2014年11月12日,江苏连云港检察院披露,一位多地公安车管系统软件供应商竟变身“黑客”,勾结“黄牛”,在车管所软件系统植入程序,专门代人删除交通违章记录达1.4万余条。
李某利用为连云港、宿迁、南京等市车管所软件系统提供运维凯发k8游戏的技术支持的便利条件,躲避现场监管,将事先编好的删除程序输入,通过修改公安内网服务器的网络配置,避开公安内网报警体系,从互联网远程侵入公安网络系统,非法删除车辆违章记录上万条获利。
截止到案发,公安机关查明李某共计非法删除14000余条交通违章记录,涉案金额1800余万元。三年时间,李某非法敛财650余万元,王某、张某非法获利300余万元。
网民关注:数据库的信息因何被篡改?数据是通过何种渠道泄漏出去的?
本案例中车管所的数据库中的数据被远程修改,其中一个重要的原因就是数据库未进行防护。根据本案例分析,该数据库的部署位置有两种可能,一种是部署在外网,则开发方对数据库进行了直接访问;另一种更大的可能性是,数据库部署在内网,在内外网之间部署了网闸,但这些网闸为了外网的应用服务期能访问到数据库,让数据库访问的通讯协议直接进行了穿透,而未对访问协议中的攻击行为进行控制。
数据库安全领域的专家安华金和指出:
车管所信息系统的数据库中存储着大量驾驶员、机动车、违章记录等敏感信息,这些重要信息存在非法被篡改和盗取的风险;
车管所网上机动车自编自选系统存在漏洞,经过安装互联网选号客户端,进行抓取通信数据包获得注入地址,有“拖库”风险;
外网用户可以通过互联网访问车管所网站,利用黑客攻击手段以web应用服务器为跳板从数据库获取批量敏感信息;
在内部网络环境下,运维人员对数据库的违规操作和数据恶意篡改,未能进行安全审计。
还有其他安全隐患,包括数据库自身漏洞和应用程序开发漏洞,数据库自身漏洞主要是“pl-sql注入”和“缓冲区溢出”两种漏洞有攻击性,需要重点防范;应用程序开发时由于安全验证不到位,可以执行任意sql语句,导致批量驾驶人和车辆信息泄漏。
安华金和数据库安全专家支招如何做好数据库安全保护:
措施一:对从数据库批量导出数据的行为、整表删除、不带条件的更新等恶意行为及时中断数据库操作,防止数据库非法操作行为的发生;
措施二:定期对数据库进行安全风险检查,发现数据库使用中的安全隐患,如弱口令、宽泛权限等及时进行修复;
措施三:数据库漏洞的攻击特征进行识别,通过虚拟补丁技术对来自外网的黑客数据库攻击及时拦截;
措施四:运维人员对数据库中的敏感数据修改,一定要记入审计记录,如果出现非法篡改行为可以进行事后追责定责;
措施五:在应用系统上线前,要对应用和数据库进行安全风险评估测试,及时发现并修复存在的安全隐患,如:sql注入点、后门程序、缓冲区溢出漏洞等。
措施六:对数据库中的敏感字段如违章记录、身份证号、车牌号进行加密存储,即使整库丢失也不会泄密。
信息安全形势严峻,近两年国内频频出现黑客入侵大型网站和数据库,盗取用户资料的情况。
软件工程师入侵公安车管信息系统 给126辆走私车办牌照
【案件描述】2008年,武汉一名软件工程师侵入公安机关车辆驾管信息系统,办起一个“地下车管所”。他通过篡改信息,先后给126辆高档轿车办理假证号牌,非法牟利1500余万元。
【作案手段】武汉人付强此前系深圳某信息技术有限公司武汉办事处软件工程师,曾为省交警总队开发车管信息程序,拥有该信息库的“超级管理员”身份。付强利用自己超级管理员的用户和密码登录数据库,添加黑车牌照数据。同时,付强还向网上黑客购买了破解用户密码的计算程序,在车管系统中录入非法数据。
江苏宿迁一交通协管员帮人消除违章1156条获刑
【案件描述】2011年,江苏泗洪县交通协管员孙小虎盗用民警用户名和密码,多次登录公安交通管理综合应用平台,非法删除1156条违章记录,获利2.4万元。
【作案手段】2011年4月,由于关键部位环节的计算机密码数年得不到修改,孙小虎采取盗用民警用户名和密码的方式,多次登录公安交通管理综合应用平台作案。
试用申请