verizon釋出了《2014年度資料洩露調查報告》,報告中回顧了63737起賽博安全事件和1367起已經确認的資料洩漏事件。報告資料顯示:由于資料庫原因産生的資訊洩漏高達25%。盤點2014年發生在國内外的資料洩密事件,探尋其背後的深層技術原因。實際上還有許多洩密事件,或正在調查,或無從确認,或無法公開。可以預見,2015年可能出現更為嚴重的洩露事件。
freebuf科普:什麼是賽博
賽博一詞源于希臘語,意指在掌控或管治方面是很有技能的人、動物和任何東西。美國東西方研究所與莫斯科國立大學情報安全學院成立的聯合工作小組在一份報告中指出,賽博是“資訊”超集的一個子集,人們可以從這一“資訊子集”中獲得“利益”和“好處”。
2014資訊洩露事件盤點
2014年國内外都發生了哪些資訊洩漏事件?這些事件的背後的深層技術原因是什麼?且聽且分析:
春運第一天12306爆使用者資訊洩露漏洞
2014年鐵路春運售票第一天,在經曆了早上當機1小時之後,12306鐵路客戶服務中心網站再次爆發使用者賬号串号的問題,大量使用者身份證等資訊遭洩露。下午15時左右,開始有網友在微網誌上反映,登陸自己帳号後可以看到他人的姓名、身份證号碼、手機号碼等資訊。下午17時34分,新版12306網站出現使用者資料大量洩露的漏洞,并表明危害等級為高。
支付寶前員工販賣20g使用者資料 一條可賣數十元
此則消息引發了使用者對于資訊安全問題的關注,也令網絡資訊販賣産業鍊浮現。一條價值較高的使用者資訊甚至可以被賣至數十元。此次支付寶資訊洩露中,超過20g的海量使用者資訊,被支付寶員工在背景下載下傳并有償出售給電商公司、資料公司。
一二線電商企業本身有完善的使用者資料庫,需要進行嚴格的資料監控,防止資料洩露至黑色交易鍊。此類資訊販賣産業,有的甚至采取公司的運作方式,從網際網路上購買個人或機關資訊,轉賣他人獲利;通過網上購買公民戶籍、住房、車輛等個人資訊為他人提供婚戀、追債、手機定位等服務項目從中獲利;通過網上購買資訊推銷産品;利用自身特殊身份盜竊、騙取公民、企業資訊轉賣獲利。
2000萬開房資訊洩露案開庭
該案件在上海浦東法院第一次開庭審理。原告王金龍起訴漢庭星空(上海)酒店管理有限公司和浙江慧達驿站網絡有限公司,并要求賠償20萬元。“開房資料洩露”事件爆發後,隐私權受到嚴重侵害,還飽受推銷廣告、短信的騷擾。實名認證的新浪微網誌賬戶@股社群 釋出了一個名為“查開房”的網址。隻需輸入姓名或身份證号,即可查詢到包括身份證号、生日、位址、手機号、郵箱、公司、登記日期等真實資訊。
小米陷“洩密”門 業内稱違法成本低是根源
小米論壇“被脫褲”,可能影響小米移動雲等敏感資訊,或導緻使用者資料大量洩漏。随後,烏雲平台再度曝出小米的另一漏洞,稱“小米科技某安全漏洞影響88w+360w資料”,漏洞或導緻使用者資料大量洩漏。随後,小米公司官方回應确認,有部分2012年8月前注冊的論壇賬号資訊被非法擷取。
棱鏡門事件再發酵
由人民出版社出版的《美國是如何監視中國的-美國全球監聽行動紀錄》中披露,中國國内網絡安全權威技術部門檢測發現,美國思科公司的路由器存在嚴重的預置式“後門”。受到美國國安局資訊監視項目-"棱鏡"監控的主要有10類資訊:電郵、即時消息、視訊、照片、存儲資料、語音聊天、檔案傳輸、視訊會議、登入時間和社交網絡資料的細節都被政府監控。通過棱鏡項目,國安局甚至可以實時監控一個人正在進行的網絡搜尋内容。
軟體商“侵”車管所系統“删違”萬餘條
今年,一位多地公安車管系統軟體供應商竟變身“黑客”,勾結“黃牛”,在車管所軟體系統植入程式,專門代人删除交通違章記錄達1.4萬餘條。截止到案發,公安機關查明李某共計非法删除14000餘條交通違章記錄,涉案金額1800餘萬元。作案者利用為車管所軟體系統提供運維技術支援的便利條件,躲避現場監管,将事先編好的删除程式輸入,通過修改公安内網伺服器的網絡配置,避開公安内網報警體系,從網際網路遠端侵入公安網絡系統,非法删除車輛違章記錄上萬條獲利。
國内130萬考研使用者資訊遭洩漏 正被黑産利用
某漏洞平台報道《國内考研130w報名資訊洩漏事件》的漏洞,并表示該漏洞導緻洩露的資訊正在被黑産利用。出售的使用者資訊截止到2014年11月份的130w考研使用者,而且資料已經被多次專賣,經過與賣家了解,資料洩漏了考研使用者的姓名、手機、座機、身份證、住址、郵編、學校、專業等敏感資料,并且表明已經不是第一手資料了。
韓2000萬信用卡資訊洩露 引發“銷戶潮”
南韓發生史上最大規模的信用卡個人資訊洩露事件,kb國民卡、樂天卡及nh農協卡公司的一億多條使用者個人資訊被洩露,三家公司社長全部引咎辭職。信用評級公司職員樸某等在受信用卡公司委托開發電腦程式的過程中,非法收集和洩露上述信用卡公司的1.04億條使用者個人資訊,除了姓名、電話号碼、住所、公司名等,還包含身份證号碼、貸款交易内容、信用卡認可免稅書等5391件敏感的信用資訊,占全部洩露資訊的一半以上。信用資訊作為可以了解顧客的消費模式及習慣的資訊,很容易被金融欺詐電話或強制貸款所利用。
土耳其黑客入侵本國電力系統,怒删貧困地區巨額債務賬單
土耳其黑客組織redhack宣布:他們入侵了電力管理系統,撤銷了soma地區需要付給電力公司的150萬土耳其币的賬單(約合65萬美元)。除了抹去了巨額的債務記錄,redhack小組似乎意猶未盡,還放出了該電力管理系統資料庫的使用者名和密碼,redhack也上傳了一個關于此次事件的記錄視訊,即漫遊電力管理系統網站及删除債務資料的細節。
資料洩密分析
通過2014年verizon資料洩漏調查報告和全年的資料安全事件,可以發現以下幾種資料洩漏原因:
以上事件,不難發現,大多數企業的安全管理和防護都無法跟上網絡犯罪的腳步,入侵隻需要數分鐘或數小時,而企業發現和識别攻擊則需要數周甚至數月。
使用失竊賬戶密碼依然是非法擷取資訊的最主要途徑,三分之二的資料洩露都與漏洞或失竊密碼有關,這進一步凸顯了兩步認證的必要性。
雖然外部攻擊遠超過内部攻擊,但是内部攻擊有擡頭趨勢,尤其是與知識産權有關的内部攻擊。總體來講,version報告發現病毒是第二重要的賽博安全事件,占20%,緊随其後的是内部人員權限濫用(占18%)和實體盜竊/損失(占14%),在資料洩露中,對網頁應用程式的攻擊導緻了35%的資料洩露。内部人員的濫用資料庫存儲的有價值資訊導緻資料資産丢失。
安華金和安全研究人員建議從以下幾點措施來實作資料的安全防護:
措施一:保護核心資料安全,建議使用資料庫風險評估工具,定期對資料庫進行安全風險檢查,發現資料庫使用中的安全隐患,及時人工進行加強;
措施二:安全管理者要了解本機關資料庫中的敏感資訊,采取有針對性的安全防禦措施,對資料庫中的敏感字段進行加密存儲,即使整庫丢失也不會洩密;
措施三:通過網絡上的虛拟更新檔技術對資料庫漏洞的攻擊特征進行識别,及時攔截來自外網的黑客資料庫攻擊;
措施四:運維人員對資料庫中的敏感資料修改,一定要記入審計記錄,如果出現非法篡改行為可以通過事後追責定責;
措施五:對從資料庫批量導出資料的行為、整表删除、不帶條件的更新等惡意行為及時中斷資料庫操作,防止資料庫非法操作行為的發生;
措施六:在應用系統上線前,要對應用和資料庫進行安全風險評估測試,及時發現并修複存在的安全隐患,如:sql注入點、後門程式、緩沖區溢出漏洞等。
原文釋出時間為:2014-12-23
本文來自雲栖社群合作夥伴“大資料文摘”,了解相關資訊可以關注“bigdatadigest”微信公衆号