低级错误引发严重数据泄露事故，知名运营商被罚近7亿元

9月1日消息，韩国隐私监管机构对SK电讯处以创纪录的1345亿韩元（约合人民币6.88亿元）罚款，原因是这家移动通信巨头因一系列疏漏，将其网络完全暴露在黑客面前。

案件源于今年4月披露的一起数据泄露事件，当时SK电讯承认黑客窃取了近2700万用户的通用用户身份模块（USIM）数据。要知道，韩国全国人口也仅刚刚超过5000万。

该运营商试图通过为受影响客户免费更换SIM卡来缓解后果，但监管机构察觉到了更严重的问题，随即对事件展开全面调查。

内部安全防护存在大量低级错误

韩国个人信息保护委员会（PIPC）表示，这家韩国最大的运营商在互联网系统与内部管理网络之间“甚至没有实施最基本的访问控制”。因此，攻击者轻松渗透了SK电讯的核心系统，获取认证数据并大规模窃取用户信息。

隐私监管机构估算，受影响用户约为2300万，略低于SK电讯最初的说法，但仍相当于全国人口的45%。

监管机构的报告指出，SK电讯几乎在每一道防线都存在失误。公司没有检查入侵检测系统的日志，因而在攻击者暗中勘探其基础设施时错过了异常信号。更严重的是，PIPC发现管理员竟在管理网络服务器上以明文形式存储了数千个服务器凭据。监管机构称，约4899个用户名和密码散布在2365台服务器上，甚至连归属用户服务器（HSS）数据库的访问都没有任何密码保护。

接下来的事情不难想象。凭借收集到的账户信息，入侵者进入管理服务器，安装恶意软件，并直接查询HSS数据库。由此，他们得以查看并提取用户信息，而SK电讯的监控团队对此竟毫无察觉。

监管机构还指出了加密方面的失误：在SK电讯的数据库中，超过2600万个USIM认证密钥（即用于验证用户和提供移动服务的“Ki”值）竟未加密存储。这一漏洞使攻击者能够复制SIM凭据，进而实施大规模身份欺诈或通过克隆设备冒用合法账号。

PIPC在决定中严厉指出：“互联网与内部网络之间的安全环境管理和运行状态极易遭受非法入侵。”

除创纪录的巨额罚款外，SK电讯还被要求采取一系列补救措施，包括完善加密机制、更严格的访问控制，以及对入侵检测系统的实时监控。PIPC表示，处罚金额体现了失误的严重性以及受威胁个人信息的庞大规模。

PIPC的裁决提醒人们，电信公司始终是间谍活动和网络犯罪的高价值目标，而当运营商在基础安全上偷工减料时，监管机构的耐心也在耗尽。这种情况在全球范围内屡见不鲜。不同的是，攻击SK电讯并不需要国家级的高级持续性威胁（APT）。韩国监管机构指出，仅凭其草率的安全措施，就足以让入侵者渗透并窃取用户数据。