咨询热线:400-000-3720 中文 | English
数据泄密:信息安全裸奔谁之过? 发布时间:2012/3/27

当人类社会以高速步伐踏入信息时代,各种电子数据就成为人类社会生活 基本的运行手段和支撑平台。

在以电子数据作为基本平台的信息网络社会,人、事、物的信息、价值和互动关系,都被逐渐的数据化和电子化,并在系统中进行大量存储和高速传输。数据安全的重要性,对于我们每个人、每个机构组织,甚至国家和社会来讲,均以无可复加;而一旦数据安全遭到泄密、篡改等任何方式破坏,其所产生结果,也可能带来无法想象的毁灭性灾难。

2011年以来,从国外的索尼等公司泄密事件,到国内民航客户数据泄密大案,再到近期国内几大知名网站用户数据被窃密公布事件……数据安全的威胁与挑战,已经从银幕剧情传奇,变成了现实真是案件,从研究的可能性,变成了现实的普遍性。数据安全的威胁和灾难,已经实实在在地端坐在信息社会中每个人的身边,进入社会经济生活和国家秩序的每一个角落。

本刊编辑部特组织策划本次数据安全专题,就近期系列重大数据泄密案件进行追踪报道,围绕数据安全对于个人、组织和国家所产生的威胁和影响,进行逐层深入剖析,并且从不同的角度,对数据安全保障的策略和措施进行了探讨。《中国信息安全

本刊记者:李刚 

近期“泄密门”等数据安全要案纪实 内鬼外患演绎“窃密风云”

“偷东西”,这可能算人类从古至今 熟悉的一件事情之一。

古人有句俗语:窃钩者诛,窃国者侯。鲁迅笔下的孔乙己就有一句“窃书不是偷”的口头禅。可见,无论是草根、文人,还是权贵、诸侯,一生中都难免与“偷”撇清关系,当然,不是每个人这辈子都有机会去偷过东西,但几乎每个人这辈子都有被偷过东西的经历。而这种经历,随着信息社会的到来,正在被迅速地放大和加剧。

2011年11月22日,全国首例入侵民航系统窃取信息案在北京市东城区人民法院开庭,六名涉嫌非法侵入计算机信息系统罪的案犯被重判,他们在短短五年时间,共从相关民航计算机系统上采集了1996万余条用户信息。

而就在随后的一个多月时间里,首先从CSDN约600万用户数据遭泄露开始,相继有天涯社区、开心网、多玩网、百合网、新浪微博等十几家网站先后卷入用户数据泄露的风口浪尖。而在新年之交,广东省公安厅出入境政务服务网用户资料泄露,据京华时报等媒体报道,此次泄露的信息范围是2011年6月24日至12月29日12时30分以前所有通过网站申请签注的用户资料,总数达4441387条。

据不完全统计,两个月内密集发生的这系列“泄密门”集中爆发的“群体性事件”,已经使得晒在网上的用户信息条数超过1亿,数据安全史无前例地成为社会瞩目的焦点。

那么,人们关心的是,这些泄密事件究竟是如何发生的?它们究竟泄露了些什么数据? 

中航信终捉“内鬼”内部人员“盗密”堡垒易破

俗话说,堡垒往往从内部攻破。对于信息数据安全的威胁,也是如此。 新研究调查显示,内部泄密成为企业数据外泄的头号原因。

2011年11月22日,北京东城区法院,一个典型的内部人员泄密案件开庭审理,成为媒体瞩目的焦点。它的被关注,还因为其堪称中国首例入侵民航计算机系统盗取信息要案。

案件《起诉书》称,自2005年至2010年8月,6名被告(龙士凡、宋金箱、贺平、吴港水、董强、高睿)通过研发建立“迅保系统”,非法侵入中国航空信息网络股份有限公司(下称“中航信”)的计算机系统,从而获取民航数据1996万余条。

通过对案件的了解,记者发现,6名被告全部曾在中航信系统内部任职,其中宋金箱更为中航信元老级人物,曾任中航信执行董事。那么,这一幕经典的内部人员信息“窃听风云”剧情是如何展开的呢?

本案故事中两个主要角色,分别是“男一号”宋金箱和“女一号”龙士凡。

上个世纪90年代末,宋金箱和龙士凡就已经是中航信企业高管,两人很早即认识,据宋金箱回忆,早在1998年,自己在分管负责中航一项保险业务的研发过程中,就将龙士凡借调到中航信系统内部(此前龙为股份有限公司副总经理)。后续两人也围绕航空保险业务有过连续的共事与合作。

经过几年的摸索,龙士凡对航空保险业务领域的业务模式逐渐熟稔,对该领域市场前景则更是看好。2004年,龙士凡有了在该领域“做大做强”的计划,筹备搭建平台,开展代理销售保险业务。

于是,龙士凡找到了老领导宋金箱,而宋将其介绍给了中航信下属的深圳民航凯亚有限公司,但双方 终并没有达成合作。随后,宋又将龙士凡介绍给了中航信厦门凯亚有限公司(下称“厦门凯亚”),由于宋当时兼任厦门凯亚的董事长,龙士凡的合作计划便得以顺利开展。

在宋金箱的引荐下,龙士凡认识了本案的其他被告。贺平当时由厦门机场借调厦门凯亚,为该公司的技术负责人,后任厦门凯亚技术总监;吴港水曾为厦门凯亚高管,当时已届退休之龄;董强和高睿均为上海市华东凯亚系统集成有限公司(下称“华东凯亚”)副总经理。

根据龙士凡的供述,在与凯亚系统内人员的洽谈过程中,双方已经谈妥,自己负责市场,而凯亚系统内人员则负责解决技术问题。

但贺平供述,龙士凡提出了对技术团队的要求,即在同一平台上实现多功能、多公司、多险种,更重要的是,要将中航信后台系统相关数据实时传递给保险公司。这实际上就是希望技术团队要在系统上开“后门”,以利实现数据的非法窃取和传输。

显然,实现对中航信系统相关数据的实时掌握,对龙士凡们的保险生意是有极大好处,否则,他们也不会踩着法律的“红线”去铤而走险。那么,究竟有什么好处呢?龙士凡在法庭供述中,解释得很透彻,所谓民航数据主要为航空旅客的个人信息,通过接入中航信计算机系统获取相关信息,可大大提高代理航空意外险业务的工作效率,从而提高自己公司在行业里的竞争力。“如果没有接入到中航信的计算机系统,那么要下保单,只能通过手工录入的方式,录入被保险人的信息,工作效率明显慢于从中航信计算机系统上直接采集被保险人信息,那么中航信诺公司便与市场上的其他公司没有区别。”

于是,这场“大戏”从动机、资金,到模式、人员,都已齐备,就差技术系统对于数据窃取的实现了。于是,本案其他几个涉案人员开始出场“展现才华”,2004年,宋金箱让技术骨干贺平去研发一款能实现上述功能的软件,贺平则组织除龙士凡之外的本案其余案犯,组织成立了厦门易迅科技有限公司(下称“厦门易迅”),主要开始了技术研发工作。

在厦门易迅之下,一个名叫“迅保系统”的软件平台被研发出来,并于2005年5-6月间与龙士凡一方进行对接,并投入使用。据了解,该“软件系统”实际上就是一个电子保险单下单系统,被保险人下单后,系统采集了被保险人的信息,并将信息传送给保险公司。实际上,“迅保系统” 大的竞争优势绝非技术层面,而是其被保险人的信息采集速度非常快。2007年,中国人寿要求代理商下单后10秒钟内,将客户信息上传到保险公司平台。“迅保系统”这种速度优势迎合了保险公司的要求。

根据记者获得的《迅保系统用户操作指南》显示,其个人信息采集方式有5种,分别为按旅客订座记录 (PNR)提取数据、按电子客票号提取数据、按有效证件号提取数据、按登机牌编码提取数据、手工单操作。其中手工单操作是在其他方式无法实现的情况下的补充方式,而其他4种都需要后台有一个完整的旅客个人信息库。这个信息库不在别处,正在中航信计算机系统内。

但外界介入中航信计算机系统并不容易,其中的关键点在该系统的配置账号,有了配置账号,这个配置账号是外界连接中航信计算机系统的“钥匙”。“这个账号当然是既有账号,又有密码的。”贺平说。

考虑到自己在厦门凯亚工作,为了避嫌,贺平找了供职于华东凯亚的高睿,让他帮忙搞定配置账号,后高为贺平提供了两个配置账号。在内部人提供的配置账号的帮助下,“迅保系统”很快便风生水起,2005年-2010年期间,共从中航信计算机系统上采集了1996万余条信息。

信息时代的数据“窃案”,主要以相应的信息技术为核心,自然,其过程相对不复杂,也不会有传统盗窃案“飞檐走壁杀人越货”那么刺激。然而,其造成的损失和后果,则是传统盗窃所不能比拟的,例如本案中,且不说近两千万条乘客信息被窃取后留下的隐患,就是看得见摸得着的经济损失都十分巨大,在法庭上,受害人中航信的代表律师称,“迅保系统”已经给中航信造成了巨额损失共计4500余万元。

除了中航信数据泄密案,近年内,在我国各个领域,涉及数据安全的事故、案件多有发生,并且逐年快速增长。就在中航信数据泄密案审理的同时,另外两起政府工作人员重大泄密案的公布,也引发了人们的思考。2011年10月24日, 高人民检察院公布两起重要涉密经济数据泄露案件查办情况。原国家统计局干部孙振泄露27项统计数据,被判刑5年;原中国人民银行干部伍超明泄露25项统计数据,被判刑6年。

“泄密门”难挡“外患”黑客攻击“偷密”防不胜防

正当人们为中航信数据泄密“内鬼”们被绳之以法而欣慰放心之后,没几天,隐藏在互联网中的不法黑客们,则通过对CSDN等网站系统的攻击并成功窃取大量用户隐私数据的“泄密门”事件,让更多的互联网用户又开始揪心。

2011年底的这场互联网站“泄密门”系列事件,就像一阵突如其来的阴霾,密集地萧杀了由圣诞、元旦和2012春节这三个挨得很近的节日所组成的新年气氛,引发了各界的高度关注和个人信息数据在互联网上安全保障的深度思考。

就在2012新年到来之际,当人人自危的网友们,在网上 大疑虑变成“我的密码被盗没有”,相互间第一句问候变成“今天你的密码改了吗”的时候,我们不难想见,这场席卷互联网的“泄密门”风暴所造成的威胁和隐患将是多么巨大。

事情是如何发生的?如果让我们拉开剧情回顾的大幕,首先出场的就是CSDN(中国开发者技术在线社区)。

2011年12月21日,一名ID为hzqe(化名)的新浪微博用户(以下简称为hzqe),是目前所知的并经本人承认的 早发现CSDN用户信息数据包的人。由于其在自己发现之后,还一度上传网络,在刚开始被很多网友误认为其就是攻击CSDN的黑客。

据《每日经济新闻》报道,hzqe向媒体介绍事情来龙去脉。hzqe表示,12月21日下午2时许,他在一个网络安全相关的QQ群内,看到了CSDN用户账号密码的迅雷下载文件,由于他本人也是一名技术人员,并且是CSDN注册用户,因此他马上将该文件下载,以查阅自己的账号是否被盗。

“果然在里面查到了我的账号,我的很多同事也是这个网站的注册会员,我想把这份东西共享给他们,如果他们查到自己的账号被泄,好快去更改密码,于是把QQ群内要用迅雷专用工具下载的链接,转化成了迅雷快传的下载链接,并且发到了一个朋友圈内的QQ群里。”

然而,令hzqe大吃一惊的是,仅仅过了不到10分钟,他所发布的相关内容就被人截图,并发布在了专业安全网站“乌云”(wooyun.org)上,“据我猜测,我把东西发在QQ群里后,又有人在不同的QQ群内转播,所以才会传播出去”。

记者发现,早在12月初,专业安全网站“乌云”(wooyun.org)上,就有ID为“臭小子”的用户发布了一份“中国各大站点数据库曝光 (腾讯的也有)”的漏洞概要,截图中包括CSDN相关数据库,只不过当时可能没有引起更多人的关注。

那么,就在12月21日晚, CSDN即发表官方声明,证实600万用户数据泄漏属实,就此事公开道歉,承认部分用户账号面临风险,将临时关闭用户登录,并表示已经向公安机关报案。

对于泄露的用户数据,每个用户的密码都是未经加密的明文显示问题,CSDN解释为,CSDN网站早期使用过明文密码,使用明文是因为和一个第三方chat程序整合验证带来的,后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式,改成了加密密码。但部分老的明文密码未被清理,2010年8月底,对帐号数据库全部明文密码进行了清理。

而对于账号究竟是怎样泄露的,CSDN明显自己也是一头雾水,只能大致判断如下:“目前泄露出来的CSDN明文帐号数据是2010年9月之前的数据,其中绝大部分是2009年4月之前的数据。因此可以判断出来的泄露时间是在2010年9月之前。”并表示具体数据泄密原因不详,已经报案,等待警方调查。

尽管CSDN泄露的用户数据有600万条之多,然而,接下来两周的时间内,人们发现,这600万可能只是沧海之一粟、冰山的一角。紧随CSDN泄密曝光后,天涯、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等知名网站也被网友爆出采用明文密码,用户数据资料被放到网上公开下载,而集体卷入泄密门事件大潮中。据当时互联网安全公司360、金山等企业跟踪监测发布数据称,发现网上公开暴露的网络账户密码超过1亿个,且其不断增大扩散变化的趋势十分明显。

卷入数据泄密事件的网站反应也各不相同,人人网、新浪微博公开否认用户信息泄露,但建议与CSDN使用相同账号和密码的用户尽快修改密码。随后起点、腾讯、开心等多家网站也发布公告,建议用户修改密码。

而天涯社区则在对外发布的公告中确认了用户数据泄露事实,称因黑客攻击,网站用户数据被盗。但表示虽然网上贴出的数据库文件中包含有超过4000万的用户账号信息,其实天涯实际被盗数目没有4000万。

这次互联网站泄密门事件,从目前来看,对网民和网站带来的实际损害还相对较小,但其埋下的隐患和展现出来的令人们关注的未来威胁发展趋势,则正在无数网友和业界各领域中引发深刻思考。

在这次泄密门给网民带来的集体忧虑下,也带来一些有着“黑色幽默”的小插曲。一些安全公司或者专业技术人员,瞄准网民心理需求,推出专门的所谓“密码外泄查询”网站,一夜大热,流量暴增,第三方查询工具甚至成了网民居家旅行上网“必备良药”。

面对网民们汹涌的查询“热情”,不少外泄密码查询网站也以调侃的方式奉劝用户放弃侥幸心理,直接修改密码。如一家查询网站首页醒目提示网民——“按照目前这个阵仗,你还是别查询了,你只要在国内注册过,你的密码基本都被泄露了,直接改密码吧。即使在这没有查到,也不意味着你的账号安全,因为我们的数据库并不一定是 全的。”

破案追踪 “泄密门”嫌犯落网真相大白

正当网民惊惶失措急改密码,网上言论喧嚣议论纷纷之时,公安机关的破案工作也正紧密锣鼓地进行。2012年1月10日,此次相关案件正式宣告侦破,国家互联网信息办公室正式向社会公布了本次“泄密门”系列事件的相关案情。

首当其冲曝光的案件就是CSDN、天涯网站被入侵事件。

据国家互联网信息办发言人披露,经公安机关侦查,近期这两家网站并未遭受攻击。这两家网站曾在2009年以前被入侵,数据遭泄露也发生在两年多前,其具体的入侵案件相关嫌疑人及事件真相,公安机关还在进行进一步的溯源追查工作。

而本次数据库用户资料泄密的始作俑者,则是网名“臭小子”的许某某(男,19岁,无业人员),其出于个人炫耀的目的,于去年12月4日在乌云网上发帖称CSDN等网站数据密码被泄露,并公布泄露的数据包截图。现许某某已被公安机关予以训诫。

其次,京东商城网站被入侵事件也已真相大白。

经公安机关侦查,京东商城网站近期确遭入侵但数据未被泄露。网名“我心飞翔”的犯罪嫌疑人要某(男,35岁,陕西省咸阳市某制药厂员工),于2011年4月发现京东商城网站存在安全漏洞,当年12月29日在乌云网上发帖称掌握京东商城漏洞,以公布该安全漏洞要挟京东商城向其支付270万元。京东商城网站未予支付,要某也并未窃取、泄露该网站相关数据。要某因涉嫌敲诈勒索,现已被依法刑事拘留。

第三,“YY”语音聊天网站及部分银行金融机构数据泄露事件。

针对广东“YY”语音聊天网站泄露的数据,经相关部门查实,系该公司员工利用职务之便从公司内部备份数据库窃取的。该网站并未被入侵。此事正在处理之中。对于近期网上流传的工商银行等金融机构数据泄露事件。经有关部门对工商银行、民生银行、交通银行调查,证实其系统并未被入侵,网上公布的所谓“数据”与银行相关数据不符。网名“挨踢客”的王某某(男,24岁)从事网络推广工作,为了提高自己所在网站的知名度和自我炒作,于2011年12月28日在其个人的挨踢客网站和微博上凭空捏造,发布所谓工商银行等网站用户数据泄露的信息,王某某已被公安机关予以训诫。

第四,网上流传的新浪微博、当当网等网站被攻击事件。经查,新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站均未被入侵。网上公布的上述网站部分账号密码系有人利用网络远程大规模猜测密码所破解,实施密码破解的人员身份目前已被锁定,公安机关正在实施抓捕。

据国家互联网信息办发言人披露,截至2012年1月,公安机关就此次泄密门系列事件,已查处入侵、窃取、倒卖数据案件9起,编造并炒作信息泄露案件3起,刑事拘留4人,予以治安处罚8人。

古语说得好:天网恢恢,疏而不漏。对于网络犯罪分子,无论你在虚拟空间中有着多深的隐藏,也无论你借助多高的信息科技作案手段,只要你敢于挑战法律和道德底线,终究会从网络的虚拟中现出原形,并受到现实法律的惩处。

泄密的主要原因还是泄密者本人保密法制意识淡薄造成的,背后当然还有很重要的一点就是利益驱动。

通过上述有关企业信息安全和数据安全等加密相同资讯的介绍,大家对于这此有一定的了解和认识,安腾加密软件希望您在日后的工作中,如有文件加密软件、文档加密软件、图纸加密软件、文件加密、数据加密、文档安全分发、数据安全、文件防泄密、信息反泄密、数据安全等需求,欢迎随时访问安腾加密软件的官网:http://www.iten.com.cn 或拨打热线:400-000-3720 联系我们。