低级错误引发严重数据泄露事故，知名运营商被罚近7亿元

安全内参9月1日消息，韩国隐私监管机构对SK电讯处以创纪录的1345亿韩元（约合人民币6.88亿元）罚款，原因是这家移动通信巨头因一系列疏漏，将其网络完全暴露在黑客面前。

案件源于今年4月披露的一起数据泄露事件，当时SK电讯承认黑客窃取了近2700万用户的通用用户身份模块（USIM）数据。要知道，韩国全国人口也仅刚刚超过5000万。

该运营商试图通过为受影响客户免费更换SIM卡来缓解后果，但监管机构察觉到了更严重的问题，随即对事件展开全面调查。

韩国个人信息保护委员会（PIPC）表示，这家韩国最大的运营商在互联网系统与内部管理网络之间“甚至没有实施最基本的访问控制”。因此，攻击者轻松渗透了SK电讯的核心系统，获取认证数据并大规模窃取用户信息。

隐私监管机构估算，受影响用户约为2300万，略低于SK电讯最初的说法，但仍相当于全国人口的45%。

监管机构的报告指出，SK电讯几乎在每一道防线都存在失误。公司没有检查入侵检测系统的日志，因而在攻击者暗中勘探其基础设施时错过了异常信号。更严重的是，PIPC发现管理员竟在管理网络服务器上以明文形式存储了数千个服务器凭据。监管机构称，约4899个用户名和密码散布在2365台服务器上，甚至连归属用户服务器（HSS）数据库的访问都没有任何密码保护。

接下来的事情不难想象。凭借收集到的账户信息，入侵者进入管理服务器，安装恶意软件，并直接查询HSS数据库。由此，他们得以查看并提取用户信息，而SK电讯的监控团队对此竟毫无察觉。

监管机构还指出了加密方面的失误：在SK电讯的数据库中，超过2600万个USIM认证密钥（即用于验证用户和提供移动服务的“Ki”值）竟未加密存储。这一漏洞使攻击者能够复制SIM凭据，进而实施大规模身份欺诈或通过克隆设备冒用合法账号。

PIPC在决定中严厉指出：“互联网与内部网络之间的安全环境管理和运行状态极易遭受非法入侵。”

除创纪录的巨额罚款外，SK电讯还被要求采取一系列补救措施，包括完善加密机制、更严格的访问控制，以及对入侵检测系统的实时监控。PIPC表示，处罚金额体现了失误的严重性以及受威胁个人信息的庞大规模。

PIPC的裁决提醒人们，电信公司始终是间谍活动和网络犯罪的高价值目标，而当运营商在基础安全上偷工减料时，监管机构的耐心也在耗尽。这种情况在全球范围内屡见不鲜。不同的是，攻击SK电讯并不需要国家级的高级持续性威胁（APT）。韩国监管机构指出，仅凭其草率的安全措施，就足以让入侵者渗透并窃取用户数据。

江苏深网科技是一家专门从事跨域安全产品开发、销售，提供网络攻防技术服务的网络安全公司，并成立自主品牌“深铠威”。公司主营业务面向工业互联网、物联网等新基建大背景，重点研发、销售跨域安全产品和网络安全工具软件。公司核心团队来自于军队科研院所和国内知名高科技企业，依托核心团队多年的网络安全攻防技术研究，目前已推出网闸、光闸、数据交换平台等跨域交换安全产品以及IPSec VPN和SSL VPN安全网关产品，并拥有了细分领域领先的网络攻防技术研发能力，目前已广泛应用于政府、金融、能源、医疗、教育、交通、传媒等行业。