20亿数据被窃取 全国最大实时公交APP险遭血洗

信息互联时代，不可否认的是，企业的发展越来越多的依托信息技术的演进，大多数企业利用信息化手段提高产出效率，提升产品质量，可还有些企业却想通过信息技术窃取别人的商业数据，妄图利用这种“省时省力”的方法打倒竞争对手，赢得商业战役。近期爆出的意见数据泄露事件就是这样一个活生生的例子。

事件回顾

7月12日，全国最大的实时公交软件“酷米客”被爆出大量后台数据遭泄露，窃取者竟是同行业竞争对手“车来了”。本次泄漏事件涉及“酷米客”大量核心商业数据，间接造成近20亿损失。法 恢恢，7月11日，车来了CEO被南山警方以非法获取计算机系统数据罪拘留。在进行分析之前，小编先做了一下事件梳理：

2014年 酷米客发现一个ip集群，盗取服务器上数据

2015年10 月 酷米客发现在北京的数据被大肆盗取

2016年 01月 谷米科技公司向南山分局 案

2016年06 月 车来了CEO被南山分局拘留

2016年07月 11日 嫌疑人被批准逮捕，案件处于侦查阶段

场景推演

安全事件爆出后，我们在进行技术分析之前，需要先搞清楚数据泄露的原因，才能够提出有针对性的安全加固方案，而找出泄露根本原因必须尝试还原场景。

我们看到，整个事件的核心目标是数据。在还原场景前，我们必须先搞清楚哪种数据被泄露。对于公交手机软件来说，两种数据至关重要：一种是用户个人信息，另外一种是公交车实时返回的GPS数据。GPS数据决定公交手机软件对公交车位置的播 是否准确，是“酷米客”核心业务的基础和支柱。我们通过被爆出遭泄露的三个关键数据进行判断：

1. 酷米客”每天收集的数据大约15亿条;

2. 酷米客注册用户大概有400万;

3. 从2014年开始，就有一个IP集群每天登录“酷米客”服务器上百万次，偷取数据。

如果攻击者的目标是用户信息，则不需要每天登陆服务器且取多次，如此高的访问频率，只有一种可能，攻击者窃取的是GPS实时返回的公交车定位数据。

我们结合公交车软件业务运作方式，抽象出 “酷米客”的数据传输架构，软件的工作运行流程如下图所示：

基于 络层面可以通过后台服务器流量统计和日志分析来识别是否是非用户操作。竞争对手盗取公交信息实时数据，必然是频繁、大并发量、规律的获取数据。通过以上特点可以制定出具针对性的策略：

1. 在单位时间内对每个ip可访问后台服务器的次数做限定、每次访问减1，直至减到0为止，如果该IP继续访问后台服务器，可返回验证图片让用户填写验证码，以保证访问者是真实用户而非恶意软件。

2. 对单一ip的同一时刻大量的访问进行减速处理。通过锁的方式，延长单个ip请求的所有数据回复速度，使大并发短期内拿不到所有数据。让实时数据过期无效。

3. 机器发起访问的频率比较固定，不像人的操作，间隔时间无规则，我们可以给每个IP地址建立一个时间窗口，记录IP地址最近12次访问时间，每记录一次滑动一次窗口，比较最近访问时间和当前时间，如果间隔时间很长判断是用户行为，清除时间窗口;如果间隔不长，返回验证图片让用户填写验证码。这种方式较为常见，可以在一定程度上减缓酷米客遭到的入侵，但并不是一个完善的解决方案。

二、 在数据层面，通过对请求数据的特征和规律判断是否是非用户操作。

在后台应用服务器和支持服务的数据库之间部署数据库防火墙，通过数据库防火墙的应用关联功能可以把对后台服务器提出的请求语句、请求ip、用户信息等与最终向数据库中提取的sql语句做关联。比如：一般情况下杭州的IP应该查询杭州的公交数据信息，如果杭州的IP查询北京的公交信息，这很可能是模拟软件伪装成用户，这样在返回公交信息数据库前，数据库防火墙会阻断数据库的回包，向后台服务器发送信息，让后台服务器向可以链路发送身份验证图片，一旦身份验证图片通过则发送被阻断的数据库回包。如果身份验证超时或不通过，则把该ip纳入数据库防火墙黑名单，以后、、凡是杭州ip请求北京数据的行为直接阻断，不发送到数据库端。这样既及时的阻止了数据被盗取，又减小了数据库的查询压力。

总结

以上两种识别阻断方案针对本次攻击事件提出，虽然可以解决眼前的问题，但并非是最佳的长期解决方案。下次黑客从哪来什么方式用什么技术击的流量有什么特征对不断来袭的未知威胁，未雨绸缪，加强核心数据的感知风险能力，才能形成主动的数据安全防护能力。

反思

迈向大数据时代，核心数据已成为企业的核心竞争力，越来越多的泄漏事件显示，攻击者的目标已逐渐转向企业核心数据库，而现实是，大多数企业的 络安全防护仅仅停留在传统的边界安全部署，对于数据库本身的安全防护则少之又少。“酷米客”的事件以窃取者被逮捕而告终，但如果事情换一个结局，窃取者没有被抓获，那么“酷米客”将要面临的也许是用户、业务的流失，乃至行业地位不保。

法律在努力保护我们，但事后追责只能挽回经济损失，失去的数据、用户、商誉无法弥补，对企业未来的业务影响更是难以预计，面对未知的安全挑战，提前感知，主动防御，全面保护企业核心数据资产，就是保护企业的长远发展。

原文发布时间为：2016年7月22日

文章知识点与官方知识档案匹配，可进一步学习相关知识MySQL入门技能树数据库组成表32028 人正在系统学习中 相关资源：迈创Matrox G200eV