2012上半年信息安全泄密事件大盘点

2012尚过去半年,发生的信息安全事件相比2011却是有过之而无不及,让更多人不得不正视信息安全的重要性!最大的危险往往就是看不见的危险,需要我们更加正视信心安全的重要性,预防危害发生。

1、  国考天秤被失衡–考研泄密

1月7日,即研究生考试前一天,教育部门监控到网上出现泄题事件,在通知公安部门删除的同时上报。经过连续数月的艰苦努力和缜密侦查,2012年硕士研究生招生考试泄题源头和案情已查清。现已查明,湖南省湘潭市教育考试院招考科科长周文胜为谋取经济利益,利用职务之便,借统一整理试卷之机从湘潭市教育考试院保密室窃取2012年全国硕士研究生招生考试试卷,并复印转卖。

 点评:这年头,每次四六级、高考、研究生考试前,叫卖答案的小广告总能见到。从以前打广告留电话,到现在运用网络比如QQ群,进行大肆叫卖。经公安人员证实,试卷或答案等泄密往往是由于内部人员为谋取一己私利而作出的渎职之举。然而此举却使得原先相对公平的考试机制陷入了不公平的境地,如果有人靠投机取巧上位成功,限于名额,则必然会对那些真正勤奋努力的学子们造成严重打击。

 

 2、  学生志愿被篡改—四川眉山学生高考志愿被篡改案

6月30日上午,四川眉山市万胜高中十余名考生反映,自己所填高考二专志愿均被修改为:四川三河职业学院。调查发现,的确有人通过考生正常网报入口在网报系统关闭前的很短时间内,使用万胜高中13名考生的报名号等进行登录并修改了志愿。经公安部门侦查,四川三河职业学院的老师李某和万胜高中教导处副主任涉嫌非法获取公民信息罪,已经被公安机关刑拘。此外,合江少岷职业技术学校的老师兼招生工作人员涉案也被刑拘。

 点评:高考对于中国的学生来说具备极其特殊的意义,很多人都把这一次考试看成是定终生的机会。为抢夺生源篡改高考志愿的恶行确实令人发指,同时这也说明教育行业在信息安全方面的缺失。这具体表现在安全意识的缺乏,比如有的学校直接将学生的准考证号等张贴在公告栏上,使得校外人员能够轻易获取到,比如今年取消了强制要求更改学生信息系统登陆密码,许多学生保持原来的弱密码,给作案人员留下了机会等等。其后河南、广东湛江等地也再现类似事件,教育业信息安全急待关注与整治。

3、  银行泄密危害忒大—3.15晚会多家银行被曝内部员工私售客户个人信息。

3月15日晚,央视“315”晚会曝光招商银行、工商银行等网上银行失窃案,银行内部员工泄露出售客户信息。其中,招商银行信用卡中心风险管理部贷款审核员胡斌向犯罪嫌疑人朱凯华出售客户个人信息300多份。另外,“315”晚会还曝光中国工商银行客户经理曹晓军通过中介向朱凯华出售个人信息高达2318份。3月16日凌晨,招商银行通过官方微博做出回应:“招商银行对央视‘315’晚会所报道的内容非常重视,特向所有关心、支持招行的客户、朋友表示深深歉意。”

 点评:道歉固然是理所应当,但更要努力挽回用户损失,而更重要的就是加强银行内部信息安全管理。去年差不多也是这个时间,韩国农行内部信息安全漏洞被人利用,导致宕机三天,损失巨大。银行关系到国计民生,兹事体大,特殊机构需特殊对待,在法律法规上更应该加大惩罚力度,保护公民信息安全。

 

4、  高层危机—东软集团泄密

7月24日东软集团爆出知识产权商业犯罪案,涉案人数多达28人,十余人被警方拘捕,案值总计6400余万元。经查明,2011年5月份起,出于经济利益目的,东软某公司现任副总经理李某伙同东软某公司CT机研发部负责人张某、采购负责人岳某等人,以许诺高额经济利益为手段,相继鼓动原东软公司CT机研发部17名核心技术人员窃取公司医用CT机核心技术资料后,相继离职,聚集于北京某公司,于沈阳经济技术开发区某机械厂一厂房内,继续进行医用CT机的技术研发工作。

 点评:该事件也属于离职泄密事件,但有几个不同之处。首先主要泄密人员是公司的高层管理者,一般而言高层享有的信息权限较大,并且往往不在被管控之列;其次这次泄密不是将商业机密泄露给竞争对手,而是自行占用。高层泄密的确是一件不太好管理的事件,如果不管则会增加风险,如果监管又会让高层觉得老板对自己不够信任。其实信息安全本不该只是是靠技术就能解决的问题,企业应努力建立和谐的管理制度,避免内部人员产生不利于企业的念头。

 

5、  离职泄密是新式信息安全炸弹—三星技术泄密

7月16日韩国水原地方检察院表示,涉嫌泄漏三星有机发光二极管(OLED)技术的三星移动显示器(SMD)研究员赵某等6人、接收相关技术信息的LG显示器(LGD)高层郑某等4人,以及LG合作企业高层1人等共11人被起诉。赵某涉嫌在去年5月担任SMD设备开发组组长时,将从SMD职员处获得的信息以及自己业务手册上记载的有关OLED面板大型化的核心技术分7次利用电子邮件等泄漏给了LGD公司。赵某还涉嫌于今年1月在LG合作企业的办公室与SMD职员合谋,举行说明会介绍从SMD盗取的该技术,将这一技术泄漏给了LGD的合作公司。

由于在组织运营等方面产生摩擦,赵某于去年10月从SMD辞职,LG曾承诺作为泄漏技术的回报将安排赵某在LGD工作。帮助赵某泄漏技术的5名三星前任和现任研究员也在去年5-12月间先后跳槽到了LGD工作。

 点评:受欧债危机的影响,全球经济下行,制造业更是不景气,此时行业竞争便异常激烈,甚至会出现非法竞争,比如窃取竞争对手的商业机密。三星泄密已经不是第一次,虽然此前有所警觉,但却无法杜绝。离职人员泄密早已是企业信息安全的一大威胁,在特殊时期企业尤其需要谨慎对待。

 

 6、  电商用户是弱势群体—1号店泄密

5月29日网店商家1号店用户数据遭泄露的事件,颇受关注。据了解,有人通过QQ来兜售1号店的数据,90万用户的资料卖500元。有媒体对信息的真伪做了验证,结果表明大部分用户数据属真实信息。随后1号店向部分被盗用户抛出了一份解决方案:即同意赔付失窃余额,但用户必须签署《关于领取1号店垫付款项的确认函》,对上述事宜予以严格保密,未经1号店书面同意,不会向任何第三方披露或提供任何相关信息,如违反上述约定项,本人将归还1号店所有垫付款项,并同意支付等同数量的违约金。”

 点评:有关调查报告显示,我们国内网站信息安全确实做得不太好,在工业和信息化部计算机与微电子发展研究中心等部门发布的《网站用户口令处理安全性外部测评报告》显示,大部分样本网站在传输口令时,没有做加密处理。其中,12家电子商务网、15家招聘网、10家婚恋网站采用了最不安全的“原始口令明文传输”,对口令没有采取任何技术手段加密。1号店不是第一家出现账户信息泄露的电商,然而其表现的态度却实在不够诚恳,用户在其平台上注册充值,保护用户信息本来天经地义,出现安全问题导致用户受损,赔偿自然也是理所当然,然而却弄出一个霸王协定,用户为了挽回损失貌似只能就范。目前国家在电子商务等领域进行信息安全试点,希望在不久的未来可以很好的改善电商安全环境。

 

7、  暗蛟出水惊世人—公安部集中打击泄露个人信息犯罪。

4月20日公安部组织20个省区市公安机关,统一开展严厉打击侵害公民个人信息犯罪集中行动,发现国家机关单位竟是信息泄露的源头。在各地挖出的“内鬼”中,有公务员、国企职工等等,这里面也包括正式员工和临时聘用人员,涉及到金融、电信、教育、医院、国土、工商、民航等多个行业。如中国移动成都市金堂县福兴镇网点的营销经理向某某,河北保定工商局干部刘某等都利用自己职务之便私售公民个人信息牟取利润。

 点评:在公安部集中打击之下,个人信息泄露犯罪链浮出水面,而国家机关单位竟然是整个链条的开端,这结果让人大吃一惊。目前我国提到个人信息保护的法律法规虽然不少,但实操性却并不如人意,这导致公民个人的信息从收集到删除的整个流程都没有相应的安全规定,公民个人信息安全缺乏保障。目前欧美、日本等发达国家,都有有效的个人信息保护法律与制度,我国也急需在个人信息保护上跟进步伐,保护公民信息不受损害。

 

8、  “安全”反被安全误—赛门铁克源代码泄露

2月7日上午10时15分,一个容量达1.2GB、标题为“赛门铁克的pcAnywhere源代码遭泄露”的文件出现在了BT网站海盗湾(The Pirate Bay),并开放供下载。在产品源代码被黑客在网站公开发布整整一天之后,杀毒软件厂商赛门铁克终于给出了正式回应。赛门铁克发表声明,确认黑客所发布的正是其产品源代码,预计黑客的发布仍将继续。赛门铁克在声明中表示,被发布的源代码是匿名黑客组织在过去几周中所声称已获取的2006版本产品源代码的一部分,赛门铁克和诺顿用户不会因为2006版产品代码的进一步泄露而面临更高的风险。

 点评:做安全的自己被“不安全”了一把,无论“过期”或者“不过期”,无论是会使用户增加风险还是不会,这都给所有安全厂商敲了一个警钟。看来要避免引起黑客的“兴趣”外,更要建立全面完善的信息安全防御体系,做好十足准备。

 

9、  黑客的黑色幽默—雅虎45万用户信息泄露

7月12日,雅虎网站正式确认遭到黑客侵袭,以纯文本方式储存的45万3千个用户登录认证信息泄露并被公开。此次作案的黑客团伙自称“D33DS公司”,他们宣称这些隐私资料是黑进雅虎网站一个子域名后获得的,那里可以轻松看到未加密的账户信息。黑客表示,他们导出数据意在“敲响安全警钟”。让雅虎增强安全措施,也让个人用户提高他们的密码强度。

 点评:咱估计本次侵袭雅虎的黑客本身就是雅虎的用户,只是雅虎在信息安全方面的措施让他们实在看不下去了,于是乎通过给雅虎一次小小的教训,希望其可以加强安全防护。安全事件是由多方面原因造成的,企业的防护措施不给力,用户的信息安全意识不足等等,因此维护安全也需要各方面共同的努力。企业的泄密案件被频繁曝光,人们对此类事件的态度都是一面倒的愤怒加谴责,但其实个人也是需要负相当一部分责任的。企业的防护环境都不能做到无懈可击,我们在心里对其埋怨的同时千万不要忘记加强自身安全意识。

 

10、    程序猿的“利袭”—韩国电信运营商手机用户信息泄露。

韩国电信公司7月29日承认,企业800多万手机用户的个人信息遭电脑“黑客”窃取,警方当天逮捕两名嫌疑人。两名嫌疑人中包括一名供职首都首尔一家信息技术企业的前高级程序员。两人获利至少10亿韩元(约合88万美元)。另有7人因购买信息用于电话销售,由警方登记备案。这家韩国第二大移动通信运营商说,本月早些时候发现遭黑客攻击迹象,随后向警方报案。调查发现,一些黑客今年2月起窃取手机用户信息,包括用户姓名、手机号码和家庭住址,继而转卖给一些电话销售机构。

 点评:不知道从什么时候开始,个人信息成了某些人赚钱的商品,黑客从炫技渐渐向逐利转变,而留给普通消费者的却是无止尽的垃圾短信和骚扰电话。其实有问题并不可怕,可怕的是让问题一直存在,从未有改善。亡羊补牢尤未晚,讳疾忌医入膏肓,希望通讯、商业、银行等涉及大量公民个人信息的机构引以为戒,及时弥补已经凸显出来的漏洞。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注