运维的复仇:盗取老东家28万组客户信息,自行删除
陈拾九移动支付网2021/6/17 9:35:38

6月9日,北京海淀区法院审理了一起侵犯公民个人信息案,检方认为被告盗取超过5万条公民个人信息,属于情节特别严重,因之前达成的认罪认罚协议,建议判处被告有期徒刑3至6年,并处罚金。

有意思的是,被告并没有通过盗取的28万条个人信息销售获利,而是将公司数据库存在漏洞的情况告诉客户后自行删除了数据。被告供述表示,自己是因为与前公司产生矛盾离职,认为受到不公平待遇而心生怨气。而他在前公司的岗位为运维总监。

运维的复仇:删库、偷数据

2020年2月23日18时,微盟员工通过个人VPN登入公司内网跳板机,对微盟线上生产环境进行恶意破坏;2月25日早间,时隔36小时,微盟集团正式发布公告,对这次事件作出解释,期间微盟平台上所有商家生意停摆;3月1日晚8点,微盟全面找回数据;3月2日凌晨2点,微盟进行系统上线演练;3月3日上午9点,数据恢复正式上线。

事后微盟准备了1.5亿元人民币赔付拨备金,而微盟2019年SaaS业务毛利润总共才1.77亿。另外,事故期间微盟累计市值蒸发超30亿港元,影响商户300万家,损失的商誉无法计算。

换句话说,短短9天,微盟2020年SaaS业务的利润基本上都打了水漂。依靠微盟的中小商家更是损失惨重,据媒体采访,由于微盟数据库被删库,不少中小商家都遇到了业务难以展开、库存积压、资金流转困难等问题,时值疫情期间,对于中小商家来说更是损失惨重。

关于员工删库的原因坊间传闻不断,微盟表示是因为“该员工一直深陷网络贷,还曾有过轻生。”,而有网友指出,将微盟的数据盗出去卖掉对于99%深陷网贷的人来说足够脱离困境,更有网友直言不讳“谣言反而真实,不是杀父之仇就是夺妻之恨。”

值得注意的是,进行删库操作的微盟员工为微盟研发中心运维部核心运维人员。回顾微盟删库和北京盗取数据两起案件,其中存在惊人的巧合性:犯罪人员都为运维人员,都是对公司存在不满,同样选择了对数据库下手,但是又都没有选择倒卖数据。

两人在事件中身份的相似性、行动的趋近性、背后逻辑的一致性,以及人物命运的巧合让人不由得感叹:真的是数字时代才有可能出现的复仇。

巧合背后的必然:3000余起数据库安全事件

所谓无巧不成书,无缘不相逢,人事之间总是充满了巧合。巧合之事乍看上去毫无关联,但巧合的背后一定存在必然。两起案件背后的必然非常明显,首先是劳资矛盾,这是社会学要研究的,其次是发生案件的两所企业自身的问题:数据库存在漏洞,这是我们关注的。

数据库对于现代企业的重要性不言而喻,对于特定行业来说,数据库安全直接关系着企业生命,一旦数据库出现灾难性事件,基本上会直接结束一个企业的生命,比如互联网企业、金融机构等等。

对于金融机构来说,数据库安全更是重中之重,一旦出事不仅仅意味着严重的经济损失和自身商誉损失,更是会对无数用户带来难以承受的影响,甚至会影响国家安全。但遗憾的是,目前我国数据库安全并不是万无一失。

2021年5月,国家互联网应急中心(CNCERT)发布《2020年我国互联网网络安全态势综述》报告,报告指出2020年全年累计监测并通报联网信息系统数据库存在安全漏洞、遭受入侵控制,以及个人信息遭盗取和非法售卖等重要数据安全事件3000余起,涉及电子商务、互联网企业、医疗卫生、校外培训等众多行业机构。

分析发现,使用MySQL、SQLServer、Redis、PostgreSQL等主流数据库的信息系统遭攻击较为频繁。其中,数据库密码爆破攻击事件最为普遍,占比高达48%,数据库遭删库、拖库、植入恶意代码、植入后门等事件时有发生,数据库存在漏洞等风险情况较为突出。

数据库安全:人是关键因素

在金融数据安全中,数据库处于最核心的位置,其风险来源往往是复杂的。

首先,随着互联网技术的快速发展,金融机构的业务不断发展和创新,业务系统产生的数据不断增长。但是由于各业务系统中数据治理和保护的级别不同,所用于存储数据的介质和方式也不尽相同,造成数据泄露、数据删除及其数据损坏的风险也在不断增加。

其次,数据库安全建设中“人”是最关键的因素,但也是最薄弱的环节和漏洞。Verizon《2021年数据泄露调查报告》统计,当前,85%的数据泄露事件都与人为因素有关,甚至有可能带来直接经济损失。

2020年3月,某省农村信用社联合社一位90后技术人员利用其负责省联社核心系统贷款模块技术研发、运行维护、数据修正、漏洞修复等工作的职务便利,采取修改省联社核心系统贷款模块数据并删除记录的方式,将单位资金转入其指定的个人银行卡,非法窃取单位资金共计596万元。

理论上,银行应依据“业务必需、最小权限、职责分离”的原则,设计数据库系统与文件系统的用户鉴别和访问控制策略,并对各类系统用户设计其工作必需的最小访问权限。

也就是确保主体仅被授予执行任务和完成工作所必需的权限;重要业务不要安排一个人单独管理,实行两人或多人相互制约的机制;要求不相容的权限要形成相互制约的关系。

修改核心业务数据库这样的权限根本不应该被随意的授予,哪怕要进行操作也应该进行双人操作,并执行系统权限控制和事后审计。

很明显,该农村信用社联合社在数据库建设过程中存在漏洞。按照新发布的《金融数据安全数据生命周期安全规范》要求,金融业机构应综合考虑主体角色、信用等级、业务需要、时效性等因素,按最小化原则确定2级及以上数据的访问权限规则,并提出了数项制度建设要求:

数据库在技术上寻求安全固然非常重要,但人的因素与制度的建设在未来数据库安全建设中也不可忽略。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消