本周關(guān)鍵詞

▼

Struts2漏洞 |  維基泄密CIA |  50億信息泄露

京東捉內(nèi)鬼 | 職業(yè)內(nèi)鬼 | 重罰信息泄露

1.一份數(shù)據(jù)告訴你，被萬年漏洞王 Struts2 坑了的網(wǎng)站有哪些

pache Struts2 作為世界上最流行的 Java Web 服務(wù)器框架之一，3 月 7 日帶來了本年度第一個高危漏洞——CVE編號 CVE-2017-5638 。其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可以在使用該插件上傳文件時，修改 HTTP 請求頭中的 Content-Type 值來觸發(fā)該漏洞，導(dǎo)致遠(yuǎn)程執(zhí)行代碼。

哪些網(wǎng)站已中招

Struts 作為一個“世界級”開源架構(gòu)，它的一個高危漏洞危害有多大，下面兩張圖可以讓大家對這個漏洞的影響范圍有一個直觀認(rèn)識。

雷鋒網(wǎng)從綠盟科技了解到，從 3 月 7 日漏洞曝出到 3 月 9 日不到 36 個小時的時間里，大量用戶第一時間通過綠盟云的 Structs2 緊急漏洞檢測服務(wù)對自己的網(wǎng)站進(jìn)行檢測，共計 22000 余次。

通過對這些數(shù)據(jù)進(jìn)行分析，可以看到：

1、從檢測數(shù)據(jù)來看，教育行業(yè)受Struts2漏洞影響最多，其次是政府、金融、互聯(lián)網(wǎng)、通信等行業(yè)。

    

2、從地域來看，北、上、廣、沿海城市等經(jīng)濟(jì)發(fā)達(dá)地區(qū)成為 Struts2 漏洞高發(fā)區(qū),與此同時修復(fù)情況也最及時。

3、從應(yīng)對漏洞積極性來說，金融、政府、教育位列前三甲。

雷鋒網(wǎng)了解到，應(yīng)對本次 Struts2 漏洞，金融行業(yè)應(yīng)急反應(yīng)最為迅速，在漏洞爆發(fā)后采取行動也是最迅速的，無論是自行升級漏洞軟件還是聯(lián)系廠商升級防護(hù)設(shè)備都走在其他行業(yè)前列，很多金融行業(yè)站點(diǎn)在幾個小時之內(nèi)再次掃描時已經(jīng)將漏洞修補(bǔ)完成。

2.維基解密曝CIA 入侵蘋果、安卓機(jī)、電視，快來圍觀8761份泄密文件

美國時間3月7日，維基解密（WikiLeaks）網(wǎng)站公布了大量據(jù)稱是美國中央情報局（CIA）的內(nèi)部文件，其中包括了CIA內(nèi)部的組織資料，對電腦、手機(jī)等設(shè)備進(jìn)行攻擊的方法技術(shù)，以及進(jìn)行網(wǎng)絡(luò)攻擊時使用的代碼和真實(shí)樣本。利用這些技術(shù)，不僅可以在電腦、手機(jī)平臺上的Windows、iOS、Android等各類操作系統(tǒng)下發(fā)起入侵攻擊，還可以操作智能電視等終端設(shè)備，甚至可以遙控智能汽車發(fā)起暗殺行動。

一、泄漏內(nèi)容

此次公布的數(shù)據(jù)都是從CIA的內(nèi)網(wǎng)保存下來的，時間跨度為2013到2016年。這批文檔的組織方式類似于知識庫，使用Atlassian公司的團(tuán)隊(duì)工作共享系統(tǒng)Confluence創(chuàng)建。數(shù)據(jù)之間有明顯的組織索引關(guān)系，可以使用模板對多個資料進(jìn)行管理。很多資料有歷史改動的存檔，7818份資料中除去存檔共有1136個最新數(shù)據(jù)。943個附件基本上都可以在資料中找到對應(yīng)的鏈接，屬于其內(nèi)容的一部分。

具體而言，這些資料可以分為如下幾類：

• CIA部門資料，包括部門的介紹，部門相關(guān)的黑客項(xiàng)目，以及部門內(nèi)部的信息分享。

• 黑客項(xiàng)目資料，包括一些不屬于特定部門的黑客工具、輔助項(xiàng)目等，其中有項(xiàng)目的介紹，使用說明以及一些技術(shù)細(xì)節(jié)。

• 操作系統(tǒng)資料，包括iOS、MacOS、Android、Linux、虛擬機(jī)等系統(tǒng)的信息和知識。

• 工具和開發(fā)資料，包括CIA內(nèi)部用到的Git等開發(fā)工具。

• 員工資料，包括員工的個人信息，以及員工自己創(chuàng)建的一些內(nèi)容。

• 知識庫，這里面分門別類地存放了大量技術(shù)知識以及攻擊手段。其中比較重要的是關(guān)于Windows操作系統(tǒng)的技術(shù)細(xì)節(jié)和各種漏洞，以及對于常見的個人安全產(chǎn)品（Personal Security Products）的繞過手段，包括諾頓、卡巴斯基、賽門鐵克、微軟殺毒以及瑞星等安全產(chǎn)品。

一、各方反應(yīng)

1.蘋果：別怕，我們已修復(fù)大部分漏洞

躺槍的蘋果在給外媒 TechCrunch 的官方聲明中表示， iPhone 能提供“消費(fèi)者能得到的最佳數(shù)據(jù)安全性”，根據(jù)其初步分析，維基解密列出的 14 項(xiàng)漏洞中，有“許多”在最新版的 iOS 里都已經(jīng)被補(bǔ)上了。

雷鋒網(wǎng)了解到，除此之外，他們還承諾“會繼續(xù)快速解決被發(fā)現(xiàn)的漏洞”，而且不忘提醒使用者，要盡快下載和升級到最新版的系統(tǒng)。

2.CIA 和 FBI 在調(diào)查泄密內(nèi)鬼

據(jù)公開報道，美國官員向當(dāng)?shù)孛襟w透露，聯(lián)邦調(diào)查局（FBI）和 CIA 將聯(lián)手立項(xiàng)刑事調(diào)查。雷鋒網(wǎng)了解到，此次調(diào)查的主要內(nèi)容包括：首先，維基解密如何獲得了這些文件；其次，CIA內(nèi)部是否有內(nèi)鬼，即攻擊是從外部進(jìn)入的還是內(nèi)部同時有人呼應(yīng)。

3.三星和微軟：正在調(diào)查

三星和微軟對 CNBC 表明了態(tài)度。

三星：保護(hù)消費(fèi)者的隱私和我們設(shè)備的安全性是三星的首要任務(wù)。我們已注意到所提及的報告，正在緊急調(diào)查此事。

微軟：我們知道上述報告，正在調(diào)查此事。

4.谷歌：我們有信心

谷歌的信息安全和隱私主管希瑟-阿德金斯（Heather Adkins）在一份聲明中表示，谷歌已經(jīng)審查了這些文件，他們有信心認(rèn)為 Chrome 和 Android 的安全更新和保護(hù)已經(jīng)阻止用戶避開這些所謂的漏洞。他們的分析正在進(jìn)行中，將實(shí)施任何必要的保護(hù)措施。谷歌總是將安全視為重中之重，將繼續(xù)投資于防御體系建設(shè)。

5.美國白宮發(fā)言人：我們要起訴這些泄密的！

美國白宮發(fā)言人斯派塞當(dāng)天在例行記者會上拒絕證實(shí)這些文件的真實(shí)性，但強(qiáng)調(diào)機(jī)密文件外泄事件應(yīng)該成為一大擔(dān)憂。斯派塞說，這類泄密事件損害美國的安全，我們將會找出泄露機(jī)密信息的人，將按法律最大限度地起訴他們。

3.京東內(nèi)鬼涉50億信息泄漏案，騰訊協(xié)助破案，京東：他是試用期員工！

3月7日，微信認(rèn)證公眾號“公安部刑偵局”表示，公安部安徽、北京、遼寧、河南等14個省、直轄市公安機(jī)關(guān)開展集中收網(wǎng)行動，徹底摧毀一個通過入侵互聯(lián)網(wǎng)公司服務(wù)器竊取出售公民個人信息的犯罪團(tuán)伙，抓獲犯罪嫌疑人96 名，查獲涉及交通、物流、醫(yī)療、社交、銀行等各類被竊公民個人信息50多億條。

據(jù)公開媒體報道，鄭某鵬利用京東網(wǎng)絡(luò)安全部員工這一身份，長期監(jiān)守自盜，與黑客相互勾結(jié)，為黑客攻入網(wǎng)站提供重要信息——包括在京東、QQ上的物流信息，交易信息、個人身份等數(shù)據(jù)信息，為犯罪團(tuán)伙實(shí)施違法犯罪活動提供了有力的技術(shù)保障。

京東員工鄭某鵬所在的這一該犯罪團(tuán)伙，還曾通過相似手段入侵多家互聯(lián)網(wǎng)公司的服務(wù)器，從中竊取并倒賣公民個人信息，更利用從竊取到的各類注冊信息，二次復(fù)制銀行卡，實(shí)施盜刷銀行卡等違法犯罪活動……

消息傳開后，京東發(fā)出了一份聲明，原文如下：

日前，京東與騰訊的安全團(tuán)隊(duì)聯(lián)手協(xié)助公安部破獲了一起特大竊取販賣公民個人信息案。

據(jù)介紹，在騰訊與京東聯(lián)合打擊信息安全地下黑色產(chǎn)業(yè)鏈的日常行動中，發(fā)現(xiàn)2016年6月底入職京東、尚處于試用期的網(wǎng)絡(luò)工程師鄭某鵬系黑產(chǎn)團(tuán)伙的重要成員，并立即向公安機(jī)關(guān)提供了線索。經(jīng)了解，鄭某鵬在加入京東之前曾在國內(nèi)多家知名互聯(lián)網(wǎng)公司工作，其長期與盜賣個人信息的犯罪團(tuán)隊(duì)合作，將從所供職公司盜取的個人信息數(shù)據(jù)進(jìn)行交換，并通過各種方式在互聯(lián)網(wǎng)上販賣。在掌握大量證據(jù)的基礎(chǔ)上，按照公安部統(tǒng)一部署，安徽、北京、遼寧、河南等14個省、直轄市公安機(jī)關(guān)同步開展集中收網(wǎng)行動，韓某，翁某，鄭某鵬等主要犯罪嫌疑人悉數(shù)落網(wǎng)。目前，該案正在進(jìn)一步審理中。

4.信息泄露案牽出職業(yè)內(nèi)鬼，信息安全無間道正上演

雷鋒網(wǎng)注意到，在最初報道50億信息泄露案時，就有知情人士稱，犯罪嫌疑人鄭某鵬在加入京東之前曾在國內(nèi)多家知名互聯(lián)網(wǎng)公司工作，其泄露的50億條公民信息中，可能包含多家互聯(lián)網(wǎng)公司的用戶信息。

此后，又有知情人士透露鄭某鵬在加入京東之前曾就職于亞馬遜中國、百度和新浪微博等單位從事網(wǎng)絡(luò)安全相關(guān)工作，其長期與盜賣個人信息的犯罪團(tuán)隊(duì)合作，將從所供職公司盜取的個人信息數(shù)據(jù)進(jìn)行交換，并通過各種方式在互聯(lián)網(wǎng)上販賣，系團(tuán)伙骨干成員之一。

如果該爆料屬實(shí)，那么犯罪嫌疑人鄭某鵬很可能是“職業(yè)內(nèi)鬼”。這也難怪京東揚(yáng)言要起訴不實(shí)報道的媒體，因?yàn)椴簧賵蟮澜o人的感覺確實(shí)是，泄露的50億數(shù)據(jù)全部都來自于京東，實(shí)際情況未必如此，不少知名互聯(lián)網(wǎng)公司都可能被“潛”過，只是恰好在京東就職期間被發(fā)現(xiàn)，警方才和騰訊、京東三方協(xié)力破獲該案。

根據(jù)3月11日微博網(wǎng)友“Tombkeeper”，也就是騰訊玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸，IT圈大名鼎鼎的“TK教主”爆料，2015年他在查看某應(yīng)聘者時，就注意到應(yīng)聘者的身份可疑，不僅曾在多家公司連續(xù)跳槽，而且不斷換城市，而且存在簡歷造假，系故意掩蓋其過往經(jīng)歷。最終經(jīng)過調(diào)查發(fā)現(xiàn)該應(yīng)聘者果然是黑產(chǎn)團(tuán)伙成員。

   

很明顯，騰訊也曾是職業(yè)黑產(chǎn)臥底的一大目標(biāo)，只是那一次被TK教主成功識破。

據(jù)雷鋒網(wǎng)了解，其實(shí)在此之前，內(nèi)鬼勾結(jié)地下黑產(chǎn)售賣公司內(nèi)部數(shù)據(jù)的案件就屢有發(fā)生，如2013年底支付寶被曝出的20G信息泄露事件，就和其前技術(shù)員工李明（音）利用職務(wù)之便，勾結(jié)地下黑產(chǎn)有關(guān)。在物流方面，順豐快遞也曾多次出現(xiàn)內(nèi)鬼售賣物流信息的案件，其他快遞的物流信息也幾乎無一幸免地出現(xiàn)在地下黑市。

然而在以往大眾的認(rèn)知當(dāng)中，這些內(nèi)鬼可能是原本正常的員工受到利益的誘惑才和地下黑產(chǎn)勾結(jié)，但“職業(yè)臥底”這一身份的出現(xiàn)，開始讓人們意識到，公眾信息保護(hù)并沒有那么簡單。網(wǎng)絡(luò)安全的“無間道”大戲正在上演，每一家擁有公眾信息的企業(yè)、機(jī)構(gòu)都在參演，而最終的受害者將是每一個公民。

5.網(wǎng)民身份信息被泄露嚴(yán)重， 政協(xié)委員建議重罰

來源：新民晚報

隨著大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，用戶數(shù)據(jù)泄露現(xiàn)象進(jìn)一步惡化，個人信息安全形勢嚴(yán)峻。對此，全國政協(xié)委員張近東在今年提交的提案中，建議重罰信息泄露行為，以信息泄漏及信息轉(zhuǎn)賣數(shù)量作為界定標(biāo)準(zhǔn)，提升處罰刑期上限，遏制整個信息泄露鏈條的關(guān)鍵環(huán)節(jié)。

去年，中國互聯(lián)網(wǎng)協(xié)會數(shù)據(jù)報告顯示，78.2%的網(wǎng)民個人身份信息被泄露過，63.4%的網(wǎng)民個人網(wǎng)上活動信息被泄露過，網(wǎng)民因個人信息泄露、垃圾信息、詐騙信息等現(xiàn)象導(dǎo)致總體損失約805億元。

對于信息安全問題，張近東提出，要進(jìn)一步制定數(shù)據(jù)開放共享配套法規(guī)、安全配套標(biāo)準(zhǔn)，構(gòu)建防護(hù)技術(shù)體系，確保數(shù)據(jù)安全。根據(jù)不同企業(yè)等級，制定相應(yīng)法規(guī)、管理?xiàng)l例，強(qiáng)制要求相應(yīng)等級企業(yè)參照國家相應(yīng)標(biāo)準(zhǔn)，采取符合其等級的技術(shù)和管理規(guī)范，并保證其在信息保護(hù)方面的經(jīng)費(fèi)投入與其信息數(shù)量、敏感度匹配。

張近東認(rèn)為，要針對信息泄漏及轉(zhuǎn)賣信息人員加強(qiáng)處罰，因目前信息泄漏源頭環(huán)節(jié)相對廉價，每條僅為1元不到至10元不等，僅從涉案金額來看往往不高，且最高罰則僅為三年以下有期徒刑，無法形成有效制約。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。