從順豐系列數(shù)據(jù)泄露事件 看我國企業(yè)IT系統(tǒng)建設的安全軟肋

8月26日，順豐速遞湖南分公司宋某在深圳南山區(qū)人民法院受審，被指控罪名為：侵犯公民個人信息罪。泄露過程粗暴而簡單：宋某將公司業(yè)務系統(tǒng)的賬號密碼出售給他人，導致大量客戶個人信息泄露。筆者翻閱了公開披露的司法文書，發(fā)現(xiàn)宋某事件并不是個例，即使作為快遞行業(yè)的領頭羊，順豐也無可避免的出現(xiàn)過多次客戶信息泄露事件。

為了支撐超大規(guī)模分布、實時性極高的調度要求，順豐實施了強大的IT系統(tǒng)建設，然而多次數(shù)據(jù)泄露事件卻無情的揭露了這家物流巨頭在數(shù)據(jù)安全管理方面的顯著問題，不單是順豐，這也是我國成長中的IT系統(tǒng)建設的縮影：先建基礎信息系統(tǒng)，再逐步完善IT架構的建設思路，為如今頻發(fā)的數(shù)據(jù)泄露事件埋下了深坑。

本文只從技術角度對泄露事件進行分析，并提出一些可行的解決思路，希望可以起到拋磚引玉的作用。筆者能力所限，如果存在謬誤還望大家不吝賜教。

案情回顧

本文列舉五個典型案例，由點及面，分析順豐可能存在的安全隱患。

案例1. 公司網(wǎng)站賬號密碼泄露

2016年8月26日，湖南省長沙市順豐速遞有限公司宋任宇，將個人所掌握的公司網(wǎng)站賬號及密碼出售他人，造成泄露的順豐用戶個人信息大量泄露。

案例2. 編寫惡意程序批量下載客戶信息

2016年7月東莞市石碣分部倉管員陳洋伙同楊維保，利用楊維保編寫的APP軟件批量下載客戶個人信息，一年間盜取10萬余條。

案例3. 內部人員大批量查詢客戶信息

2015年深圳多名順豐客戶接到詐騙電話，接舉報，順豐公司反查單號發(fā)現(xiàn)有員工一月間查詢客戶記錄高達2.8萬條，并多次利用他人賬號查詢信息。

案例4. 通過購買內部辦公系統(tǒng)地址、賬號及密碼，侵入系統(tǒng)盜取信息

2013年，楊某等人在互聯(lián)網(wǎng)上購買順豐內部網(wǎng)絡系統(tǒng)登錄地址、用戶名及密碼。通過無線網(wǎng)絡侵入順豐內部辦公系統(tǒng)，批量下載客戶個人信息及快遞記錄，非法販賣從中牟利。截至案發(fā)，楊某等人共非法獲取個人信息180萬余條。

案例5. 總部研發(fā)人員從數(shù)據(jù)庫直接導出客戶信息

2013年順豐的深圳福田總部，研發(fā)工程師嚴某利用職務之便，從順豐公司數(shù)據(jù)庫眾直接導出客戶個人信息，進行出售。

從順豐IT系統(tǒng)架構中找“嫌疑人”

我們發(fā)現(xiàn)多起案件的泄露來源涉及順豐不同系統(tǒng)模塊，在分析案例前，筆者先去了解了順豐的業(yè)務流程及核心應用系統(tǒng)。

ASURA（阿修羅）系統(tǒng)，順豐以此為核心構建了龐大的全自動貨物調配系統(tǒng)。每位員工分配賬號，每個崗位僅開放阿修羅系統(tǒng)相關權限，而上述5個案例卻是通過不同業(yè)務端進入系統(tǒng)盜取數(shù)據(jù)，實施犯罪。

下圖中橙色方框內是順豐內網(wǎng)系統(tǒng)，以ASURA為核心，關聯(lián)營運貨物跟蹤、客戶關系管理、數(shù)據(jù)存儲中心、呼叫調度中心等若干業(yè)務系統(tǒng)。

黃線部分是順豐的主要業(yè)務流程：快件收發(fā)、快件中轉、快件派送。

綠線是各個網(wǎng)點與及GPS服務與ASURA系統(tǒng)間的訪問交互，用于管理查詢快件信息和分配工作。

紫線的訪問路徑支撐順豐的網(wǎng)絡或電話服務，用于客服處理用戶問題、投訴、查詢等個性化需求。

順藤摸瓜，通過分析模塊間的訪問路徑，我們能夠分析出可能存在的數(shù)據(jù)泄露軌跡。

綠線中的“嫌疑人”

整個順豐業(yè)務的主線，也是有最多機會接觸到用戶數(shù)據(jù)的一條路徑。涉及到的角色有三類：快遞員、倉庫管理員和信息錄入員。

快遞員是接觸用戶的第一只手。按照管轄區(qū)域分配，快遞員可以接觸到該區(qū)域用戶所填寫的面單，利用“巴槍”（HHT手持設備）進行接/發(fā)單記錄。每個快遞員會分配一個賬號，可以通過“巴槍”查詢庫管分配到的運單信息，包括客戶個人信息。粗略估計，一名快遞員一天的收發(fā)件數(shù)量在60-70個左右，加之順豐嚴格的“收一派二”制度（收件1小時內，送件2小時內），快件在快遞員手上逗留的時間有限，如果竊取，必然是小規(guī)模的數(shù)據(jù)量。另一方面，順豐快遞收入較同行業(yè)水平普遍高出1到3倍，確實沒太大必要靠販賣數(shù)據(jù)“掙外快”.

第二類有機會接觸到用戶信息的就是倉管員和信息記錄員。信息記錄員負責把面單信息與掃描到ASURA中的數(shù)據(jù)信息進行比對，修改掃描錯誤的單子，因此擁有運單信息的查詢和修改權限。由于此崗位的工作時間一般為下午2點到晚上10點，于是某些順豐錄入員為求工作方便，在家通過遠程VPN遠程登陸公司系統(tǒng)完成工作。異地登錄存在安全隱患，同時相比快遞員，信息記錄員收入較低，并且有部分為兼職和外包人員。案例1中的宋某疑似就是一名信息錄入員，具體會在后面詳細說明。

倉管員同樣會接觸到數(shù)據(jù)。他們與快遞員擁有類似的“巴槍”,但兩者權限不同。倉管巴槍用于快件出入倉、運輸裝車、問題件處理等環(huán)節(jié)。一般情況下，倉管的賬號只能讀取該分站點的物流信息，不能讀取用戶信息，但倉管可以以運單圖片不清楚為由，向上級申請高權限賬號，即可以從ASURA中查詢數(shù)據(jù)，如下圖

紫線中可排除“嫌疑人”

紫色訪問路徑主要應對用戶查詢開通。接線員可以用ASURA對某單進行查詢，但查詢結果只顯示快件狀態(tài)，來電號碼和用戶信息基本無從獲取。

紅線

紅線中的“嫌疑人”

紅線表示ASURA與其他統(tǒng)計分析系統(tǒng)的交互或數(shù)據(jù)處理。工程師是這個環(huán)節(jié)的重要實施人員，在這個環(huán)節(jié)中，通過測試庫和統(tǒng)計平臺他們可以輕易獲取大量真實用戶信息。這成為一個很危險的數(shù)據(jù)泄露點。案件5就是這樣一個真實案例。

好了，我們以各崗位職責為線索，通過梳理所有可接觸數(shù)據(jù)的人群，分析他們的工作模式，發(fā)現(xiàn)在現(xiàn)有體制下，錄入員、倉管員和工程師為最易泄露數(shù)據(jù)的人群。這也正對應到材料中的案情分布情況。

從技術角度還原案發(fā)經過

我們發(fā)現(xiàn)，案例1-4中的泄露途徑發(fā)生在黃色路徑上，“嫌疑人”指向倉管員或錄入員身上，案例5則是紅線的問題，可能涉及內部工程師。我們來分析一下他們的作案手段。

案例1

我們推測宋某為順豐錄入員，并且正是使用了VPN遠程訪問ASURA進行數(shù)據(jù)校對和修改，由于宋某清楚自己賬號的所有行為都會被ASURA記錄，為了免責，宋某向不法分子賣出的是自己的VPN賬號和另一名同事的系統(tǒng)賬號，天真的以為即便事情敗漏也不會牽連到自己身上，但最終難逃法律的制裁。

案例2

主角陳洋為順豐集散點的倉庫管，楊維保是順豐的技術工程師，擅長寫APP程序。陳洋讓楊維保編寫了一個針對ASURA接口，模擬巴槍查詢訂單信息的APP.陳洋在自己手機上安裝此APP,通過自己賬號對ASURA進行查詢操作，但由于權限低，無法查詢更詳細的信息。于是陳洋以巴槍掃描圖看不清為由向主管部門多次申請高權限用戶，利用手機APP進行更詳細的信息查詢，直接存入手機中。由于順豐單號存在固定的意義和算法，陳洋甚至可以按照需求有針對性的獲取用戶信息。最終共盜取訂單數(shù)據(jù)十余萬條。

案例3

發(fā)生順豐客戶集體被騙事件后，ASURA進行反查發(fā)現(xiàn)某查詢過該批運單的員工一個月進行了2.8W條運單信息查詢，從而確認該員工盜存在取數(shù)據(jù)行為。

案例4

與前三個案例不同，犯罪人楊某非順豐內部人員，而是向順豐員工購買了內網(wǎng)系統(tǒng)登錄地址、用戶名及密碼。通過連接順豐快遞枝江網(wǎng)點無線網(wǎng)絡進入順豐公司內部，通過ASURA,4個月之間獲取訂單信息約180萬條。

從案發(fā)經過看順豐的安全弱點

1、事后追查or實時告警

我們發(fā)現(xiàn)順豐能夠在事后統(tǒng)計出數(shù)據(jù)泄漏量及泄漏途徑、嫌疑人。這說明順豐的IT系統(tǒng)具備事件發(fā)生后的追查能力，而幾個案件共通的內部人員泄漏點恰恰說明：順豐內部的安全系統(tǒng)缺乏主動預警和安全問題發(fā)現(xiàn)能力；雖然在事后可以通過審計記錄分析追查，但損失無法彌補。

2.如果綁定IP和MAC地址，一切都會不一樣……

順豐集散點的網(wǎng)絡大多采用動態(tài)IP的方式，未實現(xiàn)嚴格的IP管理和Mac地址管理。如果采用靜態(tài)IP和MAC綁定，案例2中陳洋的手機則無法通過WIFI和其臺式機相互通訊，無法進行數(shù)據(jù)盜取的行為（順豐的臺式機禁止USB口）。案例4中如果采用IP靜態(tài)分配，不法分子即便買了路由的賬號和密碼也無法鏈接內網(wǎng)中（靜態(tài)路由不會自動給新加入的設備分配IP,沒有IP無法通訊。）

3.一個賬號不夠就多來幾個！

案例1和案例3中，都出現(xiàn)了多個賬號登陸同一臺機器的情況。由于批量下載的限制，只能使用一次少量條數(shù)的查詢方式，但多個賬號同時使用可以提高盜取數(shù)據(jù)的效率。同時，多賬號訪問可以擾亂審計系統(tǒng)判斷，一定程度上隱藏內鬼行為。

順豐泄漏事件的診斷結果：需要增強綜合安全防護能力

作為全國物流行業(yè)的領頭羊，順豐對于基本的安全措施，特別是便捷安全手段上，確實具備一定的安全基礎，但一系列案件暴露出來的問題，指向同一個痛點：內外人員勾結引起的安全威脅正迅速蔓延。由于我國的早期安全建設主要圍繞邊界安全進行，忽視內部防護的后果正在抵消多年積累的戰(zhàn)果；同時，數(shù)據(jù)黑產的出現(xiàn)，使信息販賣的收入遠高于本職工作，這是內部人員鋌而走險的主要原因。

從安全弱點看解決之道

當你的手里只有一把錘子，會感覺一切的問題都是釘子。筆者多年來從事數(shù)據(jù)庫攻防研究，可以說別無他長，當手握“數(shù)據(jù)庫安全技術”這把唯一的錘，看到順豐的案件，真的只想干一件事：把這枚數(shù)據(jù)泄露的“釘子”砸下來。怎么砸？該是發(fā)揮一技之長的時候了！

上面案例暴露了順豐數(shù)據(jù)庫安全防護四宗罪：

·審計后不做智能分析

·接入新ip缺乏告警

·同一臺IP和用戶未做綁定

·多用戶登入一臺機器不做告警。

針對上述幾個案例的共同特征，通用的解決方案是：基于數(shù)據(jù)庫審計形成綜合安全防護，這里的核心技術兩點：數(shù)據(jù)庫應用關聯(lián)審計和定期統(tǒng)計預警。

應用關聯(lián)設計簡單來說就是把數(shù)據(jù)庫端會話信息和應用端會話信息相互綁定和關聯(lián)。通過數(shù)據(jù)庫端信息判斷用戶，在應用側操作的目的和行為的趨勢。根據(jù)目的和行為趨勢判斷該用戶當下是否異常。發(fā)現(xiàn)異常操作自動向相關部門告警。如下圖所示：

應用關聯(lián)審計產品旁路部署于數(shù)據(jù)存儲中心，實時審計ASURA發(fā)向數(shù)據(jù)存儲中心的數(shù)據(jù)請求。在ASURA上安裝插件，由插件向關聯(lián)審計產品發(fā)送集散點和ASURA之間的應用訪問數(shù)據(jù)。關聯(lián)審計產品把數(shù)據(jù)庫端信息和應用端數(shù)據(jù)相互關聯(lián)。

防護效果

當不法分子使用內部賬號通過ASURA訪問數(shù)據(jù)，此行為會被應用關聯(lián)審計記錄下來。通過審計分析系統(tǒng)的內置分析引擎，每天、每周、每月、每年，應用關聯(lián)審計會針對每個IP賬號進行查詢數(shù)量、查詢間隔、查詢時間進行統(tǒng)計，形成查詢走勢圖，結合同期歷史數(shù)據(jù)做比對。一旦發(fā)現(xiàn)明顯查詢數(shù)據(jù)量增大、查詢間隔存在類似機器的行為、趨勢穩(wěn)定變化等情況即刻向安全部門告警，并提供詳細報表和對比數(shù)據(jù)。

比如案例3中，內部人員一次性下載2.8萬條數(shù)據(jù)，是明顯的異常行為，此時必須迅速進行告警；同時，該員工使用多人賬號登陸，很有可能是在同一臺機器上，這是一個明顯的異常行為，應當及時告警。

如果順豐使用了具備應用關聯(lián)審計、批量下載預警、異常行為發(fā)現(xiàn)能力的數(shù)據(jù)庫訪問審計和風險預警產品，而可以根據(jù)變化快速鎖定問題賬號問題機器；幫助安全部門揪出順豐中的內鬼，減少企業(yè)數(shù)據(jù)泄露的損失。

針對內部技術人員，數(shù)據(jù)庫脫敏系統(tǒng)+數(shù)據(jù)庫運維管控=純凈的數(shù)據(jù)生存環(huán)境

在順豐的系列案件中，有一個比較特殊，案例5中工程師嚴某直接利用自身權限從數(shù)據(jù)庫中下載客戶資料。作為物流行業(yè)的領跑者，在IT系統(tǒng)建設和安全治理方面，順豐的腳步應屬領先。我們更愿意相信，這次的數(shù)據(jù)泄露應該是從測試數(shù)據(jù)庫中下載而非生產庫，但由于測試庫中信息沒有做任何安全處理，才使嚴某直接拿到真實數(shù)據(jù)。

嚴某的例子輻射的不只是順豐的工程師，測試人員、數(shù)據(jù)分析員、第三方開發(fā)人員等都具備類似嚴某的便利條件。由于工作需要可以無限制的從數(shù)據(jù)庫中提取數(shù)據(jù)。而事實上，測試、分析、開發(fā)等場景中，并不需要使用完整的真實信息，完全可以通過數(shù)據(jù)脫敏產品，將敏感信息進行處理后再交由相關人員。

脫敏處理的同時，并不能忽視對數(shù)據(jù)庫的訪問行為進行嚴格的運維管控，對特殊敏感表的批量下載行為要經過嚴格的事前審批和事中監(jiān)控，數(shù)據(jù)本身的安全性及訪問行為的安全管控結合，360度無死角的保護，這樣的數(shù)據(jù)生存環(huán)境才真正純凈。

小結

應用關聯(lián)審計、數(shù)據(jù)庫脫敏、數(shù)據(jù)庫運維管控等多種內部信息訪問審計和監(jiān)控的武器可以幫助企業(yè)打贏信息泄露的攻堅戰(zhàn)。如今，“信息泄露”已經取代木馬、病毒等成為企業(yè)安全第一威脅。同時，主要泄露途徑也由外部黑客入侵逐漸向內外勾結轉變。順豐的5起案件成為最典型的佐證。

隨著數(shù)據(jù)信息的價值逐步攀升，越來越多的“順豐式內鬼”在企業(yè)內部蠢蠢欲動。希望本文給已經面對和即將面對此類問題的企業(yè)一個思考方向。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。