2021年8月,美国第三大移动通信运营商T-Mobile披露了一次大规模数据泄露事件,约有1亿名客户的个人信息被窃取。被盗数据包括客户姓名、社会安全号码、出生日期、驾驶执照信息以及部分电话号码和账户PIN码。这次事件是T-Mobile在2018年至2021年期间遭遇的多次数据泄露中规模较大的一次,让通信行业的数据安全保障能力受到了广泛质疑。
事件导入
2021年8月初,一个网络犯罪分子在有名的黑客论坛上发帖出售一批据称来自T-Mobile的数据。安全研究人员和媒体随后进行了验证,确认这批数据确实来自T-Mobile的客户数据库。T-Mobile在经过内部调查后正式确认,约有1亿名客户的个人信息在这次事件中被窃取。值得一提的是,T-Mobile已经在此之前多次遭遇数据泄露事件,包括2018年的客户数据泄露、2019年的预付费用户数据泄露和2020年的员工邮件系统被入侵等,说明该公司的信息安全能力存在持续性的不足。事件曝光后,T-Mobile宣布为受影响的客户提供两年的免费身份保护服务,并承诺将加大在网络安全方面的投入。该事件还引发了多起集体诉讼,最终T-Mobile同意支付5亿美元的和解赔偿。
泄密链路分析
攻击者通过一种被称为"SIM交换攻击"的技术获取了T-Mobile一名员工的凭证,随后利用这些凭证使用T-Mobile内部的一个接口获取了预测入站电话号码的功能。这个内部接口允许对大量的电话号码进行批量查询,攻击者利用该接口对1200万个电话号码进行了扫描,获取了关联的客户信息。在找到漏洞入口后,攻击者进一步利用T-Mobile网络中的另一个安全漏洞,绕过了认证系统直接访问到了存储客户个人信息的数据库。T-Mobile在事后调查中发现,其内部系统中存在多个已存在的安全漏洞,攻击者只是利用了其中一部分。这些漏洞包括接口访问控制缺失、内部服务认证弱化、网络分段不充分以及日志审计不完善等。一系列安全问题的叠加使得攻击者可以相对顺利地完成从内部网络入侵到核心数据访问的整个过程。
企业启示
通信运营商作为基础设施提供者,其信息系统承载着大量客户的个人敏感数据,安全防护要求应当高于其他行业的一般水平。企业内部系统的访问控制必须严格实施,即使是内部接口和工具,也需要进行身份验证和权限管理。对于通信行业拥有的用户身份验证机制,也需要加强安全设计,防止被非授权人员利用。企业还需要对自身的网络安全态势建立清晰的认知,通过定期进行安全评估和渗透测试,及时发现和修补安全短板。
行动建议
通信行业企业应当对内部系统的接口进行全面审查,确保所有内部接口都经过身份验证和授权。对存储客户敏感信息的数据库实施多层防护,包括访问控制、数据加密和审计日志。建立客户数据的安全使用规范,对批量查询和批量导出客户数据的操作设置审批流程和审计记录。对员工的网络访问凭证加强保护,通过多因素认证和最小权限原则降低凭证被窃取后的风险。北京企密安为企业提供通信行业数据安全评估和内部系统安全加固服务,帮助企业构建全方位的客户数据保护体系,欢迎致电010-63711822或访问baomiwang.com。
FAQ
问:SIM交换攻击是什么,企业如何防范? 答:SIM交换攻击是攻击者通过欺骗运营商客服人员将目标的手机号码转移到攻击者控制的SIM卡上,从而获取目标的短信验证码和通话记录。运营商可以通过加强客服身份验证流程和建立SIM卡更换审批机制来防范这类攻击。
问:大型企业为什么频繁发生数据泄露事件? 答:大型企业信息系统庞杂,安全管理的复杂度也相应较高。系统数量多、接口多、人员多,任何一个环节出现安全漏洞都可能被攻击者利用。企业需要建立体系化的安全管理机制,覆盖人员、技术、流程等多个方面,并且持续投入安全资源。
