8月26日,顺丰速递湖南分公司宋某在深圳南山区人民法院受审,被指控罪名为:侵犯公民个人信息罪。泄露过程粗暴而简单:宋某将公司业务系统的账号密码出售给他人,导致大量客户个人信息泄露。笔者翻阅了公开披露的司法文书,发现宋某事件并不是个例,即使作为快递行业的领头羊,顺丰也无可避免的出现过多次客户信息泄露事件。
为了支撑超大规模分布、实时性极高的调度要求,顺丰实施了强大的IT系统建设,然而多次数据泄露事件却无情的揭露了这家物流巨头在数据安全管理方面的显著问题,不单是顺丰,这也是我国成长中的IT系统建设的缩影:先建基础信息系统,再逐步完善IT架构的建设思路,为如今频发的数据泄露事件埋下了深坑。
本文只从技术角度对泄露事件进行分析,并提出一些可行的解决思路,希望可以起到抛砖引玉的作用。笔者能力所限,如果存在谬误还望大家不吝赐教。
案情回顾
本文列举五个典型案例,由点及面,分析顺丰可能存在的安全隐患。
案例1. 公司网站账号密码泄露
2016年8月26日,湖南省长沙市顺丰速递有限公司宋任宇,将个人所掌握的公司网站账号及密码出售他人,造成泄露的顺丰用户个人信息大量泄露。
案例2. 编写恶意程序批量下载客户信息
2016年7月东莞市石碣分部仓管员陈洋伙同杨维保,利用杨维保编写的APP软件批量下载客户个人信息,一年间盗取10万余条。
案例3. 内部人员大批量查询客户信息
2015年深圳多名顺丰客户接到诈骗电话,接举报,顺丰公司反查单号发现有员工一月间查询客户记录高达2.8万条,并多次利用他人账号查询信息。
案例4. 通过购买内部办公系统地址、账号及密码,侵入系统盗取信息
2013年,杨某等人在互联网上购买顺丰内部网络系统登录地址、用户名及密码。通过无线网络侵入顺丰内部办公系统,批量下载客户个人信息及快递记录,非法贩卖从中牟利。截至案发,杨某等人共非法获取个人信息180万余条。
案例5. 总部研发人员从数据库直接导出客户信息
2013年顺丰的深圳福田总部,研发工程师严某利用职务之便,从顺丰公司数据库众直接导出客户个人信息,进行出售。
从顺丰IT系统架构中找“嫌疑人”
我们发现多起案件的泄露来源涉及顺丰不同系统模块,在分析案例前,笔者先去了解了顺丰的业务流程及核心应用系统。
ASURA(阿修罗)系统,顺丰以此为核心构建了庞大的全自动货物调配系统。每位员工分配账号,每个岗位仅开放阿修罗系统相关权限,而上述5个案例却是通过不同业务端进入系统盗取数据,实施犯罪。
下图中橙色方框内是顺丰内网系统,以ASURA为核心,关联营运货物跟踪、客户关系管理、数据存储中心、呼叫调度中心等若干业务系统。
黄线部分是顺丰的主要业务流程:快件收发、快件中转、快件派送。
绿线是各个网点与及GPS服务与ASURA系统间的访问交互,用于管理查询快件信息和分配工作。
紫线的访问路径支撑顺丰的网络或电话服务,用于客服处理用户问题、投诉、查询等个性化需求。
顺藤摸瓜,通过分析模块间的访问路径,我们能够分析出可能存在的数据泄露轨迹。
绿线中的“嫌疑人”
整个顺丰业务的主线,也是有最多机会接触到用户数据的一条路径。涉及到的角色有三类:快递员、仓库管理员和信息录入员。
快递员是接触用户的第一只手。按照管辖区域分配,快递员可以接触到该区域用户所填写的面单,利用“巴枪”(HHT手持设备)进行接/发单记录。每个快递员会分配一个账号,可以通过“巴枪”查询库管分配到的运单信息,包括客户个人信息。粗略估计,一名快递员一天的收发件数量在60-70个左右,加之顺丰严格的“收一派二”制度(收件1小时内,送件2小时内),快件在快递员手上逗留的时间有限,如果窃取,必然是小规模的数据量。另一方面,顺丰快递收入较同行业水平普遍高出1到3倍,确实没太大必要靠贩卖数据“挣外快”。
第二类有机会接触到用户信息的就是仓管员和信息记录员。信息记录员负责把面单信息与扫描到ASURA中的数据信息进行比对,修改扫描错误的单子,因此拥有运单信息的查询和修改权限。由于此岗位的工作时间一般为下午2点到晚上10点,于是某些顺丰录入员为求工作方便,在家通过远程VPN远程登陆公司系统完成工作。异地登录存在安全隐患,同时相比快递员,信息记录员收入较低,并且有部分为兼职和外包人员。案例1中的宋某疑似就是一名信息录入员,具体会在后面详细说明。
仓管员同样会接触到数据。他们与快递员拥有类似的“巴枪”,但两者权限不同。仓管巴枪用于快件出入仓、运输装车、问题件处理等环节。一般情况下,仓管的账号只能读取该分站点的物流信息,不能读取用户信息,但仓管可以以运单图片不清楚为由,向上级申请高权限账号,即可以从ASURA中查询数据,如下图
紫线中可排除“嫌疑人”
紫色访问路径主要应对用户查询开通。接线员可以用ASURA对某单进行查询,但查询结果只显示快件状态,来电号码和用户信息基本无从获取。
红线
红线中的“嫌疑人”
红线表示ASURA与其他统计分析系统的交互或数据处理。工程师是这个环节的重要实施人员,在这个环节中,通过测试库和统计平台他们可以轻易获取大量真实用户信息。这成为一个很危险的数据泄露点。案件5就是这样一个真实案例。
好了,我们以各岗位职责为线索,通过梳理所有可接触数据的人群,分析他们的工作模式,发现在现有体制下,录入员、仓管员和工程师为最易泄露数据的人群。这也正对应到材料中的案情分布情况。
从技术角度还原案发经过
我们发现,案例1-4中的泄露途径发生在黄色路径上,“嫌疑人”指向仓管员或录入员身上,案例5则是红线的问题,可能涉及内部工程师。我们来分析一下他们的作案手段。
案例1
我们推测宋某为顺丰录入员,并且正是使用了VPN远程访问ASURA进行数据校对和修改,由于宋某清楚自己账号的所有行为都会被ASURA记录,为了免责,宋某向不法分子卖出的是自己的VPN账号和另一名同事的系统账号,天真的以为即便事情败漏也不会牵连到自己身上,但最终难逃法律的制裁。
案例2
主角陈洋为顺丰集散点的仓库管,杨维保是顺丰的技术工程师,擅长写APP程序。陈洋让杨维保编写了一个针对ASURA接口,模拟巴枪查询订单信息的APP。陈洋在自己手机上安装此APP,通过自己账号对ASURA进行查询操作,但由于权限低,无法查询更详细的信息。于是陈洋以巴枪扫描图看不清为由向主管部门多次申请高权限用户,利用手机APP进行更详细的信息查询,直接存入手机中。由于顺丰单号存在固定的意义和算法,陈洋甚至可以按照需求有针对性的获取用户信息。最终共盗取订单数据十余万条。
案例3
发生顺丰客户集体被骗事件后,ASURA进行反查发现某查询过该批运单的员工一个月进行了2.8W条运单信息查询,从而确认该员工盗存在取数据行为。
案例4
与前三个案例不同,犯罪人杨某非顺丰内部人员,而是向顺丰员工购买了内网系统登录地址、用户名及密码。通过连接顺丰快递枝江网点无线网络进入顺丰公司内部,通过ASURA,4个月之间获取订单信息约180万条。
从案发经过看顺丰的安全弱点
1.事后追查or实时告警
我们发现顺丰能够在事后统计出数据泄漏量及泄漏途径、嫌疑人。这说明顺丰的IT系统具备事件发生后的追查能力,而几个案件共通的内部人员泄漏点恰恰说明:顺丰内部的安全系统缺乏主动预警和安全问题发现能力;虽然在事后可以通过审计记录分析追查,但损失无法弥补。
2.如果绑定IP和MAC地址,一切都会不一样……
顺丰集散点的网络大多采用动态IP的方式,未实现严格的IP管理和Mac地址管理。如果采用静态IP和MAC绑定,案例2中陈洋的手机则无法通过WIFI和其台式机相互通讯,无法进行数据盗取的行为(顺丰的台式机禁止USB口)。案例4中如果采用IP静态分配,不法分子即便买了路由的账号和密码也无法链接内网中(静态路由不会自动给新加入的设备分配IP,没有IP无法通讯。)
3.一个账号不够就多来几个!
案例1和案例3中,都出现了多个账号登陆同一台机器的情况。由于批量下载的限制,只能使用一次少量条数的查询方式,但多个账号同时使用可以提高盗取数据的效率。同时,多账号访问可以扰乱审计系统判断,一定程度上隐藏内鬼行为。
顺丰泄漏事件的诊断结果:需要增强综合安全防护能力
作为全国物流行业的领头羊,顺丰对于基本的安全措施,特别是便捷安全手段上,确实具备一定的安全基础,但一系列案件暴露出来的问题,指向同一个痛点:内外人员勾结引起的安全威胁正迅速蔓延。由于我国的早期安全建设主要围绕边界安全进行,忽视内部防护的后果正在抵消多年积累的战果;同时,数据黑产的出现,使信息贩卖的收入远高于本职工作,这是内部人员铤而走险的主要原因。
从安全弱点看解决之道
当你的手里只有一把锤子,会感觉一切的问题都是钉子。笔者多年来从事数据库攻防研究,可以说别无他长,当手握“数据库安全技术”这把唯一的锤,看到顺丰的案件,真的只想干一件事:把这枚数据泄露的“钉子”砸下来。怎么砸?该是发挥一技之长的时候了!
上面案例暴露了顺丰数据库安全防护四宗罪:
l 审计后不做智能分析
l 接入新ip缺乏告警
l 同一台IP和用户未做绑定
l 多用户登入一台机器不做告警。
针对上述几个案例的共同特征,通用的解决方案是:基于数据库审计形成综合安全防护,这里的核心技术两点:数据库应用关联审计和定期统计预警。
应用关联设计简单来说就是把数据库端会话信息和应用端会话信息相互绑定和关联。通过数据库端信息判断用户,在应用侧操作的目的和行为的趋势。根据目的和行为趋势判断该用户当下是否异常。发现异常操作自动向相关部门告警。如下图所示:
应用关联审计产品旁路部署于数据存储中心,实时审计ASURA发向数据存储中心的数据请求。在ASURA上安装插件,由插件向关联审计产品发送集散点和ASURA之间的应用访问数据。关联审计产品把数据库端信息和应用端数据相互关联。
防护效果
当不法分子使用内部账号通过ASURA访问数据,此行为会被应用关联审计记录下来。通过审计分析系统的内置分析引擎,每天、每周、每月、每年,应用关联审计会针对每个IP账号进行查询数量、查询间隔、查询时间进行统计,形成查询走势图,结合同期历史数据做比对。一旦发现明显查询数据量增大、查询间隔存在类似机器的行为、趋势稳定变化等情况即刻向安全部门告警,并提供详细报表和对比数据。
比如案例3中,内部人员一次性下载2.8万条数据,是明显的异常行为,此时必须迅速进行告警;同时,该员工使用多人账号登陆,很有可能是在同一台机器上,这是一个明显的异常行为,应当及时告警。
如果顺丰使用了具备应用关联审计、批量下载预警、异常行为发现能力的数据库访问审计和风险预警产品,而可以根据变化快速锁定问题账号问题机器;帮助安全部门揪出顺丰中的内鬼,减少企业数据泄露的损失。
针对内部技术人员,数据库脱敏系统+数据库运维管控=纯净的数据生存环境
在顺丰的系列案件中,有一个比较特殊,案例5中工程师严某直接利用自身权限从数据库中下载客户资料。作为物流行业的领跑者,在IT系统建设和安全治理方面,顺丰的脚步应属领先。我们更愿意相信,这次的数据泄露应该是从测试数据库中下载而非生产库,但由于测试库中信息没有做任何安全处理,才使严某直接拿到真实数据。
严某的例子辐射的不只是顺丰的工程师,测试人员、数据分析员、第三方开发人员等都具备类似严某的便利条件。由于工作需要可以无限制的从数据库中提取数据。而事实上,测试、分析、开发等场景中,并不需要使用完整的真实信息,完全可以通过数据脱敏产品,将敏感信息进行处理后再交由相关人员。
脱敏处理的同时,并不能忽视对数据库的访问行为进行严格的运维管控,对特殊敏感表的批量下载行为要经过严格的事前审批和事中监控,数据本身的安全性及访问行为的安全管控结合,360度无死角的保护,这样的数据生存环境才真正纯净。
小结
应用关联审计、数据库脱敏、数据库运维管控等多种内部信息访问审计和监控的武器可以帮助企业打赢信息泄露的攻坚战。如今,“信息泄露”已经取代木马、病毒等成为企业安全第一威胁。同时,主要泄露途径也由外部黑客入侵逐渐向内外勾结转变。顺丰的5起案件成为最典型的佐证。
随着数据信息的价值逐步攀升,越来越多的“顺丰式内鬼”在企业内部蠢蠢欲动。希望本文给已经面对和即将面对此类问题的企业一个思考方向。