應該如何客觀和平靜的看待昨天流傳的所謂12G數據泄露事件?
第一,并不存在的數據之謎。一份2013年因為Struts官方披露導致的數據流失,盡管涉及到國內的很多銀行、政府機構、幾乎所有的大中型互聯網公司,但事實證明,三年當中并沒有因此發生過真正的惡性事件。相比于電信詐騙的等網絡黑產重災區,幾乎損失寥寥。
第二,電商雖然跟金錢掛鉤最緊密,但也是安全防護措施最嚴格的互聯網平臺。我們從這幾年著名的大型信息泄露事件來分析,不難發現,無論是蘋果icloud的賬戶泄露,導致多位被騙女生死亡的電信詐騙,大麥網的撞庫事件,或者去年的考研用戶信息泄露,這些國內外主要的網絡安全案例,極少出現在電商平臺。
所以,我們不難得出結論,任何一個數據泄露的傳言背后,可怕的力量并不是事件本身,而是對事件的不了解,所帶來的盲目恐慌。這件事的本質,到底要怎么看?
一份陳舊的數據 影響力可以忽略不計
針對12月10日,有關疑似京東數據外泄的消息。京東的回應是:經京東信息安全部門依據報道內容初步判斷,該數據源于2013年Struts 2的安全漏洞問題,當時國內幾乎所有互聯網公司及大量銀行、政府機構都受到了影響,導致大量數據泄露。京東在Struts 2的安全問題發生后,就迅速完成了系統修復,同時針對可能存在信息安全風險的用戶進行了安全升級提示,當時受此影響的絕大部分用戶都對自己的賬號進行了安全升級。但確實仍有極少部分用戶并未及時升級賬號安全,依然存在一定風險。
簡單來了解一下2013年發生的著名的Struts事件。我們知道,安全行業里默認的行規是“提示漏洞存在,但只公布描述,不公布細節”。大多數安全公告連漏洞涉及的代碼都不公布,更遑論直接給出漏洞利用方法的。這樣做的原因就是為了防止漏洞細節被黑客看到后,直接利用漏洞攻擊用戶。
荒謬的是,在2013年,Struts官方的一次錯誤決定,制造了當年國際網絡安全最大的一次事故:Struts官方在自己的官網網站上公布了其發現的高危漏洞,并不負責任的披露了漏洞利用方法,導致這個漏洞在黑客社區里引起了熱烈的討論,并迅速演變成了黑客的競賽。從而造成了包括蘋果的開發者網站在內的,政府、銀行、互聯網公司集體性的信息泄露。
但是,這個事件屬于標準的影響面很大,但卻傷害較小。因為漏洞的被公開,整個中國互聯網可謂無一幸免,不過在黑客的競賽之后,也因為Struts的公開性,各大網站和機構及時進行了補救措施。3年來,并未因此產生過真正的惡性攻擊事件。
所以,我認為,這份“陳舊”的數據,即便今天再次被翻了出來,影響力幾乎可以忽略不計。
一方面,很多用戶的信息都已經改變了,另一方面,京東已經對風險客戶采取了安全措施,一般而言,就是要求這些用戶登錄后迅速進行手機驗證,并更換密碼,避免賬號被黑客攻破的可能性。同時,加入網站的風險賬戶庫,也就意味著這些賬戶的登錄等行為都會受到嚴格監控和限制,讓黑客無法為所欲為。
再次審視MD5算法和撞庫還原
一些文章中提到了當下最流行的MD5安全算法,并說要通過專業破解軟件,就能得到原密碼。可是,這種說法是不負責任的。
事實上,MD5是目前計算機安全領域廣泛使用的一種散列函數,用以提供消息的完整性保護。要強調的是:第一,目前沒有軟件能有效地破解MD5。大多數時候只是把常見字符串的 MD5 存了起來為彩虹表,然后直接反查;第二,MD5 只是哈希,而不是加密。MD5 的破解絕對是專業級的,因為一個 MD5 可能對應無數種可能的明文。
當然,這里要提醒的是,密碼的設置不要過于簡單,這就容易被進行反推。比如123456對應的MD5字符串是:49ba59abbe56e057。這些非常簡單的排列,極有可能被黑客利用其作為反推攻破。
所以說,網絡安全就是與黑客持續對抗的過程,但前提是,用戶也有一定基本的常識,一方面杜絕非常簡單的密碼組合,其次盡量不要在重要的網站上使用重復的密碼,這樣容易被撞庫。
那么,再來簡單了解一下撞庫,這是一種針對數據庫的攻擊方式,方法是通過攻擊者所擁有的數據庫的數據通攻擊目標數據庫。可以理解為,在黑客攻不破B網站的情況下,只需要攻破安全性差的A網站,然后用賬號來推測獲取B網站賬戶密碼,因為很多用戶在不同網站使用的是相同的賬號密碼。
比如,一些中小網站用戶賬戶以及密碼容易受到黑客掃號攻擊。因為這些網站的安全防護能力較弱,黑客很容易通過技術手段,通過網站的漏洞竊取完整的數據庫,或是通過利用社會工程,對企業內部人員進行釣魚,以達到獲取數據庫的目的,俗稱“拖庫”。并最終達到獲取重要網站信息的目的。
因此,為什么某些2013年因Struts事件泄漏的信息,還有極小部分能夠登陸,其中的原因也有因使用重復密碼被撞庫的成分在,而并非是因為一家電商平臺的信息丟失所導致的。換句話說,我認為這絕對不是一份2013年泄漏的原始數據庫,而是打著Struts的旗號,通過各種撞庫手段和二次收集處理過的數據。
信息安全,人人有責
我們發現,任何數據的泄露都不是一個孤立的事件。這要身在產業鏈中的每一分子都能貢獻自己的力量。
首先,法律法規正在更加嚴格為信息盜竊和買賣定性,我國刑法規定,“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。”互聯網公司也在積極配合政府打擊黑產。例如,京東就在配合相關部門對此類行為進行調查處理,并盡一切努力,協助客戶維護合法權益,京東保留追究相關違法人員法律責任的一切權利。
其次,作為互聯網公司本身,要從技術上加強對信息安全的管理。以京東為例,京東一直采用加密方式存儲用戶密碼等信息,而且不斷提升加密手段,絕大部分數據就是黑客拿到也沒有辦法加以利用,既無法登錄京東賬戶,也無法拿去其他網站撞庫;另外,京東對用戶信息從存儲、傳輸、展示三方面都進行了妥善的安全處理,例如,黑客即使進入一個京東賬戶,也無法看到完整的敏感信息,保護用戶利益不被侵害。
第三,用戶應該時刻保持對信息安全的警惕之心。像京東這樣的電商平臺,早已經明確:不會通過電話 、咚咚、QQ等聊天工具向客戶收取前述費用或者推銷打折卡、貴賓卡的,或者使用各種即時通訊工具發送商品需重新支付或退款的鏈接。用戶自身也要加強信息安全防范意識,不使用簡單、重復的密碼,不輕易在社交媒體上泄露個人重要信息。
總的來說,互聯網安全,人人有責。我們所要做到的就是保持一份謹慎的心態,不輕易泄露個人信息,相信互聯網公司的安全防護能力,相信邪不能勝正,還互聯網一片凈土。
京公網安備 11010502049343號