2015年國內數據安全事件盤點

12月，以“互聯互通、共享共治——構建網絡空間命運共同體”為主題的第二屆世界互聯網在浙江烏鎮又一次震撼世界。

作為新興的網絡大國，中國對互聯網治理有著深入的思考和踏實的行動。這是一種必然，畢竟我們已擁有6.7億網民、413萬多家網站，以及超過3.95萬億人民幣的互聯網上市企業市值。習近平主席在大會致辭中提到一點：“‘保障網絡安全，促進有序發展’，安全和發展是一體之兩翼、驅動之雙輪。安全是發展的保障，發展是安全的目的”，深得業內人士的贊許。

隨著互聯網裂變式的發展，各種各樣的應用被遷移到互聯網使用。然而，互聯網也很脆弱，缺乏相應的防護措施，尤其在數據庫安全方面，數據安全已經成為每個國家、每個企業必須要重視的問題。

2015年已經進入尾聲，對于安全界而言，又是不平靜的一年，安華金和立足國內，回顧國內全年發生的數據泄密相關的十二起安全事件，同時針對事件本身，安華金和的安全專家進行技術原因分析點評。

事件一 新年首起網絡泄密:機鋒論壇2300萬用戶信息泄露（2015.1）

來源：南方網

1月5日，就在機鋒科技二度易主僅半月后，機鋒科技旗下機鋒論壇被曝出存在高危漏洞，多達2300萬用戶的信息遭遇安全威脅。這也成為2015年國內第一起網絡信息泄露事件。
機鋒論壇泄露的2300萬用戶數據包括用戶名、注冊郵箱、加密后的密碼等信息，由于機鋒論壇數據庫對用戶密碼僅使用了簡單的MD5（計算機安全領域廣泛使用的一種散列函數）加密，黑客能夠快速破解出絕大部分密碼。

技術原因:?機鋒論壇回應稱這次泄漏的是2013年泄露的老數據”，并強調，“機鋒所有用戶密碼均為多次加密的非明文轉換碼，網上泄露的用戶信息并不能破解密碼并盜取用戶賬號”。

事件二 多家知名連鎖酒店、高端品牌酒店存在嚴重安全漏洞，海量開房信息存泄露風險（2015.2）

來源：FreeBuf

2月11日，根據漏洞盒子平臺安全報告，知名連鎖酒店桔子、錦江之星、速八、布??；高端酒店萬豪酒店集團（萬豪、麗思卡爾頓等）、喜達屋集團（喜來登、艾美、W酒店等）、洲際酒店集團（假日等）存在嚴重安全漏洞，房客開房信息一覽無余，甚至可對酒店訂單進行修改和取消。

黑客可輕松獲取到千萬級的酒店顧客的訂單信息；包括顧客姓名、身份證、手機號、房間號、房型、開房時間、退房時間、家庭住址、信用卡后四位、信用卡截止日期、郵件等等大量敏感信息。

技術原因:大量房客的個人隱私信息存在數據庫中，黑客主要是通過前臺應用程序的漏洞，攻入數據庫服務器，獲取大量個人隱私信息和酒店顧客的訂單信息，同時也由于某些訂單程序漏洞，導致網上就可以修改訂單的敏感信息。

事件三 康威視部分設備被境外IP控制存嚴重安全隱患（2015.2）

來源：人民網

2月27日，江蘇省公安廳發布《關于立即對全省?？低暠O控設備進行全面清查和安全加固的通知》稱，主營安防產品的海康威視其生產的監控設備被曝出嚴重安全隱患，部分設備已被境外IP地址控制，并要求各地立即進行全面清查，開展安全加固，消除安全隱患。

技術原因：采用了弱口令（弱口令是指使用產品初始密碼或其他簡單密碼）。江蘇事件為弱口令漏洞，只需通過修改初始密碼或簡單密碼或者升級設備固件即可解決，不需要召回或更換設備。

事件四 數千萬社保用戶信息或遭泄露超30省市曝管理漏洞（2015.4）

來源：人民網

4月22日，[CQX1]重慶、上海、山西、沈陽、貴州、河南等超30個省市衛生和社保系統出現大量高危漏洞，數千萬用戶的社保信息可能因此被泄露。

從補天漏洞響應平臺獲得的數據顯示，目前圍繞社保系統、戶籍查詢系統、疾控中心、醫院等曝出高危漏洞的省市已經超過30個。據統計，僅社保類安全漏洞所導致的信息泄漏就超過5279.4條 涉及人員數量達數千萬，其中包括個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息。

技術原因：一是利用互聯網應用系統漏洞，通過sql注入，完成對社保人員信息的批量下載。80%安全事件發生的原因來自于SQL注入。（刷庫)二是外部黑客利用數據庫漏洞，如系統注入漏洞、緩沖區溢出漏洞和TNS漏洞，進行數據庫的惡意操作。(拖庫）三是開發人員和運維人員被利用，由于對系統熟悉度高，通過程序中的后門程序或直接訪問數據庫獲得數據。

事件五 中國人壽系統漏洞屢遭曝光 客戶信息安全難保障（2015.5）

來源：廣東消費網

5月21日，網友“carry_your”發布了一則等級為“高級”的漏洞信息，編號：QTVA-2015-237080，漏洞名稱為“中國人壽某省系統存在漏洞#可getshell#泄漏百萬客戶信息”。保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入多少、職業等敏感信息一覽無余。據烏云漏洞報告平臺統計，2015年上半年中國人壽漏洞出現7次，漏洞類型主要包括敏感信息泄露、未授權訪問/權限繞過、任意文件遍歷/下載以及設計缺陷/邏輯錯誤。

技術原因：國家信息技術安全研究中心專家曹岳表示，由于平臺本身交易量巨大、往來客戶數量多，對試圖非法獲取客戶敏感信息的不法分子來說，一旦入侵[CQX2]成功，其獲益是巨大的。由此，像保險企業這樣涉及大量客戶個人信息和商業機構信息存儲的企業，須對公眾信息保護承擔義務，更應加強信息安全構建，防止公眾的合法權益受到侵害。

事件六 多家P2P平臺同時遭黑客攻擊（2015.6）

來源：廣州日報大洋網

6月18日，互聯網金融安全再受拷問，信融財富、寶點網和立業貸等多家P2P平臺本周同時遭受黑客流量攻擊，造成網站無法打開或訪問速度緩慢。根據世界反黑客組織的通報，中國P2P平臺已成為全世界黑客“宰割的羔羊”。業內人士表示，目前P2P軟件提供商魚龍混雜，不少平臺IT系統簡單、漏洞多，是被黑客輕易攻擊的主要原因。P2P網貸平臺對技術的要求不亞于銀行，如何解決網貸系統安全問題，事關P2P平臺公司的存亡。

“6月15日11時04分至16日9時，信融財富官網遭受到惡意流量攻擊，造成網站無法訪問的情況。”深圳P2P平臺信融財富發布公告稱，其官網遭到了黑 客大規模DDOS惡意流量攻擊，使平臺網站訪問受到影響，平臺已于第一時間啟動應急防御措施。幾乎與此同時，另外兩家平臺寶點網和立業貸也均遭到了大規模黑客攻擊。

技術原因：P2P網貸平臺其技術要求不亞于銀行，甚至比銀行還要高。但現實情況是，大多數P2P網貸平臺無論在架構、數據庫、安全防范方面，應對黑客的攻擊能力幾乎為零。

事件七 約10萬條高考生信息泄露（2015.8）

來源：新浪新聞中心

據新華社電“不管考多少分，都有機會在名校上大學，享受普通本科生一樣的資源和待遇?！备呖间浫」ぷ鹘Y束之際，一些不法分子利用非法獲取的高考生信息通過電話進行招生詐騙。武漢警方日前查獲約10萬條泄露的高考生信息，涉嫌用于招生詐騙。這些信息涉及約10萬名考生，遍及13個省區市。

據知情人士介紹，高考生信息在網上被肆意出售。10萬條信息標價1萬元，平均每一條信息價格為0.1元。這些信息被一些不法分子購買后用來進行招生詐騙，也就是常說的“低分高錄”。騙子自稱是招生院?；蚴≌修k某領導的熟人，聲稱有辦法讓不夠第一批本科線的考生到第一批本科院校就讀。

技術原因：教育考試報名系統中包含大量考生個人隱私信息，需要進行數據庫安全防護，確保敏感數據不會泄露。

事件八 大麥網600多萬用戶賬號密碼泄露 數據已被售賣（2015.8）

來源：新浪科技

8月27日，烏云漏洞報告平臺發布報告顯示，線上票務營銷平臺大麥網再次被發現存在安全漏洞，600余萬用戶賬戶密碼遭到泄露。

起初發現有大麥網用戶數據庫在黑產論壇被公開售賣，于是對泄露的用戶數據進行驗證，發現相鄰賬號的用戶ID也是連續的，并均可登錄。因此，叢技術的角度可以初步證明本次大麥網的數據泄露有被拖庫嫌疑(網站用戶注冊信息數據庫被黑客竊取)。

技術原因：大麥網前臺應用有程序漏洞，主要原因是疑被“拖庫”，指從數據庫中導出數據，現指網站遭到入侵后，黑客竊取其數據庫。

事件九 內蒙古19萬考生信息泄露（2015.9）

來源：京華網

據新華社電內蒙古自治區教育招生考試中心透露，內蒙古19萬名高考考生信息近日遭泄露。9月2日上午得知此事后，教育招生考試中心立即組織人員進行研判，并確認網傳信息基本屬實。隨后，該單位立即報警，希望警方進行徹查。

這些信息中包括考生的姓名、身份證號碼及其父母姓名、電話，名單覆蓋了內蒙古自治區的12個盟市，數量最多的地方達4萬多條。

技術原因：經過認真分析，基本可確定考生信息遭泄露原因大致有三種可能性，分別為“黑客”攻擊、“內鬼”泄露和中介機構或組織“人工”搜集。

事件十 過億郵箱用戶數據泄露? 網易稱遭黑客“撞庫”（2015.10）

來源：新浪科技

10月19日，烏云漏洞報告平臺接到一起驚人的數據泄密報告后 發布新漏洞，漏洞顯示網易用戶數據庫疑似泄露，影響到網易163、126郵箱過億數據，泄露信息包括用戶名、密碼、密碼密保信息、登錄IP以及用戶生日等。烏云方面指出，前不久，有不少網友抱怨稱自己的iCloud帳號被黑，綁定的iPhone手機被鎖敲詐等，他們共都采用了網易郵箱作為iCloud帳號。

技術原因：這次網易郵箱遭黑客“撞庫”，指黑客通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，批量嘗試登陸其他網站。很多用戶在不同網站使用相同用戶和密碼，因此黑客可通過獲取用戶A網站的賬戶從而嘗試登陸B網站。

事件十一 偉易達被曝480萬家長及兒童信息泄露（2015.11）

來源：安全比特網

世界最大的電子玩具生產商之一偉易達集團（VTech）于11月27日指出，11 月 14日黑客入侵了 Learning Lodge 的客戶資料庫，但在接受報章查詢時不肯透露實際人數，只表示有香港客戶受影響；然而國外媒體 Motherboard 表示，他收到黑客入侵 VTech 的客戶資料，當中有大約500萬個家長和超過20萬個小童的資料，包括姓名、電郵地址、密碼和個人住址。

技術原因：目前VTech仍然使用較為落后的技術開發平臺，包括像ASP.NET 2.0框架, WCF, SOAP, 以及眾多的 Flash。同時VTech的官網以及注冊網站沒有使用像SSL等安全通信協議技術。經過對VTech其中一個端口的掃描探測分析，也發現了可通過SQL查詢可獲取相關調試信息的漏洞。

事件十二 申通被曝13個安全漏洞 黑客竊取3萬多客戶信息（2015.12）

來源：搜狐新聞

黑客利用申通快遞公司的管理系統漏洞，侵入該公司服務器，非法獲取了3萬余條個人信息之后非法出售。在烏云平臺我們發現，2013年以來，該平臺至少公布了申通公司與信息泄露隱患有關的漏洞報告13篇，涉及系統弱口令、服務器目錄、管理后臺、快遞短信等各個方面，其中9份報告被標注的危害等級為“高”。

技術原因：之所以選申通K8速運管理系統下手，并得以利用其漏洞，是因為在“烏云網”上看到了公布出來的申通公司的系統漏洞。據不完全統計，“烏云網”公布的安全漏洞達77848個。一位IT技術員表示：“如果黑客對‘烏云網’公布的漏洞有興趣，那么只要知道企業名字和大概漏洞消息源頭，侵入這個企業，不是難事。”

小結

隨著網絡安全事件頻繁，一大批漏洞挖掘平臺涌現出來，漏洞盒子、烏云、阿里云云盾“先知計劃”、360補天等，既有第三方也有BAT巨頭。同時誕生了一大批通過挖漏洞賺錢、甚至以此為職業的白帽黑客。

基于此，國家互聯網應急中心（CNCERT）與國內32家互聯網和安全公司共同簽署了《中國互聯網協會漏洞信息披露和處置自律公約》，以行業自律的方式共同規范安全漏洞信息的接收、處置和發布的公約。

“十三五”規劃建議提出要實施大數據和網絡強國戰略，在政策的大力推動下，網絡安全作為其重要組成部分將迎來快速發展機遇。我國在網絡安全方面的投入占整個IT比重僅為2%左右，遠低于歐美國家10%左右的水平，潛在發展空間將達千億級別。

安華金和數據庫安全專家分析2015年verizon數據泄漏調查報告和全年的數據安全事件，可以發現以下幾個數據泄漏的原因：

• 使用失竊賬戶密碼依然是非法獲取信息的最主要途徑，三分之二的數據泄露都與漏洞或失竊密碼有關，位列前排的分別是雙因子認證以及webservices的補丁；

• 發現大多數企業的安全管理和防護都無法跟上網絡犯罪的腳步，入侵企業只需要數分鐘或數小時，而企業發現和識別攻擊則需要數周甚至數月。

雖然外部工具遠超過內部威脅，但與知識產權有關相關時，內部攻擊有抬頭趨勢。作為專業的數據庫安全專家，安華金和建議從以下幾點措施來實現數據的安全防護：

• 措施一：通過數據庫漏掃定期對數據庫進行安全巡檢，發現數據庫使用中的安全隱患，及時人工進行加固；

• 措施二：安全管理員要了解本單位數據庫中的數據資產，采取有針對性的安全防御措施，通過對數據庫中的敏感字段加密存儲，防“拖庫”；

• 措施三：通過數據庫防火墻實現數據庫的外圍防御圈，構建數據庫的可信訪問環境； 網絡上可信：串聯數據庫防火墻后，黑客無法繞過數據庫防火墻直接訪問數據庫。 應用服務器可信：通過IP/MAC綁定，確保只有授權服務器、設備訪問數據庫。

• 措施四：底線防守，超過閥值限制的批量查詢操作攔截，繞過合法應用的訪問阻斷，禁止本地登錄；

• 措施五：對數據庫的敏感操作，一定要全部記入審計記錄，如果出現違規操作可以通過事后追責定責。

數據庫已經成為數據泄漏的重災區，在核心數據掌握企業命脈的年代，數據庫的防護成為整個安防體系中不可或缺的環節。