一点号尚科技7分钟前
12月10日,网传疑似京东12GB用户数据被黑产明码标价售卖,而京东在12月10日当晚通过官方公众号《京东黑板报》对于数据泄露进行了及时回应:表示这部分数据失窃可能源于2013年7月Struts2安全漏洞时间,该漏洞在三年前内发现后就被京东修复,已对可能受影响用户做过了安全升级提示,目前仅有极少部分未进行账号安全升级的用户可能会受到影响。
我认为已经被公布的京东12GB数据泄露,因为早已进行了修补漏洞处置和用户安全升级提醒,其实潜在威胁算是基本可控,更可怕的后果,是大量受类似Struts 2安全漏洞影响的公司和用户还浑然不觉,这些随时可能引爆的隐形安全炸弹,需要动员整个社会和互联网行业的力量来进行安全排雷。
复盘Struts2漏洞始末,处置失当引发业内反思
在京东官方回复中,提到了Struts 2安全漏洞事件,可能对于不太关注信息安全的用户来说,这是一个相对陌生的事件,但正是Sturts 2安全漏洞处置失当,造成了整个互联网数据失窃的巨大危机,企业、政府、机构、个人,几乎所有互联网参与者,都受到了Struts 2漏洞处置失当的影响。
再优秀的大型的操作系统软件或者是数据库软件,都难以避免地存在不同程度的bug或者安全漏洞。当一些网络高手或者是安全组织,发现安全漏洞之后,通常会发出漏洞安全警示,来提醒系统厂商或者软件厂商进行漏洞修补。
但在2013年7月,Apache基金会旗下的Struts,在发现了一处安全漏洞之后并没有像行业通行的发出漏洞警告,而是非常轻率和儿戏地放出了该漏洞的源代码,这就相当于把网络安全的病灶公之于众,即便水平低下的黑客也能知道网络防御的软肋,这使得很多技术很普通的的黑客,也能利用Struts 2安全漏洞相对轻松地获取网络上的各类数据。
本来是很常规的一个安全漏洞,但由于Struts的不恰当处置,导致了黑客们竞相比拼,以利用漏洞侵入网站的数量来做此竞技的标准,这也造成了极其严重的后果,据相关媒体报道,百度、腾讯、淘宝、京东等中国大型网站受到攻击,甚至商业银行和国家级的政府网站也未能幸免。至此,Struts 2安全漏洞事件几乎失控,京东、百度等国内互联网公司,在修补Struts 2安全漏洞之后,向用户发出了修改密码、安全升级的提示。此次网上传出的12GB京东给用户数据,据京东技术部门调查,很可能就发生在Struts 2漏洞事件期间。
严格来说,Struts这个本应作为安全防御守卫者和预警者角色的组织,因为奇葩又诡异的漏洞处置方式,实际上将信息安全的软肋暴露给全球的黑客,成为网络信息黑产业的帮凶,京东不过是公开的受害者之一。
真正的危险,源于未知和浑然不觉
在航海中,真正的危险来自于隐没水面之下的礁石和水手们的大意,而在互联网世界中,我认为真正的信息安全危机同样来自于未知和浑然不觉。当健康的人体被细菌或者病毒侵入之后,人们会有发热、发炎等变化,这种免疫系统的有效提示,给人类的应对来自外界的生化威胁时提供了线索和提示。
相比京东已经被曝光和处理过的用户数据泄露,我认为更具破坏潜力的是,那些在其它网站后台早已被黑客窃取了用户账号、密码、地址等敏感数据而毫无察觉的用户,他们在网络安全黑产中才是真正的”富矿”。
要解决网络安全问题,我认为很重要的一条,就是中国互联网企业要建立信息安全的联盟,就像保险行业信息共享或者银行体系的征信共享,可以通过网络安全的信息共享,增强安全漏洞修补能力,也能够在一家平台出现数据泄漏后,对其它厂商发出撞库风险提示,并通过后台的大数据和防御体系进行协同布防,这要比某家企业单打独斗更有效果。
应该对网络黑产每个环节都进行手术刀式打击
无论是在现实世界,还是在数码世界,绝对的安全都不存在。理论上来说,任何防御体系或密码都是可以被破解的,区别只是在于破解的难度、时间和效益。所以,信息安全的这件事,并不是某一个企业或者组织的事,而是所有互联网产业的参与者都应该高度重视和防范的。
在打击非法获取和买卖数据黑产这件事上,我觉得可以借鉴珍稀动物保护的一些措施,“没有买卖就没有伤害”,不应该只追求数据窃取和贩卖人员的法律责任,我认为对于非法数据的购买者也应该进行严惩,从源头上对信息安全黑产链条上的偷窃者、贩卖者、购买者进行手术刀式的全方位精准打击。
保护用户数据安全和隐私,是互联网企业的本分,但数据失窃或者泄露其实又是无法100%杜绝,所以可以通过建立专项基金来利用第三方商业保险的方式,来尽可能降低数据泄露等意外事件给用户带来的经济损失,并且要定期做用户安全网络安全警示和提升,让他们知道任何互联网都并非是固若金汤,每一个环节防御薄弱,都可以酿成数据失守的后果。
现在不少用户还会认为,信息安全应该由互联网企业和网络警察来管,这不关自己什么事,但事实上,用户的安全意识和使用习惯,对于信息安全也具有非常大的影响。现在很多用户在不同的网站都用一样的账号名和密码,其中一个被攻破,其它所有的账号难逃撞库攻击的风险;有些用户为了图省事好记,用自己或家人的生日做密码,而生日之类的数据信息现在获取成本和难度都非常低,这也给不法分子提供了巨大的便利。
真正的安全,来自于对危险的高度警惕,也来自于对危险行之有效的应对之法。索尼、微软、亚马逊、苹果、IBM等世界产业巨头,甚至是美国五角大楼,都前后出现过用户数据被黑客窃取事件,所以用户对于数据泄露应该有个成熟的心态,不能因为存在数据失窃隐患,就拒绝互联网的便利,那样就真的变成了因噎废食;而应该借每一次信息安全事件的爆发,去正视制度和技术短板,去真正解决信息安全的缺陷和问题。
京东数据泄露事件,目前来看真正受到影响的用户还非常有限,京东的处置也很高效透明,但Struts 2这类的安全漏洞事件可能为整个中国互联网产业发展埋下了很多地雷,这需要用雷霆手段来对抗。打击数据偷窃、交易和消费的网络黑产业已迫在眉睫,这既需要全社会、全行业握紧铁拳打击,也需要每一个互联网的使用者提高信息安全危机意识和防范水准,让不法分子以易乘之机。
