Categories
程式開發

940萬用戶數據洩露,450萬罰款,國泰航空為“低級失誤”買單


3月4日,英國資訊專員辦公室(ICO)發佈公告稱,因國泰航空未能有效保護客戶個人信息安全,導致全球約940萬客戶的個人詳細信息洩露,所以對國泰航空罰款50萬英鎊(約451萬人民幣)。據悉,這個罰款金額可能是英國法律指定的最高罰款金額。

事件回溯

據ICO稱,2014年10月到2018年5月期間,國泰航空的系統因缺乏安全措施,導致全球約940萬客戶個人信息洩露,其中111578人來自英國。洩露的個人信息包括姓名、護照資料、出生日期、電話號碼、地址及旅行記錄。

2018年3月,國泰航空發現系統出現數據洩露跡象,當時數據庫遭到了暴力攻擊,短時內提交了大量的密碼和短語。 2018年5月,國泰航空確認有客戶資料外洩,並向香港警方和ICO報告了這一事件,其中約86萬個護照號碼及24.5萬個香港身份證號碼曾被不當取閱,403張已逾期信用卡號碼和27張無安全碼的信用卡號碼被不當取閱。 2018年10月,國泰航空主動對外披露了這一情況,並表示目前沒有證據顯示洩露數據遭到不當使用,ICO也發布聲明稱,當前確實沒有發現確鑿的個人數據被濫用的案例,但不排除未來發生的可能性。

為什麼國泰航空會發生數據洩露事件呢?根據ICO調查發現,國泰航空的系統是通過連接到互聯網的服務器被侵入的,並且被安裝了惡意軟件來收集數據。另外,國泰航空還存在很多基本的安全問題,使得黑客輕鬆獲得了訪問權限,例如備份文件沒有密碼保護,服務器沒有應用補丁,應用的操作系統是不再被開發者支持和維護的系統,防病毒保護不足等等。

ICO調查主管史蒂夫·埃克斯利(Steve Eckersley)表示:“國泰航空系統中基本的安全缺陷數量眾多,甚至有些安全措施遠低於標準,從最基本的角度來看,該航空公司未能滿足國家網絡安全中心基本網絡要求的五分之四。”

940萬用戶數據洩露,450萬罰款,國泰航空為“低級失誤”買單 1

值得注意的是,本次國泰航空被罰450萬依據的是英國1998年通過的《數據保護法》,而不是最近被頻頻提到的《通用數據保護條例》(GDPR)。主要原因是國泰航空數據洩露發生在GDPR生效之前,根據ICO披露的信息,未經授權使用國泰航空系統的最早日期是2014年10月14日,最早的未授權訪問個人數據的日期是2015年2月7日。

相比於《數據保護法》,GDPR的懲罰力度可能更大。 2018年9月,英國航空公司約50萬客戶的個人及信用卡信息洩露,ICO擬罰款1.83億英鎊,約16.5億人民幣。

數據庫如何加固?

數據洩露事件時有發生,如果我們總結歸納一下,不難發現,造成數據洩露通常就是以下三種原因:

  • 技術性洩露:譬如被黑客竊取。

  • 非技術性洩露:主要是內部人員或者是管理失誤造成的洩露。

  • 惡意破壞:江湖傳說中的“刪庫跑路”,尤其是內部人員的惡意破壞,危害程度往往更大。

關於如何避免這三種原因造成的數據洩露,很多文章都給出了方法。今天我們不從大而全的方面來講數據安全措施,而是從數據庫加固這一點入手。太陽塔科技 CTO 趙振平表示:“數據庫加固主要集中在以下幾個方面:物理加固、操作系統加固、數據文件加固、數據庫防火牆、數據庫加固、應用端加固和傳輸通道加固。”

物理加固(物理隔離)

物理隔離的最佳做法是嚴格限制對物理服務器和硬件組件的訪問。例如,對數據庫服務器硬件和網絡設備使用具有受限訪問權限的鎖定房間;通過將備份介質存儲在安全的異地位置來限制對備份介質的訪問;實施物理網絡安全,讓未經授權的用戶遠離網絡。

操作系統加固

操作系統是數據庫的基石,如果一個人控制了操作系統,也就控制了整個數據庫。因此,必須加固操作系統。

最基本的操作是把操作系統升級到高版本,定期給操作系統打上補丁包。防火牆是網絡流量的控制器,可以配置為強制實施組織的數據安全策略。如果使用防火牆,則可以通過提供集中安全措施的瓶頸來提高操作系統級別的安全性。

此外,限制操作系統用戶,尤其是超級用戶,特權用戶的使用,建議分級設置多個用戶。特權用戶由公司管理層保管,或者由多個高級經理保管保留。操作系統的口令要設置的非常複雜。

數據文件加固

數據庫使用操作系統文件進行操作和數據存儲。要限制對這些文件(通常叫數據文件)的訪問。最重要的是,還要對數據文件進行加密,也就是我們所說的透明加密TDE(Transparent data encryption)。

透明加密技術是近年來針對企業文件保密需求,應運而生的一種文件加密技術。所謂透明,是指對數據庫(PostgreSQL、Oracle)來說是未知的,文件在硬盤上是密文,在內存中是明文,數據庫對於TDE無感知,也就是數據庫基本不知道TDE的存在。

數據庫防火牆

數據庫防火牆,是位於應用程序和數據庫之間的數據庫代理服務器。應用程序連接到數據庫防火牆並發送查詢,就像它通常連接到數據庫一樣。數據庫防火牆分析預期的查詢,並將其傳遞給數據庫服務器,如果認為安全,則將其執行;如果不安全,會阻止SQL的執行。數據庫防火牆可以防止SQL注入。

數據庫加固

層層遞進,數據庫自身也要依靠自己的安全機制進行加密,部分措施如下:

  • 設置複雜的用戶身份認證方式。

  • 在數據庫模式對象級別上控制數據庫的存取和使用機制。用戶要對某個模式對象進行操作,必須要有操作的權限。

  • 加強數據庫權限和角色管理。通過管理權限和角色,限制用戶對數據庫的訪問和操作。

  • 加密存儲過程和函數,防止商業秘密的洩露。

  • 表級別加密。表級別加密的對像是數據庫中的表,數據庫中存放的是加密以後的數據。

應用端加固

在應用端加強管理,管理好應用端的用戶名和密碼。

應用端發送到服務器端的數據,在發送之前,可以從開發人員的角度進行加密,這樣寫到數據庫表中的數據,就已經是加密數據了。

傳輸通道加固

當客戶端(應用程序)把SQL語句發送給數據庫服務器端的時候,有可能被截獲;當數據庫服務器查詢出結果,返回給客戶端的時候,也可能被截獲。因此,需要對傳輸通道進行加密,譬如使用SSL。

盤點航空數據洩露事件

國泰航空數據洩露並不是個例,事實上,由於“不設防”、存在管理漏洞或者係統漏洞等原因,航空行業已經成為了數據洩露的重災區,各國航空公司都有數據洩露發生。

英國航空公司數據洩露

2018年9月,英國航空透露自8月21日以來,英航的官網和移動端程序均遭到黑客攻擊,導致38萬用戶的個人及信用卡信息遭洩露。而根據英國廣播公司的報導,英國航空數據洩露事件始於2018年6月,涉及50萬顧客的登錄賬號、銀行卡、旅行預訂細節以及姓名和地址等信息。

英航數據洩露的原因是公司的安全防護措施較為脆弱,導致官網上的用戶流量被劫持到了一個欺詐網站。

2019年,ICO宣布,將對英國航空公司的2018年客戶數據遭洩露事件開出1.83億英鎊罰單,相當於英國航空公司2017年營業額的1.5%。

馬印航空公司數據洩露

2019年,卡巴斯基實驗室披露馬印航空及泰國獅航約3千萬乘客的資料被上傳存儲在開放的亞馬遜雲服務中,同時有部分數據已經在暗網售賣。洩露的數據包括護照信息、住址和電話號碼等,但付款信息並未遭到牽連。

馬印航空證實了數據洩露的消息,但表示數據洩露與AWS的安全架構無關,而是供職於為馬印航空提供電商服務的GoQuo公司前職員“不恰當地獲取並盜竊了乘客的個人數據”。

日本航空公司數據洩露

2014年,日本航空公司(JAL)內部20台電腦遭到惡意軟件襲擊,開始主動向外部發送數據信息,其中5台電腦向顧客管理系統下達了調取數據的指令,並向其它電腦發送顧客信息,3台電腦將信息發送到了外部服務器。

經過比對,4131名顧客的文件內容與服務器通信記錄一致,確認信息已經洩露。本次洩露的數據包括會員號、會員辦理時間、姓名、出生日期、性別、聯繫方式及其工作地相關信息等,但相關密碼及信用卡號並未洩露。

附錄:國泰航空聲明全文

國泰航空得悉,英國資訊專員辦公室(Information Commissioner’s Office, ICO)於2020年3月4日,就一宗涉及公司於2018年發生的資訊事件發出罰款通知。

我們謹再次就事件表示遺憾及誠摯致歉。我們已採納果斷的措施,從多方面增強公司的資訊科技安全水平,包括數據管理、網絡保安、取覽資料監控、內部教育及宣傳及應對事件靈敏度等等。過去三年,我們已投放大量資金強化公司的資訊科技基建及系統保安,並會繼續在這方面投資資源。

國泰航空一直與英國資訊專員辦公室和相關機構緊密合作,配合有關調查。我們就有關事件的調查顯示,至今並無任何個人資料遭不當使用。

然而我們深切明白,現今的網絡襲擊日趨頻繁及精密,我們會不斷投資並強化公司的資訊科技保安系統。我們繼續與有關當局合作,展示我們不遺餘力地履行保障個人資料合規的承諾。

採訪嘉賓

940萬用戶數據洩露,450萬罰款,國泰航空為“低級失誤”買單 2

趙振平(個人微信號:laohouzi999),太陽塔科技CTO,PostgreSQL中文社區主席,曾出版多本技術書籍,《Oracle數據庫精講與疑難解析》、《成功之路:Oracle 11g學習筆記》、《IT架構實錄》。