分享

深度︱还原12G数据泄露真相

 科技正能量 2020-06-25

该如何客观和平静的看待昨天流传的所谓12G数据泄露事件?

第一,并不存在的数据之谜。一份2013年因为Struts官方披露导致的数据流失,尽管涉及到国内的很多银行、政府机构、几乎所有的大中型互联网公司,但事实证明,三年当中并没有因此发生过真正的恶性事件。相比于电信诈骗的等网络黑产重灾区,几乎损失寥寥。
 
第二,电商虽然跟金钱挂钩最紧密,但也是安全防护措施最严格的互联网平台。我们从这几年著名的大型信息泄露事件来分析,不难发现,无论是苹果icloud的账户泄露,导致多位被骗女生死亡的电信诈骗,大麦网的撞库事件,或者去年的考研用户信息泄露,这些国内外主要的网络安全案例,极少出现在电商平台。


所以,我们不难得出结论,任何一个数据泄露的传言背后,可怕的力量并不是事件本身,而是对事件的不了解,所带来的盲目恐慌。这件事的本质,到底要怎么看?

一份陈旧的数据 影响力可以忽略不计

针对12月10日,有关疑似京东数据外泄的消息。京东的回应是:经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。

简单来了解一下2013年发生的著名的Struts事件。我们知道,安全行业里默认的行规是“提示漏洞存在,但只公布描述,不公布细节”。大多数安全公告连漏洞涉及的代码都不公布,更遑论直接给出漏洞利用方法的。这样做的原因就是为了防止漏洞细节被黑客看到后,直接利用漏洞攻击用户。

荒谬的是,在2013年,Struts官方的一次错误决定,制造了当年国际网络安全最大的一次事故:Struts官方在自己的官网网站上公布了其发现的高危漏洞,并不负责任的披露了漏洞利用方法,导致这个漏洞在黑客社区里引起了热烈的讨论,并迅速演变成了黑客的竞赛。从而造成了包括苹果的开发者网站在内的,政府、银行、互联网公司集体性的信息泄露。

但是,这个事件属于标准的影响面很大,但却伤害较小。因为漏洞的被公开,整个中国互联网可谓无一幸免,不过在黑客的竞赛之后,也因为Struts的公开性,各大网站和机构及时进行了补救措施。3年来,并未因此产生过真正的恶性攻击事件。

所以,我认为,这份“陈旧”的数据,即便今天再次被翻了出来,影响力几乎可以忽略不计。

一方面,很多用户的信息都已经改变了,另一方面,京东已经对风险客户采取了安全措施,一般而言,就是要求这些用户登录后迅速进行手机验证,并更换密码,避免账号被黑客攻破的可能性。同时,加入网站的风险账户库,也就意味着这些账户的登录等行为都会受到严格监控和限制,让黑客无法为所欲为。

再次审视DM5算法和撞库还原

一些文章中提到了当下最流行的MD5安全算法,并说要通过专业破解软件,就能得到原密码。可是,这种说法是不负责任的。

事实上,MD5是目前计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护。要强调的是:第一,目前没有软件能有效地破解MD5。大多数时候只是把常见字符串的 MD5 存了起来为彩虹表,然后直接反查;第二,MD5 只是哈希,而不是加密。MD5 的破解绝对是专业级的,因为一个 MD5 可能对应无数种可能的明文。

当然,这里要提醒的是,密码的设置不要过于简单,这就容易被进行反推。比如123456对应的MD5字符串是:49ba59abbe56e057。这些非常简单的排列,极有可能被黑客利用其作为反推攻破。

所以说,网络安全就是与黑客持续对抗的过程,但前提是,用户也有一定基本的常识,一方面杜绝非常简单的密码组合,其次尽量不要在重要的网站上使用重复的密码,这样容易被撞库。

那么,再来简单了解一下撞库,这是一种针对数据库的攻击方式,方法是通过攻击者所拥有的数据库的数据通攻击目标数据库。可以理解为,在黑客攻不破B网站的情况下,只需要攻破安全性差的A网站,然后用账号来推测获取B网站账户密码,因为很多用户在不同网站使用的是相同的账号密码。

比如,一些中小网站用户账户以及密码容易受到黑客扫号攻击。因为这些网站的安全防护能力较弱,黑客很容易通过技术手段,通过网站的漏洞窃取完整的数据库,或是通过利用社会工程,对企业内部人员进行钓鱼,以达到获取数据库的目的,俗称“拖库”。并最终达到获取重要网站信息的目的。

因此,为什么某些2013年因Struts事件泄漏的信息,还有极小部分能够登陆,其中的原因也有因使用重复密码被撞库的成分在,而并非是因为一家电商平台的信息丢失所导致的。换句话说,我认为这绝对不是一份2013年泄漏的原始数据库,而是打着Struts的旗号,通过各种撞库手段和二次收集处理过的数据。

信息安全,人人有责

我们发现,任何数据的泄露都不是一个孤立的事件。这要身在产业链中的每一分子都能贡献自己的力量。


首先,法律法规正在更加严格为信息盗窃和买卖定性,我国刑法规定,“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”互联网公司也在积极配合政府打击黑产。例如,京东就在配合相关部门对此类行为进行调查处理,并尽一切努力,协助客户维护合法权益,京东保留追究相关违法人员法律责任的一切权利。

其次,作为互联网公司本身,要从技术上加强对信息安全的管理。以京东为例,京东一直采用加密方式存储用户密码等信息,而且不断提升加密手段,绝大部分数据就是黑客拿到也没有办法加以利用,既无法登录京东账户,也无法拿去其他网站撞库;另外,京东对用户信息从存储、传输、展示三方面都进行了妥善的安全处理,例如,黑客即使进入一个京东账户,也无法看到完整的敏感信息,保护用户利益不被侵害。

第三,用户应该时刻保持对信息安全的警惕之心。像京东这样的电商平台,早已经明确:不会通过电话 、咚咚、QQ等聊天工具向客户收取前述费用或者推销打折卡、贵宾卡的,或者使用各种即时通讯工具发送商品需重新支付或退款的链接。用户自身也要加强信息安全防范意识,不使用简单、重复的密码,不轻易在社交媒体上泄露个人重要信息。

总的来说,互联网安全,人人有责。我们所要做到的就是保持一份谨慎的心态,不轻易泄露个人信息,相信互联网公司的安全防护能力,相信邪不能胜正,还互联网一片净土。

文/郑凯

科技正能量,推动新科技

合作请联系

微信:zhengkai9979;QQ:24401313

......

    转藏 全屏 打印 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多