时间:2019-03-29 | 栏目:国内 | 点击:次
(本文刊发于《中国经济周刊》2016年第49期) Struts 2漏洞事件 2013年Struts 2漏洞事件,是互联网领域最大的网络安全事故之一。Struts是Apache基金会的一个开源项目,广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。 但在2013年,Struts官方做了一个错误的决定:在自己的官网上公布其发现的高危漏洞,并且在公告中直接把漏洞代码贴了出来,这使得大批原本没有那么高技术能力的外行,也可以借助傻瓜化的工具对专业网站进行数据盗取,这极大地放大了漏洞造成的不良后果。 撞库 拖库 洗库 “撞库”“拖库”“洗库”都是黑客术语。“撞库”是指黑客将得到的一个网站的账户密码在其他网站上进行尝试登录。“拖库”是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。“洗库”是指对数据库中的资源进行层层利用,把里面的资源进行全方面的剥夺利用。 最近有几条新闻可能会让很多人感到焦虑,因为它们都与数据泄露和个人信息安全有关。先是京东被爆出有12G的用户数据在黑市被叫卖;接着,有记者亲身实践,仅仅花了700元就购买到了同事的个人行踪等11项记录;很快,又有消息称国家电网官方APP已出现数据泄露,涉及用户规模超过千万级…… 看来,就在我们调侃希拉里是因为没有做好数据安全工作而丢掉了美国总统的时候,数据泄露也正在成为我们每一个人头上的阴云。大数据很美,但数据安全怎么保障?我们在享受互联网带来的种种便利的同时,个人信息在裸奔吗? 虽是虚惊,但“裸奔”风险不小 12月10日,有自媒体爆料称,有一个12G的数据包正在黑市进行叫卖,该数据包来自京东,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条……由于这个数据包被打上了“京东”的标签,叫卖价格高达数十万元。 消息一出,引发了极大的关注,毕竟电商数据与金钱联系紧密。“根据之前报道截图只能判断出是2013年之前注册的用户,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。至于这个流传的数据包是否全部是京东的数据,以及是否只是黑色产业链打着京东旗号做交易的噱头,我们还在调查,需要取得完整的数据包之后才能做结论。”京东集团相关负责人告诉《中国经济周刊》记者。 该负责人表示,从2013年至今,都没有接到任何用户因账户信息泄露而遭受损失的报告。“因为我们其实在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。”他说。 不过,这个事件虽然影响面很大,但目前来看造成的伤害并不大。同样因为Struts的公开性,各大网站和机构及时进行了补救。3年来,其实并未真正因此产生过恶性攻击事件。 12月13日,有知情人士爆料称,国家电网推出的掌上电力、电e宝APP正在出现数据泄露,涉及用户规模已经超过千万级,而且部分数据可能已经流入黑色产业链,危害持续扩大。对此,国家电网当日在官方微博回应称:经再次查证,在推广掌上电力、电e宝APP过程中不存在泄露大量客户信息的情况,并已经下架关闭了涉嫌违规开展相关代办业务的商家。 虽然两起“泄密”事件似乎都是虚惊一场,但是记者亲测700元就买到同事行踪等11项记录的新闻,还是再次证实了一件事:贩卖数据的黑色产业链确实存在,你会不会“被卖”?没人敢打包票说不会。没有被保障安全的数据,无异于互联网时代的“裸奔”。 一年经济损失高达915亿元 你是否接到这样的陌生电话?他知道你准确的姓名,也能“精准”地向你推销产品和服务,比如你刚到中介看了房子,电话的内容就是你是否需要贷款?你刚买了汽车,就会问你是否要买保险?你刚刚咨询了一个培训课程,就有更多的培训机构给你打电话…… 当然,这些仅仅是信息泄露带来的一些“骚扰”而已,烦心但不至于有伤害。但是,信息泄露往往也是遭遇诈骗的第一步。个人信息无疑是精准诈骗的有力“武器”,所以诈骗分子往往不惜高价从黑市购买数据,以提高诈骗的成功率。 之所以有人费力冒险地窃取信息,当然是有人会花高价去购买。据记者了解,黑产的上游是有不法分子利用制作病毒木马、各种钓鱼手段、黑客攻击方式获取用户信息;中游是交易中间商,他们会把获取的数据进行“撞库”“拖库”“洗库”,提炼筛选整合数据使其更有价值;下游有不法分子则利用这些数据从事非法活动达到变现的目的,比如实施电信诈骗,盗取游戏装备等虚拟货币,盗刷银行卡、支付宝等进行金融犯罪。 根据今年11月发布的《网络空间安全蓝皮书:中国网络空间安全发展报告(2016)》显示,从2015年下半年到2016年上半年,网民因个人信息泄露、照片信息、垃圾信息等造成的经济损失高达915亿元。 根据360互联网安全中心发布的报告显示,2016年1—9月,360手机卫士共为全国用户识别和拦截诈骗电话29.4亿次,平均每天识别和拦截诈骗电话1089万次。今年1—9月平台共接到全国网民举报网络诈骗案件14708起,涉案金额高达1.2亿元,人均损失8105元。 保障安全靠“共治” 黑产方和安全保障方永远都是魔高一尺、道高一丈的斗争。12月14日,由公安部刑侦局、腾讯安全主办的“守护者反电信网络诈骗联合大会”在京举行。腾讯公司董事会主席兼首席执行官马化腾在会上表示,在互联网环境下,骗子们分工明确,已形成跨平台、跨行业、集团式的黑色产业链。传统的打击手段已经不能很好地解决网络犯罪,必须联合政府、银行、运营商、互联网企业和社会力量,构建打击电信网络诈骗共治体系。 “为什么要共治?”马化腾说,“今天我们面对的黑产已经充分的分工细化,而且是非常成熟的产业链,如果我们不用产业链合作来对抗这些黑色产业链,我们是没有办法的。这些黑产的违法犯罪人员掌握先进技术非常快,会很快用‘互联网+’、云计算、大数据的方式来实施诈骗。而我们正义的一方如果还是继续分散、各自为政的话,那是远远抵挡不了这样的黑产势力的。” 在马化腾看来,当前整个网络已经发展到了一片“深水区”,已经没有什么参照物了。中国应该拿出更多的勇气和创新的精神,为全球网络安全治理贡献一个具有借鉴意义的中国样本。他和腾讯呼吁运营商、银行、网络服务商等有大量数据的企业,可以通过大数据的方式,与这些黑产分子对抗,并建议由国家牵头搭建具有公信力的第三方平台,大家把各自的数据放心地放在里面进行处理。 其实,腾讯在今年年初推出了“守护者计划”,平台先后与公安、银行、运营商及其他互联网企业建立了合作关系,摸索出“以数据为驱动、通过全行业联合、职能联动形成反诈骗闭环”,尝试用大数据和生态的力量探索对抗网络黑产的“腾讯模式”。 “腾讯守护者计划安全团队一年来,共协助警方侦破电信网络诈骗案件110余起,累计为民众挽回损失超过5亿元。”腾讯守护者计划总负责人朱劲松告诉《中国经济周刊》记者。 安全小贴士 不要使用公共场所或他人的免费网络进行购物和使用网银 涉及到财产的电商、支付类系统中使用独特的、安全等级高的用户名和密码,避免被“撞库” 不要把敏感信息如银行卡、身份证等信息随意暴露在网上,尤其是现在的社交网站 注意保护个人电脑、手机等信息终端的信息安全,不要让病毒入侵、植入木马等 家中Wi-Fi密码、路由器管理后台密码,要使用字母加数字的高强度密码 短信、邮件、微信中不明来路的链接千万不要点击,避免遭遇“钓鱼”