禍起蕭墻 從“5.26信息泄露案”談銀行征信系統(tǒng)數(shù)據(jù)庫(kù)安全防護(hù)

一. 摘要

近期,公安部掛牌督辦的“5.26侵犯公民個(gè)人信息案”告破,引起社會(huì)和媒體的廣泛關(guān)注。本次涉案金額高達(dá)230余萬元,泄露公民個(gè)人銀行信息257萬余條。與前期曝出的信息泄露事件不同,本次案件不僅涉及巨量的公民個(gè)人銀行信息,更重要的是此案中的關(guān)鍵人物夏某竟是一位銀行行長(zhǎng)。

下面帶領(lǐng)大家簡(jiǎn)單回顧下整個(gè)案件中信息泄露的過程。

二. 還原案發(fā)過程

5.26侵犯公民個(gè)人信息案主要涉及3個(gè)團(tuán)伙:

1、號(hào)主團(tuán)伙:掌握有銀行征信系統(tǒng)賬號(hào),主要以“出租”賬號(hào)獲利。

2、出單團(tuán)伙:能夠登錄銀行征信系統(tǒng)內(nèi)部網(wǎng)絡(luò),獲取賬號(hào)后,通過銀行內(nèi)部網(wǎng)絡(luò)登錄銀行征信系統(tǒng),下載公民金融數(shù)據(jù),然后出售獲利;

3、中間商團(tuán)伙:通過倒賣公民金融信息獲利。

從團(tuán)伙構(gòu)成不難發(fā)現(xiàn),這是典型的銀行內(nèi)部人員與黑產(chǎn)人員的共同犯案。通過銀行征信系統(tǒng)盜取用戶個(gè)人信息,再到用戶接到騷擾推銷電話,整個(gè)過程可以分為4步。筆者用更為直觀的犯案路線圖呈現(xiàn)全部過程。

實(shí)施犯罪的步驟詳解

1、紅線是第一步:個(gè)人征信信息應(yīng)用系統(tǒng)賬號(hào)外泄

夏某利用自己湖南省邵陽市某農(nóng)商銀行支行長(zhǎng)的權(quán)利,擅自修改該支行登錄征信信息中心應(yīng)用的密碼后,將登陸賬號(hào)進(jìn)行租用式販賣。賬號(hào)經(jīng)姚某被販賣至從事黑產(chǎn)的吳某。再通過胡某將登陸賬號(hào)賣至出單團(tuán)伙中的鄒某等。至此銀行征信系統(tǒng)登陸賬號(hào)已經(jīng)流到黑產(chǎn)人員手中。下一步就是如何利用征信賬號(hào)進(jìn)行數(shù)據(jù)盜取。

2、藍(lán)線是第二步:出單團(tuán)伙利用征信系統(tǒng)賬號(hào)密碼盜取用戶信息

銀行的征信系統(tǒng)是一個(gè)內(nèi)網(wǎng)系統(tǒng),走專線,外網(wǎng)無法訪問。故此出單團(tuán)伙鄒某找到遼寧省某中信支行的員工戴某和韓某。二人利用中信銀行的專線訪問征信系統(tǒng),使用夏某的賬號(hào)和密碼非法登入到征信系統(tǒng)中,利用第三方工具批量獲取數(shù)據(jù)。

3、綠線是第三步:用戶個(gè)人信息通過層層黑產(chǎn)人員流向最終客戶貸款公司或詐騙公司。

出單團(tuán)伙拿到數(shù)據(jù)后再向黑產(chǎn)圈子中的各級(jí)數(shù)據(jù)商進(jìn)行分銷。本案中已知鄒某至少把數(shù)據(jù)分銷給了6名中間商。6名中間商再向下一集分銷商分銷用戶信息或直接把用戶信息出售給詐騙團(tuán)伙或相關(guān)公司。

4、紫線是第四步:銷售人員利用手中掌握的信息對(duì)被害人進(jìn)行惡意推銷

本案中的綿陽市楊女士陸續(xù)收到的小額貸公司電話,正是不法分子利用數(shù)據(jù)信息實(shí)施精準(zhǔn)推銷。

三. 從犯案過程看暴露出的安全漏洞

通過分析犯案過程,筆者發(fā)現(xiàn)本案例中銀行征信系統(tǒng)存在兩個(gè)安全隱患點(diǎn):

1、缺乏對(duì)IP和征信系統(tǒng)用戶名之間的安全綁定,沒有發(fā)現(xiàn)異常登錄行為。

每個(gè)支行訪問征信系統(tǒng)時(shí)都使用專線。征信系統(tǒng)可以獲取用戶名和請(qǐng)求ip。專線的ip是固定的,與用戶名一一對(duì)應(yīng)。本例中銀行行長(zhǎng)夏某出售的是湖南省邵陽市某農(nóng)商銀行的賬號(hào),然而最終在遼寧省某中信支行登銀行征信系統(tǒng)。在此過程中,征信系統(tǒng)一旦發(fā)現(xiàn)訪問ip和所用賬號(hào)不符合關(guān)系表,應(yīng)當(dāng)立即向管理人員進(jìn)行告警,確認(rèn)登陸是否異常。如果該案例中征信中心做了IP和用戶名的綁定,應(yīng)該可以有效阻止銀行內(nèi)部人員韓某和戴某盜取數(shù)據(jù)。

2、缺乏對(duì)特征數(shù)據(jù)庫(kù)行為異常的識(shí)別能力。

案例中夏某的賬號(hào)有效期只有2-3天。韓某和戴某在三天內(nèi),利用第三方工具獲取公民個(gè)人征信信息50余萬份。相當(dāng)于1天查詢量達(dá)到16萬份。這樣的日查詢量對(duì)于一個(gè)支行網(wǎng)點(diǎn)來說顯然屬于異常行為。短期下載大量數(shù)據(jù)無外乎兩種方式,一種是批量下載,一種是高頻下載。無論哪種方式,無疑和銀行征信系統(tǒng)數(shù)據(jù)庫(kù)日常處理的數(shù)據(jù)量及模式存在巨大差異。征信系統(tǒng)數(shù)據(jù)庫(kù)卻并沒有針對(duì)這種異常的查詢進(jìn)行及時(shí)告警,甚至直接阻斷。

四. 從安全漏洞隱患提出防護(hù)建議

基于上述兩個(gè)安全隱患,安華金和數(shù)據(jù)庫(kù)安全專家提出兩點(diǎn)防護(hù)建議。

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)旁路部署于應(yīng)用服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器。對(duì)數(shù)據(jù)庫(kù)進(jìn)行實(shí)時(shí)監(jiān)測(cè),對(duì)異常訪問行為,例如異常登錄,批量操作進(jìn)行實(shí)時(shí)告警。

數(shù)據(jù)庫(kù)防火墻部署于應(yīng)用服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器間部署,將賬戶與IP地址進(jìn)行綁定,從而實(shí)現(xiàn)賬號(hào)的訪問控制,必要時(shí)進(jìn)行數(shù)據(jù)庫(kù)訪問行數(shù)閥值控制。

五. 總結(jié)

征信系統(tǒng)信息被盜事件雖已告破,但他給我們留下了深刻的反思,數(shù)據(jù)安全已刻不容緩。如今,當(dāng)安全威脅逐漸由外部轉(zhuǎn)向內(nèi)部,我們看到,涉案的內(nèi)部人員出現(xiàn)越來越多的高級(jí)管理人員。在利益的驅(qū)使下,人心難防。在提高人員素質(zhì)的同時(shí),更要加強(qiáng)系統(tǒng)對(duì)內(nèi)的安全防護(hù)能力。每一個(gè)看似不起眼的安全漏洞,都可能最終導(dǎo)致數(shù)據(jù)泄露。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2016-10-20
禍起蕭墻 從“5.26信息泄露案”談銀行征信系統(tǒng)數(shù)據(jù)庫(kù)安全防護(hù)
近期,公安部掛牌督辦的“5 26侵犯公民個(gè)人信息案”告破,引起社會(huì)和媒體的廣泛關(guān)注。本次涉案金額高達(dá)230余萬元,泄露公民個(gè)人銀行信息257萬余條。與前期曝出的信息泄露事件不同,本次案件不僅涉及巨量的公民個(gè)人銀行信息,更重要的是此案中的關(guān)鍵人物夏某竟是一位銀行行長(zhǎng)。

長(zhǎng)按掃碼 閱讀全文