一. 摘要
近期,公安部掛牌督辦的“5.26侵犯公民個人信息案”告破,引起社會和媒體的廣泛關(guān)注。本次涉案金額高達(dá)230余萬元,泄露公民個人銀行信息257萬余條。與前期曝出的信息泄露事件不同,本次案件不僅涉及巨量的公民個人銀行信息,更重要的是此案中的關(guān)鍵人物夏某竟是一位銀行行長。
下面帶領(lǐng)大家簡單回顧下整個案件中信息泄露的過程。
二. 還原案發(fā)過程
5.26侵犯公民個人信息案主要涉及3個團(tuán)伙:
1、號主團(tuán)伙:掌握有銀行征信系統(tǒng)賬號,主要以“出租”賬號獲利。
2、出單團(tuán)伙:能夠登錄銀行征信系統(tǒng)內(nèi)部網(wǎng)絡(luò),獲取賬號后,通過銀行內(nèi)部網(wǎng)絡(luò)登錄銀行征信系統(tǒng),下載公民金融數(shù)據(jù),然后出售獲利;
3、中間商團(tuán)伙:通過倒賣公民金融信息獲利。
從團(tuán)伙構(gòu)成不難發(fā)現(xiàn),這是典型的銀行內(nèi)部人員與黑產(chǎn)人員的共同犯案。通過銀行征信系統(tǒng)盜取用戶個人信息,再到用戶接到騷擾推銷電話,整個過程可以分為4步。筆者用更為直觀的犯案路線圖呈現(xiàn)全部過程。
實(shí)施犯罪的步驟詳解
1、紅線是第一步:個人征信信息應(yīng)用系統(tǒng)賬號外泄
夏某利用自己湖南省邵陽市某農(nóng)商銀行支行長的權(quán)利,擅自修改該支行登錄征信信息中心應(yīng)用的密碼后,將登陸賬號進(jìn)行租用式販賣。賬號經(jīng)姚某被販賣至從事黑產(chǎn)的吳某。再通過胡某將登陸賬號賣至出單團(tuán)伙中的鄒某等。至此銀行征信系統(tǒng)登陸賬號已經(jīng)流到黑產(chǎn)人員手中。下一步就是如何利用征信賬號進(jìn)行數(shù)據(jù)盜取。
2、藍(lán)線是第二步:出單團(tuán)伙利用征信系統(tǒng)賬號密碼盜取用戶信息
銀行的征信系統(tǒng)是一個內(nèi)網(wǎng)系統(tǒng),走專線,外網(wǎng)無法訪問。故此出單團(tuán)伙鄒某找到遼寧省某中信支行的員工戴某和韓某。二人利用中信銀行的專線訪問征信系統(tǒng),使用夏某的賬號和密碼非法登入到征信系統(tǒng)中,利用第三方工具批量獲取數(shù)據(jù)。
3、綠線是第三步:用戶個人信息通過層層黑產(chǎn)人員流向最終客戶貸款公司或詐騙公司。
出單團(tuán)伙拿到數(shù)據(jù)后再向黑產(chǎn)圈子中的各級數(shù)據(jù)商進(jìn)行分銷。本案中已知鄒某至少把數(shù)據(jù)分銷給了6名中間商。6名中間商再向下一集分銷商分銷用戶信息或直接把用戶信息出售給詐騙團(tuán)伙或相關(guān)公司。
4、紫線是第四步:銷售人員利用手中掌握的信息對被害人進(jìn)行惡意推銷
本案中的綿陽市楊女士陸續(xù)收到的小額貸公司電話,正是不法分子利用數(shù)據(jù)信息實(shí)施精準(zhǔn)推銷。
三. 從犯案過程看暴露出的安全漏洞
通過分析犯案過程,筆者發(fā)現(xiàn)本案例中銀行征信系統(tǒng)存在兩個安全隱患點(diǎn):
1、缺乏對IP和征信系統(tǒng)用戶名之間的安全綁定,沒有發(fā)現(xiàn)異常登錄行為。
每個支行訪問征信系統(tǒng)時都使用專線。征信系統(tǒng)可以獲取用戶名和請求ip。專線的ip是固定的,與用戶名一一對應(yīng)。本例中銀行行長夏某出售的是湖南省邵陽市某農(nóng)商銀行的賬號,然而最終在遼寧省某中信支行登銀行征信系統(tǒng)。在此過程中,征信系統(tǒng)一旦發(fā)現(xiàn)訪問ip和所用賬號不符合關(guān)系表,應(yīng)當(dāng)立即向管理人員進(jìn)行告警,確認(rèn)登陸是否異常。如果該案例中征信中心做了IP和用戶名的綁定,應(yīng)該可以有效阻止銀行內(nèi)部人員韓某和戴某盜取數(shù)據(jù)。
2、缺乏對特征數(shù)據(jù)庫行為異常的識別能力。
案例中夏某的賬號有效期只有2-3天。韓某和戴某在三天內(nèi),利用第三方工具獲取公民個人征信信息50余萬份。相當(dāng)于1天查詢量達(dá)到16萬份。這樣的日查詢量對于一個支行網(wǎng)點(diǎn)來說顯然屬于異常行為。短期下載大量數(shù)據(jù)無外乎兩種方式,一種是批量下載,一種是高頻下載。無論哪種方式,無疑和銀行征信系統(tǒng)數(shù)據(jù)庫日常處理的數(shù)據(jù)量及模式存在巨大差異。征信系統(tǒng)數(shù)據(jù)庫卻并沒有針對這種異常的查詢進(jìn)行及時告警,甚至直接阻斷。
四. 從安全漏洞隱患提出防護(hù)建議
基于上述兩個安全隱患,安華金和數(shù)據(jù)庫安全專家提出兩點(diǎn)防護(hù)建議。
數(shù)據(jù)庫審計系統(tǒng)旁路部署于應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器。對數(shù)據(jù)庫進(jìn)行實(shí)時監(jiān)測,對異常訪問行為,例如異常登錄,批量操作進(jìn)行實(shí)時告警。
數(shù)據(jù)庫防火墻部署于應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器間部署,將賬戶與IP地址進(jìn)行綁定,從而實(shí)現(xiàn)賬號的訪問控制,必要時進(jìn)行數(shù)據(jù)庫訪問行數(shù)閥值控制。
五. 總結(jié)
征信系統(tǒng)信息被盜事件雖已告破,但他給我們留下了深刻的反思,數(shù)據(jù)安全已刻不容緩。如今,當(dāng)安全威脅逐漸由外部轉(zhuǎn)向內(nèi)部,我們看到,涉案的內(nèi)部人員出現(xiàn)越來越多的高級管理人員。在利益的驅(qū)使下,人心難防。在提高人員素質(zhì)的同時,更要加強(qiáng)系統(tǒng)對內(nèi)的安全防護(hù)能力。每一個看似不起眼的安全漏洞,都可能最終導(dǎo)致數(shù)據(jù)泄露。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個大計劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關(guān)注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機(jī)“黑科技”亮相航展:全球首臺低空重力測量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。