来源 :飞天诚信2025-09-09
近日,韩国个人信息保护委员会(PIPC)对韩国最大移动通信运营商SK电讯(SK Telecom)处以创纪录的1345亿韩元(约合人民币6.88亿元)罚款,原因是该公司发生了韩国迄今为止最严重的数据泄露事件,导致约9.82GB用户数据外泄,涉及25种个人信息,包括手机号码、国际移动用户识别码(IMSI)、USIM卡认证密钥、网络使用数据、USIM卡所存储的短信和联系人等等。
2025年4月,SK电讯披露了一起重大安全事件。该公司在存储USIM认证密钥和用户数据的核心网络数据库检测到异常活动,网络安全团队立即采取行动隔离了受感染的服务器。2025年5月,韩国政府与SK电讯组成的联合调查委员会发现,情况远比SK电讯披露的更加严重:共有2695万个IMSI(国际移动用户识别码)数据单元泄露,影响了SK电讯的2300万用户以及通过其移动虚拟网络运营商(MVNO)服务的约200万用户(合计占韩国全国人口的约45%);23台服务器被感染,其中15台包含个人客户信息。此外,约29万个国际移动设备识别码(IMEI)记录可能被泄露。调查发现,公司服务器上存在着25个不同的后门程序;最早的入侵行为可追溯到2022年6月,这意味着攻击者已在公司的IT基础设施中潜伏长达三年之久(“网络安全团队立即采取行动”?)。更令人担忧的是,SK电讯直到2024年12月31日才开始记录服务器活动。这导致2022年6月15日至2024年12月31日期间完全缺乏数据记录,无法准确查明哪些数据被窃取或在此期间执行了哪些恶意操作。
PIPC指出,SK电讯几乎在网络安全的每个方面都存在失误。例如,在网络服务器上以明文形式存储了数千个服务器凭据。PIPC称,约4899个用户名和密码(口令)散布在2365台服务器上,而访问归属用户服务器(HSS)核心数据库甚至不需要口令。
此次数据泄露事件影响深远,这相当于韩国近一半人口受到影响,引发了全国性恐慌,大量用户涌向营业厅更换USIM卡。PIPC表示,创纪录的处罚金额体现了失误的严重性以及受威胁个人信息的庞大规模。除巨额罚款外,SK电讯还被要求采取一系列补救措施,包括完善加密机制、更严格的身份认证与访问控制,以及实时监控的入侵检测等等。SK电讯计划在未来5年投入7000亿韩元(约合36.5亿人民币)强化网络安全防护。
曾经接连爆出重大数据泄漏事故的美国电信运营商T-Mobile购买了超过20万枚符合FIDO标准的硬件安全密钥,以增强其信息系统的网络安全防护能力,防范潜在的数据泄露风险。FIDO联盟成立于2012年,致力于安全强度更高、使用更方便且更易于部署的身份鉴别(simpler stronger authentication)。联盟制定了FIDO UAF、FIDO U2F、FIDO2等一系列“无密码”(passwordless)规范,帮助减少全球对密码(口令)的过度依赖。除谷歌之外,FIDO联盟成员还包括微软、苹果、三星、ARM、Intel等等。飞天诚信于2014年加入FIDO联盟,目前是FIDO联盟董事会成员。
飞天诚信构建了丰富的FIDO硬件安全密钥(#FIDO Security Key)产品线,全线产品通过FIDO认证,其安全性能够满足NIST SP 800-63B中最高级别(AAL3)的要求。用户可以通过USB-A、USB-C接口、NFC或BLE接口将FEITIAN FIDO Security Key连接到电脑或手机,快速、安全地完成账号登录或单点登录。飞天诚信FIDO系列产品现已支持Google、AWS等众多在线服务。
SK电讯的数据泄露事件是一次警钟,更是一记重锤。它提醒我们,传统的“用户名+密码”认证方式,已难以应对日益复杂的网络威胁。在“无密码”技术日益成熟的今天,企业与个人都应重新审视自身的安全防护策略。或许,真正的安全,不在于记住多少复杂密码,而在于彻底告别密码本身。未来已来,关键在于我们是否准备好迎接它。