940 万用户数据泄露,450 万罚款,国泰航空为“低级失误”买单
作者丨田晓旭
据 ICO 称,2014 年 10 月到 2018 年 5 月期间,国泰航空的系统因缺乏安全措施,导致全球约 940 万客户个人信息泄露,其中 111578 人来自英国。泄露的个人信息包括姓名、护照资料、出生日期、电话号码、地址及旅行记录。
2018 年 3 月,国泰航空发现系统出现数据泄露迹象,当时数据库遭到了暴力攻击,短时内提交了大量的密码和短语。2018 年 5 月,国泰航空确认有客户资料外泄,并向香港警方和 ICO 报告了这一事件,其中约 86 万个护照号码及 24.5 万个香港身份证号码曾被不当取阅,403 张已逾期信用卡号码和 27 张无安全码的信用卡号码被不当取阅。2018 年 10 月,国泰航空主动对外披露了这一情况,并表示目前没有证据显示泄露数据遭到不当使用,ICO 也发布声明称,当前确实没有发现确凿的个人数据被滥用的案例,但不排除未来发生的可能性。
为什么国泰航空会发生数据泄露事件呢?根据 ICO 调查发现,国泰航空的系统是通过连接到互联网的服务器被侵入的,并且被安装了恶意软件来收集数据。另外,国泰航空还存在很多基本的安全问题,使得黑客轻松获得了访问权限,例如备份文件没有密码保护,服务器没有应用补丁,应用的操作系统是不再被开发者支持和维护的系统,防病毒保护不足等等。
ICO 调查主管史蒂夫·埃克斯利(Steve Eckersley)表示:“国泰航空系统中基本的安全缺陷数量众多,甚至有些安全措施远低于标准,从最基本的角度来看,该航空公司未能满足国家网络安全中心基本网络要求的五分之四。”
值得注意的是,本次国泰航空被罚 450 万依据的是英国 1998 年通过的《数据保护法》,而不是最近被频频提到的《通用数据保护条例》(GDPR)。主要原因是国泰航空数据泄露发生在 GDPR 生效之前,根据 ICO 披露的信息,未经授权使用国泰航空系统的最早日期是 2014 年 10 月 14 日,最早的未授权访问个人数据的日期是 2015 年 2 月 7 日。
相比于《数据保护法》,GDPR 的惩罚力度可能更大。2018 年 9 月,英国航空公司约 50 万客户的个人及信用卡信息泄露,ICO 拟罚款 1.83 亿英镑,约 16.5 亿人民币。
数据泄露事件时有发生,如果我们总结归纳一下,不难发现,造成数据泄露通常就是以下三种原因:
技术性泄露:譬如被黑客窃取。
非技术性泄露:主要是内部人员或者是管理失误造成的泄露。
恶意破坏:江湖传说中的“删库跑路”,尤其是内部人员的恶意破坏,危害程度往往更大。
关于如何避免这三种原因造成的数据泄露,很多文章都给出了方法。今天我们不从大而全的方面来讲数据安全措施,而是从数据库加固这一点入手。太阳塔科技 CTO 赵振平表示:“数据库加固主要集中在以下几个方面:物理加固、操作系统加固、数据文件加固、数据库防火墙、数据库加固、应用端加固和传输通道加固。”
物理隔离的最佳做法是严格限制对物理服务器和硬件组件的访问。例如,对数据库服务器硬件和网络设备使用具有受限访问权限的锁定房间;通过将备份介质存储在安全的异地位置来限制对备份介质的访问;实施物理网络安全,让未经授权的用户远离网络。
操作系统是数据库的基石,如果一个人控制了操作系统,也就控制了整个数据库。因此,必须加固操作系统。
最基本的操作是把操作系统升级到高版本,定期给操作系统打上补丁包。防火墙是网络流量的控制器,可以配置为强制实施组织的数据安全策略。如果使用防火墙,则可以通过提供集中安全措施的瓶颈来提高操作系统级别的安全性。
此外,限制操作系统用户,尤其是超级用户,特权用户的使用,建议分级设置多个用户。特权用户由公司管理层保管,或者由多个高级经理保管保留。操作系统的口令要设置的非常复杂。
数据库使用操作系统文件进行操作和数据存储。要限制对这些文件(通常叫数据文件)的访问。最重要的是,还要对数据文件进行加密,也就是我们所说的透明加密 TDE(Transparent data encryption)。
透明加密技术是近年来针对企业文件保密需求,应运而生的一种文件加密技术。所谓透明,是指对数据库(PostgreSQL、Oracle)来说是未知的,文件在硬盘上是密文,在内存中是明文,数据库对于 TDE 无感知,也就是数据库基本不知道 TDE 的存在。
数据库防火墙,是位于应用程序和数据库之间的数据库代理服务器。应用程序连接到数据库防火墙并发送查询,就像它通常连接到数据库一样。数据库防火墙分析预期的查询,并将其传递给数据库服务器,如果认为安全,则将其执行;如果不安全,会阻止 SQL 的执行。数据库防火墙可以防止 SQL 注入。
层层递进,数据库自身也要依靠自己的安全机制进行加密,部分措施如下:
设置复杂的用户身份认证方式。
在数据库模式对象级别上控制数据库的存取和使用机制。用户要对某个模式对象进行操作,必须要有操作的权限。
加强数据库权限和角色管理。通过管理权限和角色,限制用户对数据库的访问和操作。
加密存储过程和函数,防止商业秘密的泄露。
表级别加密。表级别加密的对象是数据库中的表,数据库中存放的是加密以后的数据。
在应用端加强管理,管理好应用端的用户名和密码。
应用端发送到服务器端的数据,在发送之前,可以从开发人员的角度进行加密,这样写到数据库表中的数据,就已经是加密数据了。
当客户端 (应用程序) 把 SQL 语句发送给数据库服务器端的时候,有可能被截获;当数据库服务器查询出结果,返回给客户端的时候,也可能被截获。因此,需要对传输通道进行加密,譬如使用 SSL。
国泰航空数据泄露并不是个例,事实上,由于“不设防”、存在管理漏洞或者系统漏洞等原因,航空行业已经成为了数据泄露的重灾区,各国航空公司都有数据泄露发生。
2018 年 9 月,英国航空透露自 8 月 21 日以来,英航的官网和移动端程序均遭到黑客攻击,导致 38 万用户的个人及信用卡信息遭泄露。而根据英国广播公司的报道,英国航空数据泄露事件始于 2018 年 6 月,涉及 50 万顾客的登录账号、银行卡、旅行预订细节以及姓名和地址等信息。
英航数据泄露的原因是公司的安全防护措施较为脆弱,导致官网上的用户流量被劫持到了一个欺诈网站。
2019 年,ICO 宣布,将对英国航空公司的 2018 年客户数据遭泄露事件开出 1.83 亿英镑罚单,相当于英国航空公司 2017 年营业额的 1.5%。
2019 年,卡巴斯基实验室披露马印航空及泰国狮航约 3 千万乘客的资料被上传存储在开放的亚马逊云服务中,同时有部分数据已经在暗网售卖。泄露的数据包括护照信息、住址和电话号码等,但付款信息并未遭到牵连。
马印航空证实了数据泄露的消息,但表示数据泄露与 AWS 的安全架构无关,而是供职于为马印航空提供电商服务的 GoQuo 公司前职员“不恰当地获取并盗窃了乘客的个人数据”。
2014 年,日本航空公司 (JAL) 内部 20 台电脑遭到恶意软件袭击,开始主动向外部发送数据信息,其中 5 台电脑向顾客管理系统下达了调取数据的指令,并向其它电脑发送顾客信息,3 台电脑将信息发送到了外部服务器。
经过比对,4131 名顾客的文件内容与服务器通信记录一致,确认信息已经泄露。本次泄露的数据包括会员号、会员办理时间、姓名、出生日期、性别、联系方式及其工作地相关信息等,但相关密码及信用卡号并未泄露。
国泰航空得悉,英国资讯专员办公室(Information Commissioner’s Office, ICO)于 2020 年 3 月 4 日,就一宗涉及公司于 2018 年发生的资讯事件发出罚款通知。
我们谨再次就事件表示遗憾及诚挚致歉。我们已采纳果断的措施,从多方面增强公司的资讯科技安全水平,包括数据管理、网络保安、取览资料监控、内部教育及宣传及应对事件灵敏度等等。过去三年,我们已投放大量资金强化公司的资讯科技基建及系统保安,并会继续在这方面投资资源。
国泰航空一直与英国资讯专员办公室和相关机构紧密合作,配合有关调查。我们就有关事件的调查显示,至今并无任何个人资料遭不当使用。
然而我们深切明白,现今的网络袭击日趋频繁及精密,我们会不断投资并强化公司的资讯科技保安系统。我们继续与有关当局合作,展示我们不遗余力地履行保障个人资料合规的承诺。
采访嘉宾
赵振平(个人微信号:laohouzi999),太阳塔科技 CTO,PostgreSQL 中文社区主席,曾出版多本技术书籍,《Oracle 数据库精讲与疑难解析》、《成功之路:Oracle 11g 学习笔记》、《IT 架构实录》。
InfoQ Pro 是 InfoQ 专为技术早期开拓者和乐于钻研的技术探险者打造的专业媒体服务平台。
这里是 InfoQ 中文站的移动端入口,这里有深度专业的技术内容,独家报道的技术实践,还有专属 InfoQ Pro 会员的福利优惠。
扫描下方二维码关注 InfoQ Pro,免费获得InfoQ独家节目《大咖说》全套视频资源,围观成功人士对技术的理解。
活动即将结束,限时领取,先到先得!
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 最是真情暖人心 7969009
- 2 赵露思就诊照曝光 面容憔悴 7928709
- 3 中国下一代战机画面引爆外媒 7819233
- 4 2024 奋进中国 7705930
- 5 这些炒菜坏习惯 正威胁你的健康 7653562
- 6 老师病逝 200多毕业生赶来送别 7551822
- 7 郭德纲现场还原“因为他善” 7443856
- 8 年猪没按住 男子骑猪狂飙几十米 7361404
- 9 王思聪和懒懒马尔代夫度假 7262571
- 10 影子不会说谎自导自演偷拍被抓 7193079