12月,以“互联互通、共享共治——构建网络空间命运共同体”为主题的第二届世界互联网在浙江乌镇又一次震撼世界。
作为新兴的网络大国,中国对互联网治理有着深入的思考和踏实的行动。这是一种必然,毕竟我们已拥有6.7亿网民、413万多家网站,以及超过3.95万亿人民币的互联网上市企业市值。习近平主席在大会致辞中提到一点:“‘保障网络安全,促进有序发展’,安全和发展是一体之两翼、驱动之双轮。安全是发展的保障,发展是安全的目的”,深得业内人士的赞许。
随着互联网裂变式的发展,各种各样的应用被迁移到互联网使用。然而,互联网也很脆弱,缺乏相应的防护措施,尤其在数据库安全方面,数据安全已经成为每个国家、每个企业必须要重视的问题。
2015年已经进入尾声,对于安全界而言,又是不平静的一年,安华金和立足国内,回顾国内全年发生的数据泄密相关的十二起安全事件,同时针对事件本身,安华金和的安全专家进行技术原因分析点评。
事件一 新年首起网络泄密:机锋论坛2300万用户信息泄露(2015.1)
来源:南方网
1月5日,就在机锋科技二度易主仅半月后,机锋科技旗下机锋论坛被曝出存在高危漏洞,多达2300万用户的信息遭遇安全威胁。这也成为2015年国内第一起网络信息泄露事件。
机锋论坛泄露的2300万用户数据包括用户名、注册邮箱、加密后的密码等信息,由于机锋论坛数据库对用户密码仅使用了简单的MD5(计算机安全领域广泛使用的一种散列函数)加密,黑客能够快速破解出绝大部分密码。
技术原因: 机锋论坛回应称这次泄漏的是2013年泄露的老数据”,并强调,“机锋所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息并不能破解密码并盗取用户账号”。
事件二 多家知名连锁酒店、高端品牌酒店存在严重安全漏洞,海量开房信息存泄露风险(2015.2)
来源:FreeBuf
2月11日,根据漏洞盒子平台安全报告,知名连锁酒店桔子、锦江之星、速八、布丁;高端酒店万豪酒店集团(万豪、丽思卡尔顿等)、喜达屋集团(喜来登、艾美、W酒店等)、洲际酒店集团(假日等)存在严重安全漏洞,房客开房信息一览无余,甚至可对酒店订单进行修改和取消。
黑客可轻松获取到千万级的酒店顾客的订单信息;包括顾客姓名、身份证、手机号、房间号、房型、开房时间、退房时间、家庭住址、信用卡后四位、信用卡截止日期、邮件等等大量敏感信息。
技术原因:大量房客的个人隐私信息存在数据库中,黑客主要是通过前台应用程序的漏洞,攻入数据库服务器,获取大量个人隐私信息和酒店顾客的订单信息,同时也由于某些订单程序漏洞,导致网上就可以修改订单的敏感信息。
事件三 康威视部分设备被境外IP控制 存严重安全隐患(2015.2)
来源:人民网
2月27日,江苏省公安厅发布《关于立即对全省海康威视监控设备进行全面清查和安全加固的通知》称,主营安防产品的海康威视其生产的监控设备被曝出严重安全隐患,部分设备已被境外IP地址控制,并要求各地立即进行全面清查,开展安全加固,消除安全隐患。
技术原因:采用了弱口令(弱口令是指使用产品初始密码或其他简单密码)。江苏事件为弱口令漏洞,只需通过修改初始密码或简单密码或者升级设备固件即可解决,不需要召回或更换设备。
事件四 数千万社保用户信息或遭泄露 超30省市曝管理漏洞(2015.4)
来源:人民网
4月22日,[CQX1] 重庆、上海、山西、沈阳、贵州、河南等超30个省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄露。
从补天漏洞响应平台获得的数据显示,目前围绕社保系统、户籍查询系统、疾控中心、医院等曝出高危漏洞的省市已经超过30个。据统计,仅社保类安全漏洞所导致的信息泄漏就超过5279.4条 涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。
技术原因:一是利用互联网应用系统漏洞,通过sql注入,完成对社保人员信息的批量下载。80%安全事件发生的原因来自于SQL注入。(刷库)二是外部黑客利用数据库漏洞,如系统注入漏洞、缓冲区溢出漏洞和TNS漏洞,进行数据库的恶意操作。(拖库)三是开发人员和运维人员被利用,由于对系统熟悉度高,通过程序中的后门程序或直接访问数据库获得数据。
事件五 中国人寿系统漏洞屡遭曝光 客户信息安全难保障(2015.5)
来源:广东消费网
5月21日,网友“carry_your”发布了一则等级为“高级”的漏洞信息,编号:QTVA-2015-237080,漏洞名称为“中国人寿某省系统存在漏洞#可getshell#泄漏百万客户信息”。保单信息、微信支付信息、客户姓名、电话、身份证、住址、收入多少、职业等敏感信息一览无余。据乌云漏洞报告平台统计,2015年上半年中国人寿漏洞出现7次,漏洞类型主要包括敏感信息泄露、未授权访问/权限绕过、任意文件遍历/下载以及设计缺陷/逻辑错误。
技术原因:国家信息技术安全研究中心专家曹岳表示,由于平台本身交易量巨大、往来客户数量多,对试图非法获取客户敏感信息的不法分子来说,一旦入侵[CQX2] 成功,其获益是巨大的。由此,像保险企业这样涉及大量客户个人信息和商业机构信息存储的企业,须对公众信息保护承担义务,更应加强信息安全构建,防止公众的合法权益受到侵害。
事件六 多家P2P平台同时遭黑客攻击(2015.6)
来源:广州日报大洋网
6月18日,互联网金融安全再受拷问,信融财富、宝点网和立业贷等多家P2P平台本周同时遭受黑客流量攻击,造成网站无法打开或访问速度缓慢。根据世界反黑客组织的通报,中国P2P平台已成为全世界黑客“宰割的羔羊”。业内人士表示,目前P2P软件提供商鱼龙混杂,不少平台IT系统简单、漏洞多,是被黑客轻易攻击的主要原因。P2P网贷平台对技术的要求不亚于银行,如何解决网贷系统安全问题,事关P2P平台公司的存亡。
“6月15日11时04分至16日9时,信融财富官网遭受到恶意流量攻击,造成网站无法访问的情况。”深圳P2P平台信融财富发布公告称,其官网遭到了黑 客大规模DDOS恶意流量攻击,使平台网站访问受到影响,平台已于第一时间启动应急防御措施。几乎与此同时,另外两家平台宝点网和立业贷也均遭到了大规模黑客攻击。
技术原因:P2P网贷平台其技术要求不亚于银行,甚至比银行还要高。但现实情况是,大多数P2P网贷平台无论在架构、数据库、安全防范方面,应对黑客的攻击能力几乎为零。
事件七 约10万条高考生信息泄露(2015.8)
来源:新浪新闻中心
据新华社电“不管考多少分,都有机会在名校上大学,享受普通本科生一样的资源和待遇。”高考录取工作结束之际,一些不法分子利用非法获取的高考生信息通过电话进行招生诈骗。武汉警方日前查获约10万条泄露的高考生信息,涉嫌用于招生诈骗。这些信息涉及约10万名考生,遍及13个省区市。
据知情人士介绍,高考生信息在网上被肆意出售。10万条信息标价1万元,平均每一条信息价格为0.1元。这些信息被一些不法分子购买后用来进行招生诈骗,也就是常说的“低分高录”。骗子自称是招生院校或省招办某领导的熟人,声称有办法让不够第一批本科线的考生到第一批本科院校就读。
技术原因:教育考试报名系统中包含大量考生个人隐私信息,需要进行数据库安全防护,确保敏感数据不会泄露。
事件八 大麦网600多万用户账号密码泄露 数据已被售卖(2015.8)
来源:新浪科技
8月27日,乌云漏洞报告平台发布报告显示,线上票务营销平台大麦网再次被发现存在安全漏洞,600余万用户账户密码遭到泄露。
起初发现有大麦网用户数据库在黑产论坛被公开售卖,于是对泄露的用户数据进行验证,发现相邻账号的用户ID也是连续的,并均可登录。因此,丛技术的角度可以初步证明本次大麦网的数据泄露有被拖库嫌疑(网站用户注册信息数据库被黑客窃取)。
技术原因:大麦网前台应用有程序漏洞,主要原因是疑被“拖库”,指从数据库中导出数据,现指网站遭到入侵后,黑客窃取其数据库。
事件九 内蒙古19万考生信息泄露(2015.9)
来源:京华网
据新华社电内蒙古自治区教育招生考试中心透露,内蒙古19万名高考考生信息近日遭泄露。9月2日上午得知此事后,教育招生考试中心立即组织人员进行研判,并确认网传信息基本属实。随后,该单位立即报警,希望警方进行彻查。
这些信息中包括考生的姓名、身份证号码及其父母姓名、电话,名单覆盖了内蒙古自治区的12个盟市,数量最多的地方达4万多条。
技术原因:经过认真分析,基本可确定考生信息遭泄露原因大致有三种可能性,分别为“黑客”攻击、“内鬼”泄露和中介机构或组织“人工”搜集。
事件十 过亿邮箱用户数据泄露? 网易称遭黑客“撞库”(2015.10)
来源:新浪科技
10月19日,乌云漏洞报告平台接到一起惊人的数据泄密报告后 发布新漏洞,漏洞显示网易用户数据库疑似泄露,影响到网易163、126邮箱过亿数据,泄露信息包括用户名、密码、密码密保信息、登录IP以及用户生日等。乌云方面指出,前不久,有不少网友抱怨称自己的iCloud帐号被黑,绑定的iPhone手机被锁敲诈等,他们共都采用了网易邮箱作为iCloud帐号。
技术原因:这次网易邮箱遭黑客“撞库”,指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,批量尝试登陆其他网站。很多用户在不同网站使用相同用户和密码,因此黑客可通过获取用户A网站的账户从而尝试登陆B网站。
事件十一 伟易达被曝480万家长及儿童信息泄露(2015.11)
来源:安全比特网
世界最大的电子玩具生产商之一伟易达集团(VTech)于11月27日指出,11 月 14 日黑客入侵了 Learning Lodge 的客户资料库,但在接受报章查询时不肯透露实际人数,只表示有香港客户受影响;然而国外媒体 Motherboard 表示,他收到黑客入侵 VTech 的客户资料,当中有大约500万个家长和超过20万个小童的资料,包括姓名、电邮地址、密码和个人住址。
技术原因:目前VTech仍然使用较为落后的技术开发平台,包括像ASP.NET 2.0框架, WCF, SOAP, 以及众多的 Flash。同时VTech的官网以及注册网站没有使用像SSL等安全通信协议技术。经过对VTech其中一个端口的扫描探测分析,也发现了可通过SQL查询可获取相关调试信息的漏洞。
事件十二 申通被曝13个安全漏洞 黑客窃取3万多客户信息(2015.12)
来源:搜狐新闻
黑客利用申通快递公司的管理系统漏洞,侵入该公司服务器,非法获取了3万余条个人信息之后非法出售。在乌云平台我们发现,2013年以来,该平台至少公布了申通公司与信息泄露隐患有关的漏洞报告13篇,涉及系统弱口令、服务器目录、管理后台、快递短信等各个方面,其中9份报告被标注的危害等级为“高”。
技术原因:之所以选申通K8速运管理系统下手,并得以利用其漏洞,是因为在“乌云网”上看到了公布出来的申通公司的系统漏洞。据不完全统计,“乌云网”公布的安全漏洞达77848个。一位IT技术员表示:“如果黑客对‘乌云网’公布的漏洞有兴趣,那么只要知道企业名字和大概漏洞消息源头,侵入这个企业,不是难事。”
小结
随着网络安全事件频繁,一大批漏洞挖掘平台涌现出来,漏洞盒子、乌云、阿里云云盾“先知计划”、360补天等,既有第三方也有BAT巨头。同时诞生了一大批通过挖漏洞赚钱、甚至以此为职业的白帽黑客。
基于此,国家互联网应急中心(CNCERT)与国内32家互联网和安全公司共同签署了《中国互联网协会漏洞信息披露和处置自律公约》,以行业自律的方式共同规范安全漏洞信息的接收、处置和发布的公约。
“十三五”规划建议提出要实施大数据和网络强国战略,在政策的大力推动下,网络安全作为其重要组成部分将迎来快速发展机遇。我国在网络安全方面的投入占整个IT比重仅为2%左右,远低于欧美国家10%左右的水平,潜在发展空间将达千亿级别。
安华金和数据库安全专家分析2015年verizon数据泄漏调查报告和全年的数据安全事件,可以发现以下几个数据泄漏的原因:
使用失窃账户密码依然是非法获取信息的最主要途径,三分之二的数据泄露都与漏洞或失窃密码有关,位列前排的分别是双因子认证以及web services 的补丁;
发现大多数企业的安全管理和防护都无法跟上网络犯罪的脚步,入侵企业只需要数分钟或数小时,而企业发现和识别攻击则需要数周甚至数月。
虽然外部工具远超过内部威胁,但与知识产权有关相关时,内部攻击有抬头趋势。作为专业的数据库安全专家,安华金和建议从以下几点措施来实现数据的安全防护:
措施一:通过数据库漏扫定期对数据库进行安全巡检,发现数据库使用中的安全隐患,及时人工进行加固;
措施二:安全管理员要了解本单位数据库中的数据资产,采取有针对性的安全防御措施,通过对数据库中的敏感字段加密存储,防“拖库”;
措施三:通过数据库防火墙实现数据库的外围防御圈,构建数据库的可信访问环境;
网络上可信:串联数据库防火墙后,黑客无法绕过数据库防火墙直接访问数据库。
应用服务器可信:通过IP/MAC绑定,确保只有授权服务器、设备访问数据库。
措施四:底线防守,超过阀值限制的批量查询操作拦截,绕过合法应用的访问阻断,禁止本地登录;
措施五:对数据库的敏感操作,一定要全部记入审计记录,如果出现违规操作可以通过事后追责定责。
数据库已经成为数据泄漏的重灾区,在核心数据掌握企业命脉的年代,数据库的防护成为整个安防体系中不可或缺的环节。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。