎng)易財經(jīng)報道“支付寶鬧內(nèi)鬼20G用戶信息被盜賣”。支付寶方面已南都記者證實了此事�����,并表示��,泄露的信息主要為交易數(shù)據(jù)�。此則消息引發(fā)了用戶對于信息安全問題的關注,也令網(wǎng)絡信息販賣產(chǎn)業(yè)鏈浮現(xiàn)�。中國電子企業(yè)協(xié)會信息化促進發(fā)展中心主任林韓在接受南都記者采訪時表示,用戶安全信息盜取和販賣已經(jīng)形成一個非常完整的產(chǎn)業(yè)鏈����,且市場需求大。一條價值較高的用戶信息甚至可以被賣至數(shù)十元�����。此次支付寶信息泄露中���,超過20G的海量用戶信息��,被支付寶員工在后臺下載并有償出售給電商公司���、數(shù)據(jù)公司。
一二線電商企業(yè)本身有完善的用戶數(shù)據(jù)庫,需要進行嚴格的數(shù)據(jù)監(jiān)控����,防止數(shù)據(jù)泄露至黑色交易鏈。此類信息販賣產(chǎn)業(yè)���,有的甚至采取公司的運作方式����,從互聯(lián)網(wǎng)上購買個人或單位信息�,轉賣他人獲利;通過網(wǎng)上購買公民戶籍�、住房、車輛等個人信息為他人提供婚戀�、追債、手機定位等服務項目從中獲利����;通過網(wǎng)上購買信息推銷產(chǎn)品�����;利用自身特殊身份盜竊�����、騙取公民、企業(yè)信息轉賣獲利���。
來源:網(wǎng)易財經(jīng)http://money.163.com/14/0106/07/9HSULLOE002526O3.html
【2014.3酒店】 2000萬開房信息泄露案開庭
據(jù)《法制晚報》報道����,“2000萬開房信息泄露事件”首例訴訟在上海浦東法院第一次開庭審理���。原告王金龍起訴漢庭星空(上海)酒店管理有限公司和浙江慧達驛站網(wǎng)絡有限公司���,并要求賠償20萬元?!伴_房數(shù)據(jù)泄露”事件爆發(fā)后,隱私權受到嚴重侵害��,還飽受推銷廣告�����、短信的騷擾��。實名認證的新浪微博賬戶@股社區(qū) 發(fā)布了一個名為“查開房”的網(wǎng)址�。只需輸入姓名或身份證號�,即可查詢到包括身份證號����、生日、地址���、手機號�、郵箱����、公司、登記日期等真實信息�。
來源:南方周末 http://www.infzm.com/content/98180
【2014.5 移動互聯(lián)網(wǎng)】 小米陷“泄密”門 業(yè)內(nèi)稱違法成本低是根源
小米論壇“被脫褲”,可能影響小米移動云等敏感信息�,或導致用戶資料大量泄漏。隨后����,烏云平臺再度曝出小米的另一漏洞,稱“小米科技某安全漏洞影響88W+360W數(shù)據(jù)”�����,漏洞或導致用戶資料大量泄漏��。隨后��,小米公司官方回應確認��,有部分2012年8月前注冊的論壇賬號信息被非法獲取�。
廣州金鵬律師事務所詹朝霞律師則直言,違法成本低��,法律監(jiān)管缺失是“泄密”事件再三出現(xiàn)的根源�。他指出,各類服務提供商����,基于提供服務所采集的用戶信息數(shù)據(jù),具有嚴格保密的法律義務�����;但類似的規(guī)定散見于國家工商總局發(fā)布的《網(wǎng)絡交易管理辦法》�����、《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》等�,相關法律法規(guī)不少,卻沒有設置任何對應的處罰措施���,違法成本極低�����。
來源:網(wǎng)易財經(jīng) http://money.163.com/14/0515/16/9SA4177900254TFQ.html
【2014.6政府】棱鏡門事件再發(fā)酵
國際在線消息:由人民出版社出版的《美國是如何監(jiān)視中國的-美國全球監(jiān)聽行動紀錄》一書20日在中國正式發(fā)行��。該書披露�����,中國國內(nèi)網(wǎng)絡安全權威技術部門檢測發(fā)現(xiàn)���,美國思科公司的路由器存在嚴重的預置式“后門”�����。
受到美國國安局信息監(jiān)視項目-"棱鏡"監(jiān)控的主要有10類信息:電郵�����、即時消息��、視頻�、照片�����、存儲數(shù)據(jù)�、語音聊天、文件傳輸��、視頻會議����、登錄時間和社交網(wǎng)絡資料的細節(jié)都被政府監(jiān)控。通過棱鏡項目�,國安局甚至可以實時監(jiān)控一個人正在進行的網(wǎng)絡搜索內(nèi)容。
來源:中華網(wǎng)新聞 http://news.china.com/zh_cn/focus/usljm/
【2014.11公安】軟件商“侵”車管所系統(tǒng)“刪違”萬余條
2014年11月12日��,江蘇連云港檢察院披露����,一位多地公安車管系統(tǒng)軟件供應商竟變身“黑客”,勾結“黃?����!?�,在車管所軟件系統(tǒng)植入程序�,專門代人刪除交通違章記錄達1.4萬余條����。截止到案發(fā)��,公安機關查明李某共計非法刪除14000余條交通違章記錄�����,涉案金額1800余萬元��。三年時間���,李某非法斂財650余萬元�����,王某���、張某非法獲利300余萬元。
截止到案發(fā)����,公安機關查明李某共計非法刪除14000余條交通違章記錄,涉案金額1800余萬元。三年時間�,李某非法斂財650余萬元,王某���、張某非法獲利300余萬元���。
李某利用為連云港��、宿遷�、南京等市車管所軟件系統(tǒng)提供運維技術支持的便利條件,躲避現(xiàn)場監(jiān)管�����,將事先編好的刪除程序輸入���,通過修改公安內(nèi)網(wǎng)服務器的網(wǎng)絡配置��,避開公安內(nèi)網(wǎng)報警體系��,從互聯(lián)網(wǎng)遠程侵入公安網(wǎng)絡系統(tǒng)���,非法刪除車輛違章記錄上萬條獲利。
截止到案發(fā),公安機關查明李某共計非法刪除14000余條交通違章記錄�����,涉案金額1800余萬元�����。三年時間����,李某非法斂財650余萬元,王某���、張某非法獲利300余萬元���。
來源:網(wǎng)易新聞 http://news.163.com/14/1113/03/AATBCR8J00014AED.html
【2014.12教育】國內(nèi)130萬考研用戶信息遭泄漏 正被黑產(chǎn)利用
烏云網(wǎng)站報道《國內(nèi)考研130W報名信息泄漏事件》的漏洞,并表示該漏洞導致泄露的信息正在被黑產(chǎn)利用����。出售的用戶信息截止到2014年11月份的130W考研用戶,而且數(shù)據(jù)已經(jīng)被多次專賣�����,經(jīng)過與賣家了解,數(shù)據(jù)泄漏了考研用戶的姓名�����、手機�、座機、身份證��、住址�����、郵編��、學校�、專業(yè)等敏感數(shù)據(jù)��,并且表明已經(jīng)不是第一手數(shù)據(jù)了��。
來源:烏云網(wǎng)http://www.wooyun.org/bugs/wooyun-2014-084759
【2014.12電力】土耳其黑客入侵本國電力系統(tǒng)��,怒刪貧困地區(qū)巨額債務賬單
土耳其黑客組織RedHack宣布:他們?nèi)肭至穗娏芾硐到y(tǒng)�����,撤銷了Soma地區(qū)需要付給電力公司的150萬土耳其幣的賬單(約合65萬美元)。
除了抹去了巨額的債務記錄����,RedHack小組似乎意猶未盡,還放出了該電力管理系統(tǒng)數(shù)據(jù)庫的用戶名和密碼��,RedHack也上傳了一個關于此次事件的記錄視頻�����,即漫游電力管理系統(tǒng)網(wǎng)站及刪除債務數(shù)據(jù)的細節(jié)����。
來源:風云網(wǎng)絡 有視頻http://www.05112.com/zixun/hkdt/2014/1125/17041.html
安華金和數(shù)據(jù)庫安全專家分析,2014年Verizon數(shù)據(jù)泄漏調(diào)查報告和全年的數(shù)據(jù)安全事件���,可以發(fā)現(xiàn)以下幾種數(shù)據(jù)泄漏原因:
以上事件����,不難發(fā)現(xiàn)�����,大多數(shù)企業(yè)的安全管理和防護都無法跟上網(wǎng)絡犯罪的腳步����,入侵只需要數(shù)分鐘或數(shù)小時����,而企業(yè)發(fā)現(xiàn)和識別攻擊則需要數(shù)周甚至數(shù)月����。
使用失竊賬戶密碼依然是非法獲取信息的最主要途徑,三分之二的數(shù)據(jù)泄露都與漏洞或失竊密碼有關����,這進一步凸顯了兩步認證的必要性。
雖然外部攻擊遠超過內(nèi)部攻擊�����,但是內(nèi)部攻擊有抬頭趨勢����,尤其是與知識產(chǎn)權有關的內(nèi)部攻擊���。
總體來講�����,Version報告發(fā)現(xiàn)病毒是第二重要的賽博安全事件�,占20%,緊隨其后的是內(nèi)部人員權限濫用(占18%)和物理盜竊/損失(占14%)��,在數(shù)據(jù)泄露中�,對網(wǎng)頁應用程序的攻擊導致了35%的數(shù)據(jù)泄露。
內(nèi)部人員的濫用數(shù)據(jù)庫存儲的有價值信息導致數(shù)據(jù)資產(chǎn)丟失����。
安華金和建議從以下幾點措施來實現(xiàn)數(shù)據(jù)的安全防護:
措施一:保護核心數(shù)據(jù)安全,建議使用數(shù)據(jù)庫風險評估工具��,定期對數(shù)據(jù)庫進行安全風險檢查�,發(fā)現(xiàn)數(shù)據(jù)庫使用中的安全隱患,及時人工進行加固����;
措施二:安全管理員要了解本單位數(shù)據(jù)庫中的敏感信息,采取有針對性的安全防御措施���,對數(shù)據(jù)庫中的敏感字段進行加密存儲����,即使整庫丟失也不會泄密�;
措施三:通過網(wǎng)絡上的虛擬補丁技術對數(shù)據(jù)庫漏洞的攻擊特征進行識別����,及時攔截來自外網(wǎng)的黑客數(shù)據(jù)庫攻擊���;
措施四:運維人員對數(shù)據(jù)庫中的敏感數(shù)據(jù)修改�����,一定要記入審計記錄�,如果出現(xiàn)非法篡改行為可以通過事后追責定責�;
措施五:對從數(shù)據(jù)庫批量導出數(shù)據(jù)的行為、整表刪除�、不帶條件的更新等惡意行為及時中斷數(shù)據(jù)庫操作,防止數(shù)據(jù)庫非法操作行為的發(fā)生�����;
措施六:在應用系統(tǒng)上線前����,要對應用和數(shù)據(jù)庫進行安全風險評估測試�,及時發(fā)現(xiàn)并修復存在的安全隱患,如:SQL注入點�、后門程序���、緩沖區(qū)溢出漏洞等。
產(chǎn)品咨詢:4000 258 365 
