昨天有篇文章《京东数据疑似外泄》,大致是讲一个12G的数据包出现在黑市上,里面包括了用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,多达数千万条的用户数据,而据说这些数据来自京东。这篇文章几乎刷爆了朋友圈,吓得我赶紧去京东修改了密码。
然后我在仔细看了相关资料之后,才哑然失笑,这些媒体真心扮演了一回黑客组织的免费“广告推广”。好吧,今天我就来开扒这个事件背后的真相。(马上点标题下蓝字关注可获取更多内幕,每日一深度!)
【小普及:关于Struts 2漏洞】
首先我们需要聊聊,2013年这个事件的起因是网站后台Struts 2漏洞被黑客利用,大肆获取数据包的结果。
那么什么叫Struts 2漏洞,这个事件为何影响面如此之广?
Struts是Apache基金会赞助的一个开源项目,Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。
2013年7月17日,Apache Struts2发布漏洞公告,称其Struts2 Web应用框架存在一个可以远程执行任意命令的高危漏洞。据当时报道,Struts 2漏洞直接导致国内的很多银行、政府机构、几乎所有的大中型互联网公司,国外的包括苹果的开发者网站都被黑掉了,这和Struts官方不负责任的态度有很大关系。
官方这次在自己的漏洞公告中直接把漏洞利用代码给贴出来了,这是一种很罕见的做法。这种不负责任的做法很快带来了灾难性的后果!
从很多年前起,安全行业里默认的行规是“提示漏洞存在,但只公布描述,不公布细节”。大多数安全公告连漏洞涉及的代码都不公布,更遑论直接给出漏洞利用方法的。这样做的原因就是为了防止漏洞细节被黑客看到后,直接利用漏洞攻击用户。
Struts这个漏洞这次本来不会这么严重,过往有些比这更严重的漏洞也没有造成这么恶劣的影响。但官方不负责任的披露了漏洞利用方法,首先就让这个漏洞被大面积利用成为可能。然后国内的黑客们看到后,在某社区里引起了热烈的讨论。接下来有不少黑客,利用官方给出的“帮助”,很轻松的就写出了自动利用的工具,并开始找网站漏洞。
故事讲到这里,一切都开始变得失控了。接下来有黑客们开始展开竞赛一般的“战果展示”,把存在漏洞的网站公布在第三方平台上,这就好比“杀人比赛”一样,就看谁干掉的网站多,看谁干掉的网站大。他们的战果丰硕,干掉了包括百度、腾讯、淘宝等在内的很多大网站,甚至是国家级的政府网站,这进一步又在微博上引发了不少大号们对这个漏洞的讨论。
因此,可以说3年前的这个黑客风暴,影响面之广,的确前所未有,但罪魁祸首,却是Struts自身。
【这个事件对京东用户的影响是什么?究竟有多大呢?】
首先,京东外泄的数据是来自2013年7月份的,我无法判断为什么现在这个数据库才出现在黑客圈子里,很多原因都还不明,但从种种迹象看,过去的两年多时间,这个数据库并没有被黑产所利用;而到了现在,很多用户的信息都已经改变的情况下,再次被媒体大肆宣传,是不是太杞人忧天?
其次,据我所知,这些数据都是通过MD5加密,解密过程比较复杂。
搞hack都免不了碰到MD5加密数据,现在许多数据库密码等都是通过MD5加密,这种加密方式比较普遍。但是这些破解属于在现有加密库中检索的方式,对于稍微复杂的密码就得靠运气,其实成功率相当低。
从13年到现在过了3~4年时间,这些简单密码又往往是很多年前注册,并很快转用其他账户登录的用户,他们不会再登录这个账户,因此没有收到京东的提示而修改密码,也就是极度不活跃用户;黑客把这些用户信息挑出来组成了一个供售前预览的名单,看起来价值会很大。实际却无实际意义。
因此数字披露有可能是以偏概全。因为只能从媒体的只言片语中片段,可能存在两个情况,核心都是在与黑客的目的是售出这个库,因此对外展示的会是最有价值的信息。
从另一个角度来说,尽管黑市买卖双方皆称,这些数据来自京东。但同样不排除黑客为了提高数据的销售效果,加入了其他渠道获取的部分用户数据,例如撞库的数据库。简单来说,这些数据信息有可能是其它被黑的网站数据库,用户的这些数据与其在京东的账户密码相同。
第三,我们必须看到,事件发生之后,京东方面迅速采取几方面的应对措施。
首先京东立刻对风险客户采取了安全措施,一般而言,就是要求这些用户登录后迅速进行手机验证,并更换密码,避免账号被黑客攻破的可能性;
同时,加入网站的风险账户库,也就意味着这些账户的登录等行为都会受到严格监控和限制,让黑客拿到也没有办法加以利用,既无法登录京东账户,也无法拿去其他网站撞库;
京东对用户信息从存储、传输、展示三方面都进行了妥善的安全处理,例如,黑客即使进入一个京东账户,也无法看到完整的敏感信息,保护用户利益不被侵害。
以上我们不难看出,数据的外泄,黑客组织更多是以京东作为宣传噱头,以此提高销售价格而已。媒体的炒作,一方面变相帮助了黑市的宣传,另一方面以此来提升“阅读量”。
这个锅,不应该京东来背。
【互联网安全现状分析】
事实上,关于互联网数据库信息被黑客获取的新闻这些年真的是时有发生。
比如,2011年春季Sony公司不同部门都遭遇多次黑客入侵事件,导致7700万个信用卡账户被盗。其中受创最严重的当属索尼PlayStation Network部门。无数玩家个人信息因此被泄露,此次事件后果严重影响了Sony的声誉,同时人们开始怀疑全球云计算产业的安全性。
互联网安全形势的确不容乐观,因为越来越多的交易在互联网上发生,吸引了很多黑客的关注。所谓魔高一尺道高一丈,黑客与安全体系的博弈会一直继续下去。
除了及时发现漏洞迅速修补,很多系统安全的基础工作也非常重要。从这些事件看,京东应对还算是积极和及时的。这几年,京东在用户敏感信息的加密、隐藏显示上做的工作都有效保障的用户的信息安全。
而京东作为受害网站之一,被黑客产业单独拿出来“销售”,其实是被“背锅”。正因为京东的用户在电商行业中拥有“高价值”,因此为了提高数据买卖价值故意放出的噱头,要是放个小公司估计关注者寥寥。
因此,我认为,面对庞大的黑产链条,我们更应该讨论的是如何让各个互联网企业携起手来,建立共同防御、共同应对的机制,让黑客无处遁形。
之前我也曾说过,银行新五条发布之后,新的网络诈骗出现了。因此,网络安全防范意识真的是每个人的事情。这次我再给大伙讲讲一些网络安全小贴士,网络安全,从我做起:
1、网络账户和密码不要过于简单,特定的账户密码容易被黑客撞库攻击。
2、不要把敏感信息如银行卡、身份证等信息随意暴露在网上,尤其是现在的社交网站,注意个人信息的安全。
3、注意保护个人电脑、手机等信息终端的信息安全,不要让病毒入侵、植入木马等。
4、注意甄别网络安全,不要被各类虚假信息迷惑,进入钓鱼网站。
5、对于打着电商客户名义而来的电话、QQ应该格外小心,避免点击通过即时通讯软件发过来的所谓退货、用户中心网址。
王冠雄,著名观察家,中国十大自媒体(见各大权威榜单)。主持和参与4次IPO,传统企业“互联网+”转型教练。每日一篇深度文章,发布于微信、微博、搜索引擎,各大门户、科技博客等近30个主流平台,覆盖400万中国核心商业、科技人群。为金融时报、福布斯等世界级媒体撰稿人,观点被媒体广泛转载引用,影响力极大,详情可百度。
长按下图关注。预告:巨头夹缝中的策略
点"原文"有图有真相
