事件十二 申通被曝13个安全漏洞 黑客窃取3万多客户信息(2015.12)
来源:搜狐新闻
黑客利用申通快递公司的管理系统漏洞,侵入该公司服务器,非法获取了3万余条个人信息之后非法出售。在乌云平台我们发现,2013年以来,该平台至少公布了申通公司与信息泄露隐患有关的漏洞报告13篇,涉及系统弱口令、服务器目录、管理后台、快递短信等各个方面,其中9份报告被标注的危害等级为“高”。
技术原因:之所以选申通K8速运管理系统下手,并得以利用其漏洞,是因为在“乌云网”上看到了公布出来的申通公司的系统漏洞。据不完全统计,“乌云网”公布的安全漏洞达77848个。一位IT技术员表示:“如果黑客对‘乌云网’公布的漏洞有兴趣,那么只要知道企业名字和大概漏洞消息源头,侵入这个企业,不是难事。”
小结
随着网络安全事件频繁,一大批漏洞挖掘平台涌现出来,漏洞盒子、乌云、阿里云云盾“先知计划”、360补天等,既有第三方也有BAT巨头。同时诞生了一大批通过挖漏洞赚钱、甚至以此为职业的白帽黑客。
基于此,国家互联网应急中心(CNCERT)与国内32家互联网和安全公司共同签署了《中国互联网协会漏洞信息披露和处置自律公约》,以行业自律的方式共同规范安全漏洞信息的接收、处置和发布的公约。
“十三五”规划建议提出要实施大数据和网络强国战略,在政策的大力推动下,网络安全作为其重要组成部分将迎来快速发展机遇。我国在网络安全方面的投入占整个IT比重仅为2%左右,远低于欧美国家10%左右的水平,潜在发展空间将达千亿级别。
安华金和数据库安全专家分析2015年verizon数据泄漏调查报告和全年的数据安全事件,可以发现以下几个数据泄漏的原因:
使用失窃账户密码依然是非法获取信息的最主要途径,三分之二的数据泄露都与漏洞或失窃密码有关,位列前排的分别是双因子认证以及web services 的补丁;
发现大多数企业的安全管理和防护都无法跟上网络犯罪的脚步,入侵企业只需要数分钟或数小时,而企业发现和识别攻击则需要数周甚至数月。
虽然外部工具远超过内部威胁,但与知识产权有关相关时,内部攻击有抬头趋势。作为专业的数据库安全专家,安华金和建议从以下几点措施来实现数据的安全防护:
措施一:通过数据库漏扫定期对数据库进行安全巡检,发现数据库使用中的安全隐患,及时人工进行加固;
措施二:安全管理员要了解本单位数据库中的数据资产,采取有针对性的安全防御措施,通过对数据库中的敏感字段加密存储,防“拖库”;
措施三:通过数据库防火墙实现数据库的外围防御圈,构建数据库的可信访问环境;
网络上可信:串联数据库防火墙后,黑客无法绕过数据库防火墙直接访问数据库。
应用服务器可信:通过IP/MAC绑定,确保只有授权服务器、设备访问数据库。
措施四:底线防守,超过阀值限制的批量查询操作拦截,绕过合法应用的访问阻断,禁止本地登录;
措施五:对数据库的敏感操作,一定要全部记入审计记录,如果出现违规操作可以通过事后追责定责。
数据库已经成为数据泄漏的重灾区,在核心数据掌握企业命脉的年代,数据库的防护成为整个安防体系中不可或缺的环节。
(责任编辑:安博涛)
