禍起蕭墻 從“5.26信息泄露案”談銀行征信系統(tǒng)數(shù)據(jù)庫(kù)安全防護(hù)

一. 摘要

近期，公安部掛牌督辦的“5.26侵犯公民個(gè)人信息案”告破，引起社會(huì)和媒體的廣泛關(guān)注。本次涉案金額高達(dá)230余萬(wàn)元，泄露公民個(gè)人銀行信息257萬(wàn)余條。與前期曝出的信息泄露事件不同，本次案件不僅涉及巨量的公民個(gè)人銀行信息，更重要的是此案中的關(guān)鍵人物夏某竟是一位銀行行長(zhǎng)。

下面帶領(lǐng)大家簡(jiǎn)單回顧下整個(gè)案件中信息泄露的過(guò)程。

二. 還原案發(fā)過(guò)程

5.26侵犯公民個(gè)人信息案主要涉及3個(gè)團(tuán)伙：

1、號(hào)主團(tuán)伙：掌握有銀行征信系統(tǒng)賬號(hào)，主要以“出租”賬號(hào)獲利。

2、出單團(tuán)伙：能夠登錄銀行征信系統(tǒng)內(nèi)部網(wǎng)絡(luò)，獲取賬號(hào)后，通過(guò)銀行內(nèi)部網(wǎng)絡(luò)登錄銀行征信系統(tǒng)，下載公民金融數(shù)據(jù)，然后出售獲利；

3、中間商團(tuán)伙：通過(guò)倒賣(mài)公民金融信息獲利。

從團(tuán)伙構(gòu)成不難發(fā)現(xiàn)，這是典型的銀行內(nèi)部人員與黑產(chǎn)人員的共同犯案。通過(guò)銀行征信系統(tǒng)盜取用戶(hù)個(gè)人信息，再到用戶(hù)接到騷擾推銷(xiāo)電話(huà)，整個(gè)過(guò)程可以分為4步。筆者用更為直觀的犯案路線(xiàn)圖呈現(xiàn)全部過(guò)程。

實(shí)施犯罪的步驟詳解

1、紅線(xiàn)是第一步：個(gè)人征信信息應(yīng)用系統(tǒng)賬號(hào)外泄

夏某利用自己湖南省邵陽(yáng)市某農(nóng)商銀行支行長(zhǎng)的權(quán)利，擅自修改該支行登錄征信信息中心應(yīng)用的密碼后，將登陸賬號(hào)進(jìn)行租用式販賣(mài)。賬號(hào)經(jīng)姚某被販賣(mài)至從事黑產(chǎn)的吳某。再通過(guò)胡某將登陸賬號(hào)賣(mài)至出單團(tuán)伙中的鄒某等。至此銀行征信系統(tǒng)登陸賬號(hào)已經(jīng)流到黑產(chǎn)人員手中。下一步就是如何利用征信賬號(hào)進(jìn)行數(shù)據(jù)盜取。

2、藍(lán)線(xiàn)是第二步：出單團(tuán)伙利用征信系統(tǒng)賬號(hào)密碼盜取用戶(hù)信息

銀行的征信系統(tǒng)是一個(gè)內(nèi)網(wǎng)系統(tǒng)，走專(zhuān)線(xiàn)，外網(wǎng)無(wú)法訪問(wèn)。故此出單團(tuán)伙鄒某找到遼寧省某中信支行的員工戴某和韓某。二人利用中信銀行的專(zhuān)線(xiàn)訪問(wèn)征信系統(tǒng)，使用夏某的賬號(hào)和密碼非法登入到征信系統(tǒng)中，利用第三方工具批量獲取數(shù)據(jù)。

3、綠線(xiàn)是第三步：用戶(hù)個(gè)人信息通過(guò)層層黑產(chǎn)人員流向最終客戶(hù)貸款公司或詐騙公司。

出單團(tuán)伙拿到數(shù)據(jù)后再向黑產(chǎn)圈子中的各級(jí)數(shù)據(jù)商進(jìn)行分銷(xiāo)。本案中已知鄒某至少把數(shù)據(jù)分銷(xiāo)給了6名中間商。6名中間商再向下一集分銷(xiāo)商分銷(xiāo)用戶(hù)信息或直接把用戶(hù)信息出售給詐騙團(tuán)伙或相關(guān)公司。

4、紫線(xiàn)是第四步：銷(xiāo)售人員利用手中掌握的信息對(duì)被害人進(jìn)行惡意推銷(xiāo)

本案中的綿陽(yáng)市楊女士陸續(xù)收到的小額貸公司電話(huà)，正是不法分子利用數(shù)據(jù)信息實(shí)施精準(zhǔn)推銷(xiāo)。

三. 從犯案過(guò)程看暴露出的安全漏洞

通過(guò)分析犯案過(guò)程，筆者發(fā)現(xiàn)本案例中銀行征信系統(tǒng)存在兩個(gè)安全隱患點(diǎn)：

1、缺乏對(duì)IP和征信系統(tǒng)用戶(hù)名之間的安全綁定，沒(méi)有發(fā)現(xiàn)異常登錄行為。

每個(gè)支行訪問(wèn)征信系統(tǒng)時(shí)都使用專(zhuān)線(xiàn)。征信系統(tǒng)可以獲取用戶(hù)名和請(qǐng)求ip。專(zhuān)線(xiàn)的ip是固定的，與用戶(hù)名一一對(duì)應(yīng)。本例中銀行行長(zhǎng)夏某出售的是湖南省邵陽(yáng)市某農(nóng)商銀行的賬號(hào)，然而最終在遼寧省某中信支行登銀行征信系統(tǒng)。在此過(guò)程中，征信系統(tǒng)一旦發(fā)現(xiàn)訪問(wèn)ip和所用賬號(hào)不符合關(guān)系表，應(yīng)當(dāng)立即向管理人員進(jìn)行告警，確認(rèn)登陸是否異常。如果該案例中征信中心做了IP和用戶(hù)名的綁定，應(yīng)該可以有效阻止銀行內(nèi)部人員韓某和戴某盜取數(shù)據(jù)。

2、缺乏對(duì)特征數(shù)據(jù)庫(kù)行為異常的識(shí)別能力。

案例中夏某的賬號(hào)有效期只有2-3天。韓某和戴某在三天內(nèi)，利用第三方工具獲取公民個(gè)人征信信息50余萬(wàn)份。相當(dāng)于1天查詢(xún)量達(dá)到16萬(wàn)份。這樣的日查詢(xún)量對(duì)于一個(gè)支行網(wǎng)點(diǎn)來(lái)說(shuō)顯然屬于異常行為。短期下載大量數(shù)據(jù)無(wú)外乎兩種方式，一種是批量下載，一種是高頻下載。無(wú)論哪種方式，無(wú)疑和銀行征信系統(tǒng)數(shù)據(jù)庫(kù)日常處理的數(shù)據(jù)量及模式存在巨大差異。征信系統(tǒng)數(shù)據(jù)庫(kù)卻并沒(méi)有針對(duì)這種異常的查詢(xún)進(jìn)行及時(shí)告警，甚至直接阻斷。

四. 從安全漏洞隱患提出防護(hù)建議

基于上述兩個(gè)安全隱患，安華金和數(shù)據(jù)庫(kù)安全專(zhuān)家提出兩點(diǎn)防護(hù)建議。

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)旁路部署于應(yīng)用服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器。對(duì)數(shù)據(jù)庫(kù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，對(duì)異常訪問(wèn)行為，例如異常登錄，批量操作進(jìn)行實(shí)時(shí)告警。

數(shù)據(jù)庫(kù)防火墻部署于應(yīng)用服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器間部署，將賬戶(hù)與IP地址進(jìn)行綁定，從而實(shí)現(xiàn)賬號(hào)的訪問(wèn)控制，必要時(shí)進(jìn)行數(shù)據(jù)庫(kù)訪問(wèn)行數(shù)閥值控制。

五. 總結(jié)

征信系統(tǒng)信息被盜事件雖已告破，但他給我們留下了深刻的反思，數(shù)據(jù)安全已刻不容緩。如今，當(dāng)安全威脅逐漸由外部轉(zhuǎn)向內(nèi)部，我們看到，涉案的內(nèi)部人員出現(xiàn)越來(lái)越多的高級(jí)管理人員。在利益的驅(qū)使下，人心難防。在提高人員素質(zhì)的同時(shí)，更要加強(qiáng)系統(tǒng)對(duì)內(nèi)的安全防護(hù)能力。每一個(gè)看似不起眼的安全漏洞，都可能最終導(dǎo)致數(shù)據(jù)泄露。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。