3 月 4 日,英國資訊專員辦公室(ICO)發佈公告稱,因國泰航空未能有效保護客戶個人信息安全,導致全球約 940 萬客戶的個人詳細信息洩露,所以對國泰航空罰款 50 萬英鎊(約 451 萬人民幣)。據悉,這個罰款金額可能是英國法律指定的最高罰款金額。
事件回溯
據 ICO 稱,2014 年 10 月到 2018 年 5 月期間,國泰航空的系統因缺乏安全措施,導致全球約 940 萬客戶個人信息洩露,其中 111578 人來自英國。洩露的個人信息包括姓名、護照資料、出生日期、電話號碼、地址及旅行記錄。
2018 年 3 月,國泰航空發現系統出現數據洩露跡象,當時數據庫遭到了暴力攻擊,短時內提交了大量的密碼和短語。2018 年 5 月,國泰航空確認有客戶資料外洩,並向香港警方和 ICO 報告了這一事件,其中約 86 萬個護照號碼及 24.5 萬個香港身份證號碼曾被不當取閱,403 張已逾期信用卡號碼和 27 張無安全碼的信用卡號碼被不當取閱。2018 年 10 月,國泰航空主動對外披露了這一情況,並表示目前沒有證據顯示洩露數據遭到不當使用,ICO 也發佈聲明稱,當前確實沒有發現確鑿的個人數據被濫用的案例,但不排除未來發生的可能性。
為什麼國泰航空會發生數據洩露事件呢?根據 ICO 調查發現,國泰航空的系統是通過連接到互聯網的服務器被侵入的,並且被安裝了惡意軟件來收集數據。另外,國泰航空還存在很多基本的安全問題,使得黑客輕鬆獲得了訪問權限,例如備份文件沒有密碼保護,服務器沒有應用補丁,應用的操作系統是不再被開發者支持和維護的系統,防病毒保護不足等等。
ICO 調查主管史蒂夫·埃克斯利(Steve Eckersley)表示:“國泰航空系統中基本的安全缺陷數量眾多,甚至有些安全措施遠低於標準,從最基本的角度來看,該航空公司未能滿足國家網絡安全中心基本網絡要求的五分之四。”
值得注意的是,本次國泰航空被罰 450 萬依據的是英國 1998 年通過的《數據保護法》,而不是最近被頻頻提到的《通用數據保護條例》(GDPR)。主要原因是國泰航空數據洩露發生在 GDPR 生效之前,根據 ICO 披露的信息,未經授權使用國泰航空系統的最早日期是 2014 年 10 月 14 日,最早的未授權訪問個人數據的日期是 2015 年 2 月 7 日。
相比於《數據保護法》,GDPR 的懲罰力度可能更大。2018 年 9 月,英國航空公司約 50 萬客戶的個人及信用卡信息洩露,ICO 擬罰款 1.83 億英鎊,約 16.5 億人民幣。
數據庫如何加固?
數據洩露事件時有發生,如果我們總結歸納一下,不難發現,造成數據洩露通常就是以下三種原因:
- 技術性洩露:譬如被黑客竊取。
- 非技術性洩露:主要是內部人員或者是管理失誤造成的洩露。
- 惡意破壞:江湖傳說中的“刪庫跑路”,尤其是內部人員的惡意破壞,危害程度往往更大。
關於如何避免這三種原因造成的數據洩露,很多文章都給出了方法。今天我們不從大而全的方面來講數據安全措施,而是從數據庫加固這一點入手。太陽塔科技 CTO 趙振平表示:“數據庫加固主要集中在以下幾個方面:物理加固、操作系統加固、數據文件加固、數據庫防火牆、數據庫加固、應用端加固和傳輸通道加固。”
物理加固(物理隔離)
物理隔離的最佳做法是嚴格限制對物理服務器和硬件組件的訪問。例如,對數據庫服務器硬件和網絡設備使用具有受限訪問權限的鎖定房間;通過將備份介質存儲在安全的異地位置來限制對備份介質的訪問;實施物理網絡安全,讓未經授權的用戶遠離網絡。
操作系統加固
操作系統是數據庫的基石,如果一個人控制了操作系統,也就控制了整個數據庫。因此,必須加固操作系統。
最基本的操作是把操作系統升級到高版本,定期給操作系統打上補丁包。防火牆是網絡流量的控制器,可以配置為強制實施組織的數據安全策略。如果使用防火牆,則可以通過提供集中安全措施的瓶頸來提高操作系統級別的安全性。
此外,限制操作系統用戶,尤其是超級用戶,特權用戶的使用,建議分級設置多個用戶。特權用戶由公司管理層保管,或者由多個高級經理保管保留。操作系統的口令要設置的非常複雜。
數據文件加固
數據庫使用操作系統文件進行操作和數據存儲。要限制對這些文件(通常叫數據文件)的訪問。最重要的是,還要對數據文件進行加密,也就是我們所說的透明加密 TDE(Transparent data encryption)。
透明加密技術是近年來針對企業文件保密需求,應運而生的一種文件加密技術。所謂透明,是指對數據庫(PostgreSQL、Oracle)來說是未知的,文件在硬盤上是密文,在內存中是明文,數據庫對於 TDE 無感知,也就是數據庫基本不知道 TDE 的存在。
數據庫防火牆
數據庫防火牆,是位於應用程序和數據庫之間的數據庫代理服務器。應用程序連接到數據庫防火牆併發送查詢,就像它通常連接到數據庫一樣。數據庫防火牆分析預期的查詢,並將其傳遞給數據庫服務器,如果認為安全,則將其執行;如果不安全,會阻止 SQL 的執行。數據庫防火牆可以防止 SQL 注入。
數據庫加固
層層遞進,數據庫自身也要依靠自己的安全機制進行加密,部分措施如下:
- 設置複雜的用戶身份認證方式。
- 在數據庫模式對象級別上控制數據庫的存取和使用機制。用戶要對某個模式對象進行操作,必須要有操作的權限。
- 加強數據庫權限和角色管理。通過管理權限和角色,限制用戶對數據庫的訪問和操作。
- 加密存儲過程和函數,防止商業秘密的洩露。
- 表級別加密。表級別加密的對象是數據庫中的表,數據庫中存放的是加密以後的數據。
應用端加固
在應用端加強管理,管理好應用端的用戶名和密碼。
應用端發送到服務器端的數據,在發送之前,可以從開發人員的角度進行加密,這樣寫到數據庫表中的數據,就已經是加密數據了。
傳輸通道加固
當客戶端 (應用程序) 把 SQL 語句發送給數據庫服務器端的時候,有可能被截獲;當數據庫服務器查詢出結果,返回給客戶端的時候,也可能被截獲。因此,需要對傳輸通道進行加密,譬如使用 SSL。
盤點航空數據洩露事件
國泰航空數據洩露並不是個例,事實上,由於“不設防”、存在管理漏洞或者系統漏洞等原因,航空行業已經成為了數據洩露的重災區,各國航空公司都有數據洩露發生。
英國航空公司數據洩露
2018 年 9 月,英國航空透露自 8 月 21 日以來,英航的官網和移動端程序均遭到黑客攻擊,導致 38 萬用戶的個人及信用卡信息遭洩露。而根據英國廣播公司的報道,英國航空數據洩露事件始於 2018 年 6 月,涉及 50 萬顧客的登錄賬號、銀行卡、旅行預訂細節以及姓名和地址等信息。
英航數據洩露的原因是公司的安全防護措施較為脆弱,導致官網上的用戶流量被劫持到了一個欺詐網站。
2019 年,ICO 宣佈,將對英國航空公司的 2018 年客戶數據遭洩露事件開出 1.83 億英鎊罰單,相當於英國航空公司 2017 年營業額的 1.5%。
馬印航空公司數據洩露
2019 年,卡巴斯基實驗室披露馬印航空及泰國獅航約 3 千萬乘客的資料被上傳存儲在開放的亞馬遜雲服務中,同時有部分數據已經在暗網售賣。洩露的數據包括護照信息、住址和電話號碼等,但付款信息並未遭到牽連。
馬印航空證實了數據洩露的消息,但表示數據洩露與 AWS 的安全架構無關,而是供職於為馬印航空提供電商服務的 GoQuo 公司前職員“不恰當地獲取並盜竊了乘客的個人數據”。
日本航空公司數據洩露
2014 年,日本航空公司 (JAL) 內部 20 臺電腦遭到惡意軟件襲擊,開始主動向外部發送數據信息,其中 5 臺電腦向顧客管理系統下達了調取數據的指令,並向其它電腦發送顧客信息,3 臺電腦將信息發送到了外部服務器。
經過比對,4131 名顧客的文件內容與服務器通信記錄一致,確認信息已經洩露。本次洩露的數據包括會員號、會員辦理時間、姓名、出生日期、性別、聯繫方式及其工作地相關信息等,但相關密碼及信用卡號並未洩露。
國泰航空得悉,英國資訊專員辦公室(Information Commissioner’s Office, ICO)於 2020 年 3 月 4 日,就一宗涉及公司於 2018 年發生的資訊事件發出罰款通知。
我們謹再次就事件表示遺憾及誠摯致歉。我們已採納果斷的措施,從多方面增強公司的資訊科技安全水平,包括數據管理、網絡保安、取覽資料監控、內部教育及宣傳及應對事件靈敏度等等。過去三年,我們已投放大量資金強化公司的資訊科技基建及系統保安,並會繼續在這方面投資資源。
國泰航空一直與英國資訊專員辦公室和相關機構緊密合作,配合有關調查。我們就有關事件的調查顯示,至今並無任何個人資料遭不當使用。
然而我們深切明白,現今的網絡襲擊日趨頻繁及精密,我們會不斷投資並強化公司的資訊科技保安系統。我們繼續與有關當局合作,展示我們不遺餘力地履行保障個人資料合規的承諾。
閱讀更多 InfoQ 的文章
