禍起蕭墻 從“5.26信息泄露案”談銀行征信系統(tǒng)數(shù)據(jù)庫安全防護

一. 摘要

近期，公安部掛牌督辦的“5.26侵犯公民個人信息案”告破，引起社會和媒體的廣泛關(guān)注。本次涉案金額高達230余萬元，泄露公民個人銀行信息257萬余條。與前期曝出的信息泄露事件不同，本次案件不僅涉及巨量的公民個人銀行信息，更重要的是此案中的關(guān)鍵人物夏某竟是一位銀行行長。

下面帶領(lǐng)大家簡單回顧下整個案件中信息泄露的過程。

二. 還原案發(fā)過程

5.26侵犯公民個人信息案主要涉及3個團伙：

1、號主團伙：掌握有銀行征信系統(tǒng)賬號，主要以“出租”賬號獲利。

2、出單團伙：能夠登錄銀行征信系統(tǒng)內(nèi)部網(wǎng)絡，獲取賬號后，通過銀行內(nèi)部網(wǎng)絡登錄銀行征信系統(tǒng)，下載公民金融數(shù)據(jù)，然后出售獲利；

3、中間商團伙：通過倒賣公民金融信息獲利。

從團伙構(gòu)成不難發(fā)現(xiàn)，這是典型的銀行內(nèi)部人員與黑產(chǎn)人員的共同犯案。通過銀行征信系統(tǒng)盜取用戶個人信息，再到用戶接到騷擾推銷電話，整個過程可以分為4步。筆者用更為直觀的犯案路線圖呈現(xiàn)全部過程。

實施犯罪的步驟詳解

1、紅線是第一步：個人征信信息應用系統(tǒng)賬號外泄

夏某利用自己湖南省邵陽市某農(nóng)商銀行支行長的權(quán)利，擅自修改該支行登錄征信信息中心應用的密碼后，將登陸賬號進行租用式販賣。賬號經(jīng)姚某被販賣至從事黑產(chǎn)的吳某。再通過胡某將登陸賬號賣至出單團伙中的鄒某等。至此銀行征信系統(tǒng)登陸賬號已經(jīng)流到黑產(chǎn)人員手中。下一步就是如何利用征信賬號進行數(shù)據(jù)盜取。

2、藍線是第二步：出單團伙利用征信系統(tǒng)賬號密碼盜取用戶信息

銀行的征信系統(tǒng)是一個內(nèi)網(wǎng)系統(tǒng)，走專線，外網(wǎng)無法訪問。故此出單團伙鄒某找到遼寧省某中信支行的員工戴某和韓某。二人利用中信銀行的專線訪問征信系統(tǒng)，使用夏某的賬號和密碼非法登入到征信系統(tǒng)中，利用第三方工具批量獲取數(shù)據(jù)。

3、綠線是第三步：用戶個人信息通過層層黑產(chǎn)人員流向最終客戶貸款公司或詐騙公司。

出單團伙拿到數(shù)據(jù)后再向黑產(chǎn)圈子中的各級數(shù)據(jù)商進行分銷。本案中已知鄒某至少把數(shù)據(jù)分銷給了6名中間商。6名中間商再向下一集分銷商分銷用戶信息或直接把用戶信息出售給詐騙團伙或相關(guān)公司。

4、紫線是第四步：銷售人員利用手中掌握的信息對被害人進行惡意推銷

本案中的綿陽市楊女士陸續(xù)收到的小額貸公司電話，正是不法分子利用數(shù)據(jù)信息實施精準推銷。

三. 從犯案過程看暴露出的安全漏洞

通過分析犯案過程，筆者發(fā)現(xiàn)本案例中銀行征信系統(tǒng)存在兩個安全隱患點：

1、缺乏對IP和征信系統(tǒng)用戶名之間的安全綁定，沒有發(fā)現(xiàn)異常登錄行為。

每個支行訪問征信系統(tǒng)時都使用專線。征信系統(tǒng)可以獲取用戶名和請求ip。專線的ip是固定的，與用戶名一一對應。本例中銀行行長夏某出售的是湖南省邵陽市某農(nóng)商銀行的賬號，然而最終在遼寧省某中信支行登銀行征信系統(tǒng)。在此過程中，征信系統(tǒng)一旦發(fā)現(xiàn)訪問ip和所用賬號不符合關(guān)系表，應當立即向管理人員進行告警，確認登陸是否異常。如果該案例中征信中心做了IP和用戶名的綁定，應該可以有效阻止銀行內(nèi)部人員韓某和戴某盜取數(shù)據(jù)。

2、缺乏對特征數(shù)據(jù)庫行為異常的識別能力。

案例中夏某的賬號有效期只有2-3天。韓某和戴某在三天內(nèi)，利用第三方工具獲取公民個人征信信息50余萬份。相當于1天查詢量達到16萬份。這樣的日查詢量對于一個支行網(wǎng)點來說顯然屬于異常行為。短期下載大量數(shù)據(jù)無外乎兩種方式，一種是批量下載，一種是高頻下載。無論哪種方式，無疑和銀行征信系統(tǒng)數(shù)據(jù)庫日常處理的數(shù)據(jù)量及模式存在巨大差異。征信系統(tǒng)數(shù)據(jù)庫卻并沒有針對這種異常的查詢進行及時告警，甚至直接阻斷。

四. 從安全漏洞隱患提出防護建議

基于上述兩個安全隱患，安華金和數(shù)據(jù)庫安全專家提出兩點防護建議。

數(shù)據(jù)庫審計系統(tǒng)旁路部署于應用服務器與數(shù)據(jù)庫服務器。對數(shù)據(jù)庫進行實時監(jiān)測，對異常訪問行為，例如異常登錄，批量操作進行實時告警。

數(shù)據(jù)庫防火墻部署于應用服務器與數(shù)據(jù)庫服務器間部署，將賬戶與IP地址進行綁定，從而實現(xiàn)賬號的訪問控制，必要時進行數(shù)據(jù)庫訪問行數(shù)閥值控制。

五. 總結(jié)

征信系統(tǒng)信息被盜事件雖已告破，但他給我們留下了深刻的反思，數(shù)據(jù)安全已刻不容緩。如今，當安全威脅逐漸由外部轉(zhuǎn)向內(nèi)部，我們看到，涉案的內(nèi)部人員出現(xiàn)越來越多的高級管理人員。在利益的驅(qū)使下，人心難防。在提高人員素質(zhì)的同時，更要加強系統(tǒng)對內(nèi)的安全防護能力。每一個看似不起眼的安全漏洞，都可能最終導致數(shù)據(jù)泄露。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。