昨天有篇文章《京東數據疑似外泄》,大致是講一個12G的數據包出現在黑市上,里面包括了用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度,多達數千萬條的用戶數據,而據說這些數據來自京東。這篇文章幾乎刷爆了朋友圈,嚇得我趕緊去京東修改了密碼。
然后我在仔細看了相關資料之后,才啞然失笑,這些媒體真心扮演了一回黑客組織的免費“廣告推廣”。好吧,今天我就來開扒這個事件背后的真相。(掃描文末二維碼關注可獲取更多內幕,每日一深度!)
【小普及:關于Struts 2漏洞】
首先我們需要聊聊,2013年這個事件的起因是網站后臺Struts 2漏洞被黑客利用,大肆獲取數據包的結果。
那么什么叫Struts 2漏洞,這個事件為何影響面如此之廣?
Struts是Apache基金會贊助的一個開源項目,Struts框架廣泛應用于政府、公安、交通、金融行業和運營商的網站建設,作為網站開發的底層模板使用。
2013年7月17日,Apache Struts2發布漏洞公告,稱其Struts2 Web應用框架存在一個可以遠程執行任意命令的高危漏洞。據當時報道,Struts 2漏洞直接導致國內的很多銀行、政府機構、幾乎所有的大中型互聯網公司,國外的包括蘋果的開發者網站都被黑掉了,這和Struts官方不負責任的態度有很大關系。
官方這次在自己的漏洞公告中直接把漏洞利用代碼給貼出來了,這是一種很罕見的做法。這種不負責任的做法很快帶來了災難性的后果!
從很多年前起,安全行業里默認的行規是“提示漏洞存在,但只公布描述,不公布細節”。大多數安全公告連漏洞涉及的代碼都不公布,更遑論直接給出漏洞利用方法的。這樣做的原因就是為了防止漏洞細節被黑客看到后,直接利用漏洞攻擊用戶。
Struts這個漏洞這次本來不會這么嚴重,過往有些比這更嚴重的漏洞也沒有造成這么惡劣的影響。但官方不負責任的披露了漏洞利用方法,首先就讓這個漏洞被大面積利用成為可能。然后國內的黑客們看到后,在某社區里引起了熱烈的討論。接下來有不少黑客,利用官方給出的“幫助”,很輕松的就寫出了自動利用的工具,并開始找網站漏洞。
故事講到這里,一切都開始變得失控了。接下來有黑客們開始展開競賽一般的“戰果展示”,把存在漏洞的網站公布在第三方平臺上,這就好比“殺人比賽”一樣,就看誰干掉的網站多,看誰干掉的網站大。他們的戰果豐碩,干掉了包括百度、騰訊、淘寶等在內的很多大網站,甚至是國家級的政府網站,這進一步又在微博上引發了不少大號們對這個漏洞的討論。
因此,可以說3年前的這個黑客風暴,影響面之廣,的確前所未有,但罪魁禍首,卻是Struts自身。
【這個事件對京東用戶的影響是什么?究竟有多大呢?】
首先,京東外泄的數據是來自2013年7月份的,我無法判斷為什么現在這個數據庫才出現在黑客圈子里,很多原因都還不明,但從種種跡象看,過去的兩年多時間,這個數據庫并沒有被黑產所利用;而到了現在,很多用戶的信息都已經改變的情況下,再次被媒體大肆宣傳,是不是太杞人憂天?
其次,據我所知,這些數據都是通過MD5加密,解密過程比較復雜。
搞hack都免不了碰到MD5加密數據,現在許多數據庫密碼等都是通過MD5加密,這種加密方式比較普遍。但是這些破解屬于在現有加密庫中檢索的方式,對于稍微復雜的密碼就得靠運氣,其實成功率相當低。
從13年到現在過了3~4年時間,這些簡單密碼又往往是很多年前注冊,并很快轉用其他賬戶登錄的用戶,他們不會再登錄這個賬戶,因此沒有收到京東的提示而修改密碼,也就是極度不活躍用戶;黑客把這些用戶信息挑出來組成了一個供售前預覽的名單,看起來價值會很大。實際卻無實際意義。
因此數字披露有可能是以偏概全。因為只能從媒體的只言片語中片段,可能存在兩個情況,核心都是在與黑客的目的是售出這個庫,因此對外展示的會是最有價值的信息。
從另一個角度來說,盡管黑市買賣雙方皆稱,這些數據來自京東。但同樣不排除黑客為了提高數據的銷售效果,加入了其他渠道獲取的部分用戶數據,例如撞庫的數據庫。簡單來說,這些數據信息有可能是其它被黑的網站數據庫,用戶的這些數據與其在京東的賬戶密碼相同。
第三,我們必須看到,事件發生之后,京東方面迅速采取幾方面的應對措施。
首先京東立刻對風險客戶采取了安全措施,一般而言,就是要求這些用戶登錄后迅速進行手機驗證,并更換密碼,避免賬號被黑客攻破的可能性;
同時,加入網站的風險賬戶庫,也就意味著這些賬戶的登錄等行為都會受到嚴格監控和限制,讓黑客拿到也沒有辦法加以利用,既無法登錄京東賬戶,也無法拿去其他網站撞庫;
京東對用戶信息從存儲、傳輸、展示三方面都進行了妥善的安全處理,例如,黑客即使進入一個京東賬戶,也無法看到完整的敏感信息,保護用戶利益不被侵害。
以上我們不難看出,數據的外泄,黑客組織更多是以京東作為宣傳噱頭,以此提高銷售價格而已。媒體的炒作,一方面變相幫助了黑市的宣傳,另一方面以此來提升“閱讀量”。
這個鍋,不應該京東來背。
【互聯網安全現狀分析】
事實上,關于互聯網數據庫信息被黑客獲取的新聞這些年真的是時有發生。
比如,2011年春季Sony公司不同部門都遭遇多次黑客入侵事件,導致7700萬個信用卡賬戶被盜。其中受創最嚴重的當屬索尼PlayStation Network部門。無數玩家個人信息因此被泄露,此次事件后果嚴重影響了Sony的聲譽,同時人們開始懷疑全球云計算產業的安全性。
互聯網安全形勢的確不容樂觀,因為越來越多的交易在互聯網上發生,吸引了很多黑客的關注。所謂魔高一尺道高一丈,黑客與安全體系的博弈會一直繼續下去。
除了及時發現漏洞迅速修補,很多系統安全的基礎工作也非常重要。從這些事件看,京東應對還算是積極和及時的。這幾年,京東在用戶敏感信息的加密、隱藏顯示上做的工作都有效保障的用戶的信息安全。
而京東作為受害網站之一,被黑客產業單獨拿出來“銷售”,其實是被“背鍋”。正因為京東的用戶在電商行業中擁有“高價值”,因此為了提高數據買賣價值故意放出的噱頭,要是放個小公司估計關注者寥寥。
因此,我認為,面對龐大的黑產鏈條,我們更應該討論的是如何讓各個互聯網企業攜起手來,建立共同防御、共同應對的機制,讓黑客無處遁形。
之前我也曾說過,銀行新五條發布之后,新的網絡詐騙出現了。因此,網絡安全防范意識真的是每個人的事情。這次我再給大伙講講一些網絡安全小貼士,網絡安全,從我做起:
1、網絡賬戶和密碼不要過于簡單,特定的賬戶密碼容易被黑客撞庫攻擊。
2、不要把敏感信息如銀行卡、身份證等信息隨意暴露在網上,尤其是現在的社交網站,注意個人信息的安全。
3、注意保護個人電腦、手機等信息終端的信息安全,不要讓病毒入侵、植入木馬等。
4、注意甄別網絡安全,不要被各類虛假信息迷惑,進入釣魚網站。
5、對于打著電商客戶名義而來的電話、QQ應該格外小心,避免點擊通過即時通訊軟件發過來的所謂退貨、用戶中心網址。
王冠雄,著名觀察家,中國十大自媒體(見各大權威榜單)。主持和參與4次IPO,傳統企業“互聯網+”轉型教練。每日一篇深度文章,發布于微信、微博、搜索引擎,各大門戶、科技博客等近30個主流平臺,覆蓋400萬中國核心商業、科技人群。為金融時報、福布斯等世界級媒體撰稿人,觀點被媒體廣泛轉載引用,影響力極大,詳情可百度。
京公網安備 11010502049343號