12月10日,網傳疑似京東12GB用戶數據被黑產明碼標價售賣,而京東在12月10日當晚通過官方公眾號《京東黑板報》對于數據泄露進行了及時回應:表示這部分數據失竊可能源于2013年7月Struts2安全漏洞時間,該漏洞在三年前內發現后就被京東修復,已對可能受影響用戶做過了安全升級提示,目前僅有極少部分未進行賬號安全升級的用戶可能會受到影響。
我認為已經被公布的京東12GB數據泄露,因為早已進行了修補漏洞處置和用戶安全升級提醒,其實潛在威脅算是基本可控,更可怕的后果,是大量受類似Struts 2安全漏洞影響的公司和用戶還渾然不覺,這些隨時可能引爆的隱形安全炸彈,需要動員整個社會和互聯網行業的力量來進行安全排雷。
復盤Struts2漏洞始末,處置失當引發業內反思
在京東官方回復中,提到了Struts 2安全漏洞事件,可能對于不太關注信息安全的用戶來說,這是一個相對陌生的事件,但正是Sturts 2安全漏洞處置失當,造成了整個互聯網數據失竊的巨大危機,企業、政府、機構、個人,幾乎所有互聯網參與者,都受到了Struts 2漏洞處置失當的影響。
再優秀的大型的操作系統軟件或者是數據庫軟件,都難以避免地存在不同程度的bug或者安全漏洞。當一些網絡高手或者是安全組織,發現安全漏洞之后,通常會發出漏洞安全警示,來提醒系統廠商或者軟件廠商進行漏洞修補。
但在2013年7月,Apache基金會旗下的Struts,在發現了一處安全漏洞之后并沒有像行業通行的發出漏洞警告,而是非常輕率和兒戲地放出了該漏洞的源代碼,這就相當于把網絡安全的病灶公之于眾,即便水平低下的黑客也能知道網絡防御的軟肋,這使得很多技術很普通的的黑客,也能利用Struts 2安全漏洞相對輕松地獲取網絡上的各類數據。
本來是很常規的一個安全漏洞,但由于Struts的不恰當處置,導致了黑客們競相比拼,以利用漏洞侵入網站的數量來做此競技的標準,這也造成了極其嚴重的后果,據相關媒體報道,百度、騰訊、淘寶、京東等中國大型網站受到攻擊,甚至商業銀行和國家級的政府網站也未能幸免。至此,Struts 2安全漏洞事件幾乎失控,京東、百度等國內互聯網公司,在修補Struts 2安全漏洞之后,向用戶發出了修改密碼、安全升級的提示。此次網上傳出的12GB京東給用戶數據,據京東技術部門調查,很可能就發生在Struts 2漏洞事件期間。
嚴格來說,Struts這個本應作為安全防御守衛者和預警者角色的組織,因為奇葩又詭異的漏洞處置方式,實際上將信息安全的軟肋暴露給全球的黑客,成為網絡信息黑產業的幫兇,京東不過是公開的受害者之一。
真正的危險,源于未知和渾然不覺
在航海中,真正的危險來自于隱沒水面之下的礁石和水手們的大意,而在互聯網世界中,我認為真正的信息安全危機同樣來自于未知和渾然不覺。當健康的人體被細菌或者病毒侵入之后,人們會有發熱、發炎等變化,這種免疫系統的有效提示,給人類的應對來自外界的生化威脅時提供了線索和提示。
相比京東已經被曝光和處理過的用戶數據泄露,我認為更具破壞潛力的是,那些在其它網站后臺早已被黑客竊取了用戶賬號、密碼、地址等敏感數據而毫無察覺的用戶,他們在網絡安全黑產中才是真正的”富礦”。
要解決網絡安全問題,我認為很重要的一條,就是中國互聯網企業要建立信息安全的聯盟,就像保險行業信息共享或者銀行體系的征信共享,可以通過網絡安全的信息共享,增強安全漏洞修補能力,也能夠在一家平臺出現數據泄漏后,對其它廠商發出撞庫風險提示,并通過后臺的大數據和防御體系進行協同布防,這要比某家企業單打獨斗更有效果。
應該對網絡黑產每個環節都進行手術刀式打擊
無論是在現實世界,還是在數碼世界,絕對的安全都不存在。理論上來說,任何防御體系或密碼都是可以被破解的,區別只是在于破解的難度、時間和效益。所以,信息安全的這件事,并不是某一個企業或者組織的事,而是所有互聯網產業的參與者都應該高度重視和防范的。
在打擊非法獲取和買賣數據黑產這件事上,我覺得可以借鑒珍稀動物保護的一些措施,“沒有買賣就沒有傷害”,不應該只追求數據竊取和販賣人員的法律責任,我認為對于非法數據的購買者也應該進行嚴懲,從源頭上對信息安全黑產鏈條上的偷竊者、販賣者、購買者進行手術刀式的全方位精準打擊。
保護用戶數據安全和隱私,是互聯網企業的本分,但數據失竊或者泄露其實又是無法100%杜絕,所以可以通過建立專項基金來利用第三方商業保險的方式,來盡可能降低數據泄露等意外事件給用戶帶來的經濟損失,并且要定期做用戶安全網絡安全警示和提升,讓他們知道任何互聯網都并非是固若金湯,每一個環節防御薄弱,都可以釀成數據失守的后果。
現在不少用戶還會認為,信息安全應該由互聯網企業和網絡警察來管,這不關自己什么事,但事實上,用戶的安全意識和使用習慣,對于信息安全也具有非常大的影響。現在很多用戶在不同的網站都用一樣的賬號名和密碼,其中一個被攻破,其它所有的賬號難逃撞庫攻擊的風險;有些用戶為了圖省事好記,用自己或家人的生日做密碼,而生日之類的數據信息現在獲取成本和難度都非常低,這也給不法分子提供了巨大的便利。
真正的安全,來自于對危險的高度警惕,也來自于對危險行之有效的應對之法。索尼、微軟、亞馬遜、蘋果、IBM等世界產業巨頭,甚至是美國五角大樓,都前后出現過用戶數據被黑客竊取事件,所以用戶對于數據泄露應該有個成熟的心態,不能因為存在數據失竊隱患,就拒絕互聯網的便利,那樣就真的變成了因噎廢食;而應該借每一次信息安全事件的爆發,去正視制度和技術短板,去真正解決信息安全的缺陷和問題。
京東數據泄露事件,目前來看真正受到影響的用戶還非常有限,京東的處置也很高效透明,但Struts 2這類的安全漏洞事件可能為整個中國互聯網產業發展埋下了很多地雷,這需要用雷霆手段來對抗。打擊數據偷竊、交易和消費的網絡黑產業已迫在眉睫,這既需要全社會、全行業握緊鐵拳打擊,也需要每一個互聯網的使用者提高信息安全危機意識和防范水準,讓不法分子以易乘之機。
京公網安備 11010502049343號