事件回放
31歲的程稚瀚是
ut斯達康資深軟體研發工程師,主要工作是幫助公司解決網路安全問題。此前任華為技術****工程師,負責**移動等公司的裝置安裝。從
2023年2
月,從**移動公司系統進入北京移動公司的充值中心資料庫,獲得最高系統許可權,根據
「已充值
」的充值卡顯示的
18位密碼破解出對應的
34位金鑰,然後把
「已充值
」狀態改為
「未充值
」,並修改其有效日期,啟用了已經使用過的充值卡。在隨後的
4個多月中他在充值資料庫中如此操作,並複製出了
14000
個充值密碼。他把面值
300的充值密碼以
281.5
到285
元面值不等**在網上售出,獲利
380萬。
2023年7
月16日,北京移動接到使用者投訴說購買的充值卡無法充值,這才發現密碼被人盜竊並報警。無法充值的原因是他最後盜取的那批密碼忘記了修改有效日期。
暴露的問題
僅憑這件事情中被**公開的資訊看,移動公司的資訊系統管理有很大的問題。造成這麼大的損失,不僅僅是技術問題,更重要的是內部控制程式上的問題。如果不是程稚瀚最後一次的疏忽,他的所作所為將會是神不知鬼不覺的。
主要管理缺陷有:
1 移動公司對裝置
/服務提供商的管理缺陷。華為完成裝置安裝後,移動公司沒有馬上修改原始密碼,這是導致該事件發生的直接原因。
2 移動公司對密碼的管理缺陷。關鍵裝置的超級使用者密碼沒有做到定期更換。34
沒有異常資料變更的檢查報告機制。事前預防控制沒有,事後的檢查控制也沒有。按說修改密碼狀態和過期日期這種業務性質的操作是很少見的,根據職責分離原則,就算是真正的系統管理員也不能這麼做。但是有
14000
條記錄被異常更新並且沒有被發現,這就是檢查機制的缺陷了。
總結
程稚瀚是為了「測試
」移動公司花上億元安裝的網路安全系統才偶然發現了這個新「財路
」的,但是這個安全系統被他評價為
「沒什麼用
」。可見,要保證資訊系統的安全,技術起很大作用,但並不是萬能的,嚴格健全的內部控制措施也是非常重要的,有時候它比技術措施更加有效