10
10月19日,上午還是指名道姓,到當天下午再看,就只剩“某郵箱”。
當然,空穴不來風,無論所謂的"網易郵箱數據泄露事件"結果怎樣,都建議網友們盡快采取措施以保護自己的賬戶安全。
烏云和網易存在爭議的地方主要在于泄露事件的原因,網易堅持認為自己的安全防護不存在問題,而根據烏云提交的漏洞報告卻證明了網易的安全存在問題。
網易認為此次事件是撞庫,而烏云則質疑并認為是“疑似拖庫"。
網易所說的撞庫,是指黑客通過得到從其他地方泄露的信息來測試網易賬戶。其言外之意就是“我的防護沒有任何問題,被盜的原因是用戶在多處使用相同密碼,又在別處將密碼泄露從而導致網易“躺槍”。
那么真的如網易所說,是由于撞庫導致的嗎?
根據烏云上披露的數據文件顯示有50GB,根據估算總用戶量接近4億,基本可以排除是由于撞庫導致的泄露。并且從泄露出來的樣本,包含密保等字段,更是排除了撞庫的可能性。
那么如果不是被撞庫,最大的可能性就是網易自身的安全防護出現了問題。
從一個難以避免的低級錯誤說起
盡管表示達到了EAL3+安全等級,但是根據烏云漏洞庫,今年來網易郵箱系統已經曝出了不少安全漏洞:
且不說這張證書的含金量有多高,作為不明真相的群眾,我們往往只相信結果。
以其中「從一個弱口令到漫游網易內網」這個漏洞來講:
漏洞報告者(以下簡稱白帽子)通過賬號admin 和密碼123456 進入網易的網絡管理系統。
然后依次登錄到交換機,并通過抓包(數據截取),獲得一個普通密碼和enable密碼,繼而逐步深入獲取內網權限,拿到內部人員郵箱,再次通過抓包獲取密碼……直至進入內網。
而另一個漏洞報告「網易某站getshell可直接入內網」,白帽子則是通過某個外部網站的弱口令(賬號admin,密碼auto123)繼而逐步進入到企業內網。
從這兩例看來,且不提是否真的達到了所謂 EAL3+ 的安全等級 ,管理員弱口令、運維員工郵箱賬號泄露等均是危害極大的低級錯誤,獲取密碼后黑客進出其內網獲取各種數據如探囊取物——
就好比一個再堅固的防盜門,只要被盜賊拿到了鑰匙,就徹底失去了防護作用。
說到這里,相信對于此次泄露事件的原因大家心中都有了答案。
但說對于國內大部分企業來說,以上兩個例子并不是個例。
對于拖庫,這里借用知乎網友@張耀疆的一句話:
拖庫這個問題一共分為三種情況:
一是已經被拖了。
二是已經被拖了可是大家還不知道。
三是正走在被拖的路上。
類似網易用戶密碼被曝光這種事件只是從第二種情況變成了第一種情況,大部分系統都處于第二或者第三,或者歷史上曾經第二、現在正在第三。
這正如安全圈子里的那句話“百分之九十的企業曾被攻擊過,剩下的百分之十不知情”。經過此次事件,應該讓更多的企業緊張起來,除了考慮自家的庫什么時候可能會被拖,也應進行一次安全排查。
有多少運維人員配置各種設備賬號密碼和郵箱密碼一樣?
有多少員工在各類IT系統使用同一套密碼,并且還是弱密碼?
多少員工由于所謂的“工作需要”共用一個密碼?一旦泄露企業要如何追責?
員工離職后是否及時撤銷其內網的權限,撤銷是否徹底?
更多問題……
正是由于許多問題并不是技術性問題,而是由人的行為導致,這就更加難以解決。一旦出了問題,普通人泄露一條賬號密碼也許只是個人經濟損失或信息泄露,而企業的運維、管理人員泄露密碼則可能導致整個公司陷入信任危機,蒙受巨大的經濟損失。因此企業須時刻準備好與黑客的攻防,而不是等問題出現后再去公關處理,出現“信息安全做不好,公關費用花不少”的情況。
那么,企業該如何應對?
首先中小企業因為規章制度不規范,安全意識不足及網絡管理人員缺少或能力欠缺等原因導致密碼泄露是常見的,而即使在大企業中,人也難免出現懶惰和疏忽。
一方面,通過行政手段,強化員工安全意識是有必要的。
從技術解決層面,在企業內網使用人臉、聲音、指紋等生物識別替代密碼驗證,可以很好地解決這個問題。以生物識別安全領域的「洋蔥令牌」為例,其為企業定制一款手機APP,員工登錄內網各個系統時只需用自己的手機進行人臉、聲音、指紋等方式驗證身份后,即可通過掃碼登錄內網各個系統,從而杜絕密碼泄露。
而即使企業沒有部署這類驗證方式,也可以通過在系統上做策略。比如域環境下的windows系統默認用戶密碼是強密碼。
對于企業來說,在內網部署更強有效的識別方式、定期進行安全檢查和培訓,這些措施實施并不需要投入多少成本,卻能大幅降低企業的網絡安全風險。但如果企業管理層仍存僥幸心理,只怕出現無法收場的結果。
正如這一次泄露事件無論最終網易如何收尾,目前的情況都已讓其陷入信任危機,但相信此事已敲響了安全警鐘,希望各企業的安全能夠更加完善,有“態度”的網易也說過:”產品安全是其立足之本。”
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
