• 深度
  • 行業
  • 行業
  • 互動

禍起蕭墻 從“5.26信息泄露案”談銀行征信系統數據庫安全防護

安華金和 2016-10-20

一. 摘要

近期,公安部掛牌督辦的“5.26侵犯公民個人信息案”告破,引起社會和媒體的廣泛關注。本次涉案金額高達230余萬元,泄露公民個人銀行信息257萬余條。與前期曝出的信息泄露事件不同,本次案件不僅涉及巨量的公民個人銀行信息,更重要的是此案中的關鍵人物夏某竟是一位銀行行長。

下面帶領大家簡單回顧下整個案件中信息泄露的過程。

二. 還原案發過程

5.26侵犯公民個人信息案主要涉及3個團伙:

1、號主團伙:掌握有銀行征信系統賬號,主要以“出租”賬號獲利。

2、出單團伙:能夠登錄銀行征信系統內部網絡,獲取賬號后,通過銀行內部網絡登錄銀行征信系統,下載公民金融數據,然后出售獲利;

3、中間商團伙:通過倒賣公民金融信息獲利。

從團伙構成不難發現,這是典型的銀行內部人員與黑產人員的共同犯案。通過銀行征信系統盜取用戶個人信息,再到用戶接到騷擾推銷電話,整個過程可以分為4步。筆者用更為直觀的犯案路線圖呈現全部過程。

實施犯罪的步驟詳解

1、紅線是第一步:個人征信信息應用系統賬號外泄

夏某利用自己湖南省邵陽市某農商銀行支行長的權利,擅自修改該支行登錄征信信息中心應用的密碼后,將登陸賬號進行租用式販賣。賬號經姚某被販賣至從事黑產的吳某。再通過胡某將登陸賬號賣至出單團伙中的鄒某等。至此銀行征信系統登陸賬號已經流到黑產人員手中。下一步就是如何利用征信賬號進行數據盜取。

2、藍線是第二步:出單團伙利用征信系統賬號密碼盜取用戶信息

銀行的征信系統是一個內網系統,走專線,外網無法訪問。故此出單團伙鄒某找到遼寧省某中信支行的員工戴某和韓某。二人利用中信銀行的專線訪問征信系統,使用夏某的賬號和密碼非法登入到征信系統中,利用第三方工具批量獲取數據。

3、綠線是第三步:用戶個人信息通過層層黑產人員流向最終客戶貸款公司或詐騙公司。

出單團伙拿到數據后再向黑產圈子中的各級數據商進行分銷。本案中已知鄒某至少把數據分銷給了6名中間商。6名中間商再向下一集分銷商分銷用戶信息或直接把用戶信息出售給詐騙團伙或相關公司。

4、紫線是第四步:銷售人員利用手中掌握的信息對被害人進行惡意推銷

本案中的綿陽市楊女士陸續收到的小額貸公司電話,正是不法分子利用數據信息實施精準推銷。

三. 從犯案過程看暴露出的安全漏洞

通過分析犯案過程,筆者發現本案例中銀行征信系統存在兩個安全隱患點:

1、缺乏對IP和征信系統用戶名之間的安全綁定,沒有發現異常登錄行為。

每個支行訪問征信系統時都使用專線。征信系統可以獲取用戶名和請求ip。專線的ip是固定的,與用戶名一一對應。本例中銀行行長夏某出售的是湖南省邵陽市某農商銀行的賬號,然而最終在遼寧省某中信支行登銀行征信系統。在此過程中,征信系統一旦發現訪問ip和所用賬號不符合關系表,應當立即向管理人員進行告警,確認登陸是否異常。如果該案例中征信中心做了IP和用戶名的綁定,應該可以有效阻止銀行內部人員韓某和戴某盜取數據。

2、缺乏對特征數據庫行為異常的識別能力。

案例中夏某的賬號有效期只有2-3天。韓某和戴某在三天內,利用第三方工具獲取公民個人征信信息50余萬份。相當于1天查詢量達到16萬份。這樣的日查詢量對于一個支行網點來說顯然屬于異常行為。短期下載大量數據無外乎兩種方式,一種是批量下載,一種是高頻下載。無論哪種方式,無疑和銀行征信系統數據庫日常處理的數據量及模式存在巨大差異。征信系統數據庫卻并沒有針對這種異常的查詢進行及時告警,甚至直接阻斷。

四. 從安全漏洞隱患提出防護建議

基于上述兩個安全隱患,安華金和數據庫安全專家提出兩點防護建議。

數據庫審計系統旁路部署于應用服務器與數據庫服務器。對數據庫進行實時監測,對異常訪問行為,例如異常登錄,批量操作進行實時告警。

數據庫防火墻部署于應用服務器與數據庫服務器間部署,將賬戶與IP地址進行綁定,從而實現賬號的訪問控制,必要時進行數據庫訪問行數閥值控制。

五. 總結

征信系統信息被盜事件雖已告破,但他給我們留下了深刻的反思,數據安全已刻不容緩。如今,當安全威脅逐漸由外部轉向內部,我們看到,涉案的內部人員出現越來越多的高級管理人員。在利益的驅使下,人心難防。在提高人員素質的同時,更要加強系統對內的安全防護能力。每一個看似不起眼的安全漏洞,都可能最終導致數據泄露。

 

(免責聲明:此文內容為第三方自媒體作者發布的觀察或評論性文章,所有文字和圖片版權歸作者所有,且僅代表作者個人觀點,與極客網無關。文章僅供讀者參考,并請自行核實相關內容。投訴郵箱:editor@fromgeek.com)

來源:極客網

  • 安華金和
    郵箱:caoceng@fromgeek.com
    安華金和專注于數據庫安全領域,由長期致力于數據庫內核研發和信息安全領域的專業資深人員共同創造,是國內領先的,提供全面的數據庫安全產品、服務和解決方案服務商,覆蓋數據庫安全防護的事前檢查、事中控制和事后審核,幫助用戶全面實現數據庫安全防護和安全合規。安華金和數據庫安全產品,已經廣泛地應用于政府、社保、軍隊、軍工、運營商、金融、醫療、企業信息防護等領域。
    分享本文到