3 月 4 日,英国资讯专员办公室(ICO)发布公告称,因国泰航空未能有效保护客户个人信息安全,导致全球约 940 万客户的个人详细信息泄露,所以对国泰航空罚款 50 万英镑(约 451 万人民币)。据悉,这个罚款金额可能是英国法律指定的最高罚款金额。
1. 事件回溯
据 ICO 称,2014 年 10 月到 2018 年 5 月期间,国泰航空的系统因缺乏安全措施,导致全球约 940 万客户个人信息泄露,其中 111578 人来自英国。泄露的个人信息包括姓名、护照资料、出生日期、电话号码、地址及旅行记录。
2018 年 3 月,国泰航空发现系统出现数据泄露迹象,当时数据库遭到了暴力攻击,短时内提交了大量的密码和短语。2018 年 5 月,国泰航空确认有客户资料外泄,并向香港警方和 ICO 报告了这一事件,其中约 86 万个护照号码及 24.5 万个香港身份证号码曾被不当取阅,403 张已逾期信用卡号码和 27 张无安全码的信用卡号码被不当取阅。2018 年 10 月,国泰航空主动对外披露了这一情况,并表示目前没有证据显示泄露数据遭到不当使用,ICO 也发布声明称,当前确实没有发现确凿的个人数据被滥用的案例,但不排除未来发生的可能性。
为什么国泰航空会发生数据泄露事件呢?根据 ICO 调查发现,国泰航空的系统是通过连接到互联网的服务器被侵入的,并且被安装了恶意软件来收集数据。另外,国泰航空还存在很多基本的安全问题,使得黑客轻松获得了访问权限,例如备份文件没有密码保护,服务器没有应用补丁,应用的操作系统是不再被开发者支持和维护的系统,防病毒保护不足等等。
ICO 调查主管史蒂夫·埃克斯利(Steve Eckersley)表示:“国泰航空系统中基本的安全缺陷数量众多,甚至有些安全措施远低于标准,从最基本的角度来看,该航空公司未能满足国家网络安全中心基本网络要求的五分之四。”
值得注意的是,本次国泰航空被罚 450 万依据的是英国 1998 年通过的《数据保护法》,而不是最近被频频提到的《通用数据保护条例》(GDPR)。主要原因是国泰航空数据泄露发生在 GDPR 生效之前,根据 ICO 披露的信息,未经授权使用国泰航空系统的最早日期是 2014 年 10 月 14 日,最早的未授权访问个人数据的日期是 2015 年 2 月 7 日。
相比于《数据保护法》,GDPR 的惩罚力度可能更大。2018 年 9 月,英国航空公司约 50 万客户的个人及信用卡信息泄露,ICO 做出了拟罚款 1.83 亿英镑的决定,约 16.5 亿人民币。
2. 数据库如何加固?
数据泄露事件时有发生,如果我们总结归纳一下,不难发现,造成数据泄露通常主要是以下三种原因:
- 技术性泄露:譬如被黑客窃取。
- 非技术性泄露:主要是内部人员或者是管理失误造成的泄露。
- 恶意破坏:江湖传说中的“删库跑路”,尤其是内部人员的恶意破坏,危害程度往往更大。
关于如何避免这三种原因造成的数据泄露,我们之前的文章都给出了很多方法和建议。今天我们不从大而全的方面来讲数据安全措施,而是从数据库加固这一点入手。太阳塔科技 CTO 赵振平表示:“数据库加固主要集中在以下几个方面:物理加固、操作系统加固、数据文件加固、数据库防火墙、数据库加固、应用端加固和传输通道加固。”
物理加固(物理隔离)
物理隔离的最佳做法是严格限制对物理服务器和硬件组件的访问。例如,对数据库服务器硬件和网络设备使用具有受限访问权限的锁定房间;通过将备份介质存储在安全的异地位置来限制对备份介质的访问;实施物理网络安全,让未经授权的用户远离网络。
操作系统加固
操作系统是数据库的基石,如果一个人控制了操作系统,也就控制了整个数据库。因此,必须加固操作系统。
最基本的操作是把操作系统升级到高版本,定期给操作系统打上补丁包。防火墙是网络流量的控制器,可以配置为强制实施组织的数据安全策略。如果使用防火墙,则可以通过提供集中安全措施的瓶颈来提高操作系统级别的安全性。
此外,限制操作系统用户,尤其是超级用户,特权用户的使用,建议分级设置多个用户。特权用户由公司管理层保管,或者由多个高级经理保管保留。操作系统的口令要设置的非常复杂。
数据文件加固
数据库使用操作系统文件进行操作和数据存储。要限制对这些文件(通常叫数据文件)的访问。最重要的是,还要对数据文件进行加密,也就是我们所说的透明加密 TDE(Transparent data encryption)。
透明加密技术是近年来针对企业文件保密需求,应运而生的一种文件加密技术。所谓透明,是指对数据库(PostgreSQL、Oracle)来说是未知的,文件在硬盘上是密文,在内存中是明文,数据库对于 TDE 无感知,也就是数据库基本不知道 TDE 的存在。
数据库防火墙
数据库防火墙,是位于应用程序和数据库之间的数据库代理服务器。应用程序连接到数据库防火墙并发送查询,就像它通常连接到数据库一样。数据库防火墙分析预期的查询,并将其传递给数据库服务器,如果认为安全,则将其执行;如果不安全,会阻止 SQL 的执行。数据库防火墙可以防止 SQL 注入。
数据库加固
层层递进,数据库自身也要依靠自己的安全机制进行加密,部分措施如下:
- 设置复杂的用户身份认证方式。
- 在数据库模式对象级别上控制数据库的存取和使用机制。用户要对某个模式对象进行操作,必须要有操作的权限。
- 加强数据库权限和角色管理。通过管理权限和角色,限制用户对数据库的访问和操作。
- 加密存储过程和函数,防止商业秘密的泄露。
- 表级别加密。表级别加密的对象是数据库中的表,数据库中存放的是加密以后的数据。
应用端加固
在应用端加强管理,管理好应用端的用户名和密码。
应用端发送到服务器端的数据,在发送之前,可以从开发人员的角度进行加密,这样写到数据库表中的数据,就已经是加密数据了。
传输通道加固
当客户端 (应用程序) 把 SQL 语句发送给数据库服务器端的时候,有可能被截获;当数据库服务器查询出结果,返回给客户端的时候,也可能被截获。因此,需要对传输通道进行加密,譬如使用 SSL。
3. 盘点航空数据泄露事件
国泰航空数据泄露并不是个例,事实上,由于“不设防”、存在管理漏洞或者系统漏洞等原因,航空行业已经成为了数据泄露的重灾区,各国航空公司都有数据泄露发生。
英国航空公司数据泄露
2018 年 9 月,英国航空透露自 8 月 21 日以来,英航的官网和移动端程序均遭到黑客攻击,导致 38 万用户的个人及信用卡信息遭泄露。而根据英国广播公司的报道,英国航空数据泄露事件始于 2018 年 6 月,涉及 50 万顾客的登录账号、银行卡、旅行预订细节以及姓名和地址等信息。
英航数据泄露的原因是公司的安全防护措施较为脆弱,导致官网上的用户流量被劫持到了一个欺诈网站。
2019 年,ICO 宣布,将对英国航空公司的 2018 年客户数据遭泄露事件开出 1.83 亿英镑罚单,相当于英国航空公司 2017 年营业额的 1.5%。
马印航空公司数据泄露
2019 年,卡巴斯基实验室披露马印航空及泰国狮航约 3 千万乘客的资料被上传存储在开放的亚马逊云服务中,同时有部分数据已经在暗网售卖。泄露的数据包括护照信息、住址和电话号码等,但付款信息并未遭到牵连。
马印航空证实了数据泄露的消息,但表示数据泄露与 AWS 的安全架构无关,而是供职于为马印航空提供电商服务的 GoQuo 公司前职员“不恰当地获取并盗窃了乘客的个人数据”。
日本航空公司数据泄露
2014 年,日本航空公司 (JAL) 内部 20 台电脑遭到恶意软件袭击,开始主动向外部发送数据信息,其中 5 台电脑向顾客管理系统下达了调取数据的指令,并向其它电脑发送顾客信息,3 台电脑将信息发送到了外部服务器。
经过比对,4131 名顾客的文件内容与服务器通信记录一致,确认信息已经泄露。本次泄露的数据包括会员号、会员办理时间、姓名、出生日期、性别、联系方式及其工作地相关信息等,但相关密码及信用卡号并未泄露。
4. 附录:国泰航空声明全文
国泰航空得悉,英国资讯专员办公室(Information Commissioner's Office, ICO)于 2020 年 3 月 4 日,就一宗涉及公司于 2018 年发生的资讯事件发出罚款通知。
我们谨再次就事件表示遗憾及诚挚致歉。我们已采纳果断的措施,从多方面增强公司的资讯科技安全水平,包括数据管理、网络保安、取览资料监控、内部教育及宣传及应对事件灵敏度等等。过去三年,我们已投放大量资金强化公司的资讯科技基建及系统保安,并会继续在这方面投资资源。
国泰航空一直与英国资讯专员办公室和相关机构紧密合作,配合有关调查。我们就有关事件的调查显示,至今并无任何个人资料遭不当使用。
然而我们深切明白,现今的网络袭击日趋频繁及精密,我们会不断投资并强化公司的资讯科技保安系统。我们继续与有关当局合作,展示我们不遗余力地履行保障个人资料合规的承诺。