國內某金融公司現“內鬼”,單價最低2毛錢出售數百萬條個人資訊
也許你能扛得住黑客入侵,防得了郵件釣魚,但卻栽在了自己人手裡。據《財經》雜誌報道,80%的資料洩露是企業內鬼所為,黑客入侵及其它方式近佔20%。還是那句話,人性才是系統最大的漏洞……
2018年,FreeBuf報道過不少的資料洩露事件,但其中卻比較少是因為內鬼二引起的,如果真如前所說的4:1比例,那意味著絕大部分內鬼作案的資料洩露是我們不知道的,畢竟內部人士作案也是最不容易被發現的手段之一。
可能是因為“內鬼”獲取資料太容易,你永遠想象不到一直小心翼翼保護的資訊是如何被賤賣的。
國內某金融公司出現“內鬼”
2018年底,裁判文書網公佈了一則侵犯公民個人資訊罪的刑事判決書,其中詳細記錄了張某在深圳佰仟金融任職期間,利用職權獲取數百萬條公民個人資訊,亦每條0.2元至0.5元的價格販賣給他人非法牟利近40多萬元。
據瞭解,張某從2017年4月份開始任職佰仟金融服務郵箱公司資料工程師,通過連結公司管理資料庫的方式匯出大量含有客戶姓名、電話、身份證號碼等內容的個人資訊,後通過QQ、微信等聊天工具販賣給他人,每條個人資訊價格僅為0.2元、0.5元不等。
2018年1月17日,張某被以涉嫌侵犯公民個人資訊罪被公安局刑事拘留,2月7日正式被逮捕。在對張某所持有的一部手機及一臺膝上型電腦進行檢查,發現還存有2797371條個人資訊。
根據佰仟金融服務有限公司的規定,張某所任崗位確實有券查詢、接觸及調取相應的業務資料,但同時高崗位有義務嚴格遵守保密制度,不得洩露公司的資訊。
最終在2018年12月份二審判定,張某非法獲取公民個人資訊並出售,情節特別嚴重,判處有期徒刑五年,處罰金41萬元。
正如前文所提到,80%的資料洩露是因為內鬼,利用自己的特權能夠直接接觸敏感資料,或者在系統中放置後門,即便一天兩天不出事,但誰能保證永遠都不出事呢?畢竟在利慾的驅使下,人性是最靠譜的東西。這意味著,絕大多數公司裡,都存在著定時炸彈,不同的是,有的爆了,有的還一直在潛伏。
內部威脅成為亟待解決的安全問題
為了抵禦外部威脅,企業做了內外網分離,卻一定程度上預設內網是安全的。日益頻繁的資料洩露事件,時刻都在警示我們,威脅不只是來自於外部,內部威脅已經成為一個亟待解決的問題。一個新的概念已經出現,零信任安全架構,其基本理念就是,任何人都是不可信的。如在本案例中,即便張某有部分許可權,獲取到的資料可以是被加密的密文,任何敏感的操作都被系統記錄,不解密的資料則毫無價值。
Google、Forrester、Palo Alto等企業較早地將這種理念付諸實踐,已經成為近兩年最熱門的關鍵詞之一,國內已經有不少公司吸收並採用這種理念進一步對內網安全進行升級。也許零信任安全可能並不能完全解決企業內鬼的問題,但卻能夠將這種風險出現的可能性儘可能降低,未來可期。
關於零信任安全架構的內容,FreeBuf 釋出過多篇相關內容進行解讀,感興趣地可搜尋關鍵詞查閱: https://search.freebuf.com/
*參考來源: 中國裁判文書網 ,本文作者shidongqi,轉載請註明來自FreeBuf.COM