1.3亿人身份信息不再隐私 又双叒叕是数据泄露?

发布时间 2018-08-28

8月28日凌晨,某纳斯达克上市酒店旗下所有品牌酒店的开房记录遭到泄露,从而引发股价大跌7%,这些开房记录已经在黑市上进行售卖。数据泄露范围包括:官网注册资料(身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录);入住登记身份信息(姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条);酒店开房记录(内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条)。
 


图1:个人信息
 


图2:售卖信息
 
该事件对我们的数据安全防护再次敲响了警钟,公民的个人敏感数据遭到了严重威胁。随着大量系统的建成和互联网应用的广泛使用,汇聚积累了众多有价值的数据,为大家生活和工作带来便利的同时也暴露出越来越多的安全问题,个人隐私、企业资产等重要数据极易造成泄露。

合众安全审计日志分析系统(以下简称“LAS”)可应对并处理此类事件。正是通过其相关的解决方案,近日还发现了一起类似的内网用户异常访问事件。

主动分析    通过定时任务的方式对酒店内部系统用户进行异常行为分析

在内网用户异常访问事件中,LAS定时分析任务结果显示,某用户存在于“访问总量高且查询存在规律”以及“非工作时间大量访问”的分析结果中,且访问总量与非工作时间查询量超高。



综合研判    从多个维度分析酒店内部系统用户行为是否异于常规模型


通过查看该用户的人物画像数据,存在非工作查询占比高、单日访问量过高以及查同一人次数过高的风险。

该用户的访问分布于所有工作时间,并在非工作时间存在大量访问,非工作时间查询占比经常趋近于1。

该用户仅在5月份就具有十多次单日访问量过高的风险操作。
 

通过查看该用户的人物档案,发现该用户在2018年4月与2018年5月有大量的非工作时间查询,总次数约为72万多次,同期相比同机构用户的平均周访问量及平均月访问量水平,幅度极大。

另外,日访问量有幅度明显较大的2次突变。
 

通过调看该用户的详细日志进行研判,在大多数时间,用户的查询频率为不到2秒一次,属于高频查询。访问查询具有明显的时间间隔短、频率高的特征。查询过程多为“模糊查询+大量精确查询”。

在2018年4月到2018年5月间,该用户存在访问总量大、查询频率高、查询内容相对单一等访问特征;且访问分布在全天各个时段,持续时间长,并具有大量的非工作时间查询,违背了正常的作息时间及工作状态。基本可以确认该用户可能存在异常违规行为。

 ■■■■

综上所述,如果该酒店部署合众安全审计日志分析系统,可以有效缓解数据泄露所带来的烦恼。合众安全审计日志分析系统,通过采用主动分析和综合研判的复合处理方式,并结合有监督的机器学习可以提供具有实战价值的用户异常行为分析,建立完整的事前预警、事中监测、事后分析的安全管控机制,是广大客户预防数据泄露不错的选择。