所謂京東數(shù)據(jù)泄露，其實(shí)是Struts惹下的大禍

12月10日，網(wǎng)傳疑似京東12GB用戶(hù)數(shù)據(jù)被黑產(chǎn)明碼標(biāo)價(jià)售賣(mài)，而京東在12月10日當(dāng)晚通過(guò)官方公眾號(hào)《京東黑板報(bào)》對(duì)于數(shù)據(jù)泄露進(jìn)行了及時(shí)回應(yīng)：表示這部分?jǐn)?shù)據(jù)失竊可能源于2013年7月Struts2安全漏洞時(shí)間，該漏洞在三年前內(nèi)發(fā)現(xiàn)后就被京東修復(fù)，已對(duì)可能受影響用戶(hù)做過(guò)了安全升級(jí)提示，目前僅有極少部分未進(jìn)行賬號(hào)安全升級(jí)的用戶(hù)可能會(huì)受到影響。

我認(rèn)為已經(jīng)被公布的京東12GB數(shù)據(jù)泄露，因?yàn)樵缫堰M(jìn)行了修補(bǔ)漏洞處置和用戶(hù)安全升級(jí)提醒，其實(shí)潛在威脅算是基本可控，更可怕的后果，是大量受類(lèi)似Struts 2安全漏洞影響的公司和用戶(hù)還渾然不覺(jué)，這些隨時(shí)可能引爆的隱形安全炸彈，需要?jiǎng)訂T整個(gè)社會(huì)和互聯(lián)網(wǎng)行業(yè)的力量來(lái)進(jìn)行安全排雷。

復(fù)盤(pán)Struts2漏洞始末，處置失當(dāng)引發(fā)業(yè)內(nèi)反思

在京東官方回復(fù)中，提到了Struts 2安全漏洞事件，可能對(duì)于不太關(guān)注信息安全的用戶(hù)來(lái)說(shuō)，這是一個(gè)相對(duì)陌生的事件，但正是Sturts 2安全漏洞處置失當(dāng)，造成了整個(gè)互聯(lián)網(wǎng)數(shù)據(jù)失竊的巨大危機(jī)，企業(yè)、政府、機(jī)構(gòu)、個(gè)人，幾乎所有互聯(lián)網(wǎng)參與者，都受到了Struts 2漏洞處置失當(dāng)?shù)挠绊憽?/p>

再優(yōu)秀的大型的操作系統(tǒng)軟件或者是數(shù)據(jù)庫(kù)軟件，都難以避免地存在不同程度的bug或者安全漏洞。當(dāng)一些網(wǎng)絡(luò)高手或者是安全組織，發(fā)現(xiàn)安全漏洞之后，通常會(huì)發(fā)出漏洞安全警示，來(lái)提醒系統(tǒng)廠商或者軟件廠商進(jìn)行漏洞修補(bǔ)。

但在2013年7月，Apache基金會(huì)旗下的Struts，在發(fā)現(xiàn)了一處安全漏洞之后并沒(méi)有像行業(yè)通行的發(fā)出漏洞警告，而是非常輕率和兒戲地放出了該漏洞的源代碼，這就相當(dāng)于把網(wǎng)絡(luò)安全的病灶公之于眾，即便水平低下的黑客也能知道網(wǎng)絡(luò)防御的軟肋，這使得很多技術(shù)很普通的的黑客，也能利用Struts 2安全漏洞相對(duì)輕松地獲取網(wǎng)絡(luò)上的各類(lèi)數(shù)據(jù)。

本來(lái)是很常規(guī)的一個(gè)安全漏洞，但由于Struts的不恰當(dāng)處置，導(dǎo)致了黑客們競(jìng)相比拼，以利用漏洞侵入網(wǎng)站的數(shù)量來(lái)做此競(jìng)技的標(biāo)準(zhǔn)，這也造成了極其嚴(yán)重的后果，據(jù)相關(guān)媒體報(bào)道，百度、騰訊、淘寶、京東等中國(guó)大型網(wǎng)站受到攻擊，甚至商業(yè)銀行和國(guó)家級(jí)的政府網(wǎng)站也未能幸免。至此，Struts 2安全漏洞事件幾乎失控，京東、百度等國(guó)內(nèi)互聯(lián)網(wǎng)公司，在修補(bǔ)Struts 2安全漏洞之后，向用戶(hù)發(fā)出了修改密碼、安全升級(jí)的提示。此次網(wǎng)上傳出的12GB京東給用戶(hù)數(shù)據(jù)，據(jù)京東技術(shù)部門(mén)調(diào)查，很可能就發(fā)生在Struts 2漏洞事件期間。

嚴(yán)格來(lái)說(shuō)，Struts這個(gè)本應(yīng)作為安全防御守衛(wèi)者和預(yù)警者角色的組織，因?yàn)槠孑庥衷幃惖穆┒刺幹梅绞?，?shí)際上將信息安全的軟肋暴露給全球的黑客，成為網(wǎng)絡(luò)信息黑產(chǎn)業(yè)的幫兇，京東不過(guò)是公開(kāi)的受害者之一。

真正的危險(xiǎn)，源于未知和渾然不覺(jué)

在航海中，真正的危險(xiǎn)來(lái)自于隱沒(méi)水面之下的礁石和水手們的大意，而在互聯(lián)網(wǎng)世界中，我認(rèn)為真正的信息安全危機(jī)同樣來(lái)自于未知和渾然不覺(jué)。當(dāng)健康的人體被細(xì)菌或者病毒侵入之后，人們會(huì)有發(fā)熱、發(fā)炎等變化，這種免疫系統(tǒng)的有效提示，給人類(lèi)的應(yīng)對(duì)來(lái)自外界的生化威脅時(shí)提供了線索和提示。

相比京東已經(jīng)被曝光和處理過(guò)的用戶(hù)數(shù)據(jù)泄露，我認(rèn)為更具破壞潛力的是，那些在其它網(wǎng)站后臺(tái)早已被黑客竊取了用戶(hù)賬號(hào)、密碼、地址等敏感數(shù)據(jù)而毫無(wú)察覺(jué)的用戶(hù)，他們?cè)诰W(wǎng)絡(luò)安全黑產(chǎn)中才是真正的”富礦”。

要解決網(wǎng)絡(luò)安全問(wèn)題，我認(rèn)為很重要的一條，就是中國(guó)互聯(lián)網(wǎng)企業(yè)要建立信息安全的聯(lián)盟，就像保險(xiǎn)行業(yè)信息共享或者銀行體系的征信共享，可以通過(guò)網(wǎng)絡(luò)安全的信息共享，增強(qiáng)安全漏洞修補(bǔ)能力，也能夠在一家平臺(tái)出現(xiàn)數(shù)據(jù)泄漏后，對(duì)其它廠商發(fā)出撞庫(kù)風(fēng)險(xiǎn)提示，并通過(guò)后臺(tái)的大數(shù)據(jù)和防御體系進(jìn)行協(xié)同布防，這要比某家企業(yè)單打獨(dú)斗更有效果。

應(yīng)該對(duì)網(wǎng)絡(luò)黑產(chǎn)每個(gè)環(huán)節(jié)都進(jìn)行手術(shù)刀式打擊

無(wú)論是在現(xiàn)實(shí)世界，還是在數(shù)碼世界，絕對(duì)的安全都不存在。理論上來(lái)說(shuō)，任何防御體系或密碼都是可以被破解的，區(qū)別只是在于破解的難度、時(shí)間和效益。所以，信息安全的這件事，并不是某一個(gè)企業(yè)或者組織的事，而是所有互聯(lián)網(wǎng)產(chǎn)業(yè)的參與者都應(yīng)該高度重視和防范的。

在打擊非法獲取和買(mǎi)賣(mài)數(shù)據(jù)黑產(chǎn)這件事上，我覺(jué)得可以借鑒珍稀動(dòng)物保護(hù)的一些措施，“沒(méi)有買(mǎi)賣(mài)就沒(méi)有傷害”，不應(yīng)該只追求數(shù)據(jù)竊取和販賣(mài)人員的法律責(zé)任，我認(rèn)為對(duì)于非法數(shù)據(jù)的購(gòu)買(mǎi)者也應(yīng)該進(jìn)行嚴(yán)懲，從源頭上對(duì)信息安全黑產(chǎn)鏈條上的偷竊者、販賣(mài)者、購(gòu)買(mǎi)者進(jìn)行手術(shù)刀式的全方位精準(zhǔn)打擊。

保護(hù)用戶(hù)數(shù)據(jù)安全和隱私，是互聯(lián)網(wǎng)企業(yè)的本分，但數(shù)據(jù)失竊或者泄露其實(shí)又是無(wú)法100%杜絕，所以可以通過(guò)建立專(zhuān)項(xiàng)基金來(lái)利用第三方商業(yè)保險(xiǎn)的方式，來(lái)盡可能降低數(shù)據(jù)泄露等意外事件給用戶(hù)帶來(lái)的經(jīng)濟(jì)損失，并且要定期做用戶(hù)安全網(wǎng)絡(luò)安全警示和提升，讓他們知道任何互聯(lián)網(wǎng)都并非是固若金湯，每一個(gè)環(huán)節(jié)防御薄弱，都可以釀成數(shù)據(jù)失守的后果。

現(xiàn)在不少用戶(hù)還會(huì)認(rèn)為，信息安全應(yīng)該由互聯(lián)網(wǎng)企業(yè)和網(wǎng)絡(luò)警察來(lái)管，這不關(guān)自己什么事，但事實(shí)上，用戶(hù)的安全意識(shí)和使用習(xí)慣，對(duì)于信息安全也具有非常大的影響?，F(xiàn)在很多用戶(hù)在不同的網(wǎng)站都用一樣的賬號(hào)名和密碼，其中一個(gè)被攻破，其它所有的賬號(hào)難逃撞庫(kù)攻擊的風(fēng)險(xiǎn)；有些用戶(hù)為了圖省事好記，用自己或家人的生日做密碼，而生日之類(lèi)的數(shù)據(jù)信息現(xiàn)在獲取成本和難度都非常低，這也給不法分子提供了巨大的便利。

真正的安全，來(lái)自于對(duì)危險(xiǎn)的高度警惕，也來(lái)自于對(duì)危險(xiǎn)行之有效的應(yīng)對(duì)之法。索尼、微軟、亞馬遜、蘋(píng)果、IBM等世界產(chǎn)業(yè)巨頭，甚至是美國(guó)五角大樓，都前后出現(xiàn)過(guò)用戶(hù)數(shù)據(jù)被黑客竊取事件，所以用戶(hù)對(duì)于數(shù)據(jù)泄露應(yīng)該有個(gè)成熟的心態(tài)，不能因?yàn)榇嬖跀?shù)據(jù)失竊隱患，就拒絕互聯(lián)網(wǎng)的便利，那樣就真的變成了因噎廢食；而應(yīng)該借每一次信息安全事件的爆發(fā)，去正視制度和技術(shù)短板，去真正解決信息安全的缺陷和問(wèn)題。

京東數(shù)據(jù)泄露事件，目前來(lái)看真正受到影響的用戶(hù)還非常有限，京東的處置也很高效透明，但Struts 2這類(lèi)的安全漏洞事件可能為整個(gè)中國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展埋下了很多地雷，這需要用雷霆手段來(lái)對(duì)抗。打擊數(shù)據(jù)偷竊、交易和消費(fèi)的網(wǎng)絡(luò)黑產(chǎn)業(yè)已迫在眉睫，這既需要全社會(huì)、全行業(yè)握緊鐵拳打擊，也需要每一個(gè)互聯(lián)網(wǎng)的使用者提高信息安全危機(jī)意識(shí)和防范水準(zhǔn)，讓不法分子以易乘之機(jī)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。