本周關(guān)鍵詞

▼

Struts2漏洞 |  維基泄密CIA |  50億信息泄露

京東捉內(nèi)鬼 | 職業(yè)內(nèi)鬼 | 重罰信息泄露

1.一份數(shù)據(jù)告訴你，被萬(wàn)年漏洞王 Struts2 坑了的網(wǎng)站有哪些

pache Struts2 作為世界上最流行的 Java Web 服務(wù)器框架之一，3 月 7 日帶來(lái)了本年度第一個(gè)高危漏洞——CVE編號(hào) CVE-2017-5638 。其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可以在使用該插件上傳文件時(shí)，修改 HTTP 請(qǐng)求頭中的 Content-Type 值來(lái)觸發(fā)該漏洞，導(dǎo)致遠(yuǎn)程執(zhí)行代碼。

哪些網(wǎng)站已中招

Struts 作為一個(gè)“世界級(jí)”開(kāi)源架構(gòu)，它的一個(gè)高危漏洞危害有多大，下面兩張圖可以讓大家對(duì)這個(gè)漏洞的影響范圍有一個(gè)直觀認(rèn)識(shí)。

雷鋒網(wǎng)從綠盟科技了解到，從 3 月 7 日漏洞曝出到 3 月 9 日不到 36 個(gè)小時(shí)的時(shí)間里，大量用戶(hù)第一時(shí)間通過(guò)綠盟云的 Structs2 緊急漏洞檢測(cè)服務(wù)對(duì)自己的網(wǎng)站進(jìn)行檢測(cè)，共計(jì) 22000 余次。

通過(guò)對(duì)這些數(shù)據(jù)進(jìn)行分析，可以看到：

1、從檢測(cè)數(shù)據(jù)來(lái)看，教育行業(yè)受Struts2漏洞影響最多，其次是政府、金融、互聯(lián)網(wǎng)、通信等行業(yè)。

    

2、從地域來(lái)看，北、上、廣、沿海城市等經(jīng)濟(jì)發(fā)達(dá)地區(qū)成為 Struts2 漏洞高發(fā)區(qū),與此同時(shí)修復(fù)情況也最及時(shí)。

3、從應(yīng)對(duì)漏洞積極性來(lái)說(shuō)，金融、政府、教育位列前三甲。

雷鋒網(wǎng)了解到，應(yīng)對(duì)本次 Struts2 漏洞，金融行業(yè)應(yīng)急反應(yīng)最為迅速，在漏洞爆發(fā)后采取行動(dòng)也是最迅速的，無(wú)論是自行升級(jí)漏洞軟件還是聯(lián)系廠商升級(jí)防護(hù)設(shè)備都走在其他行業(yè)前列，很多金融行業(yè)站點(diǎn)在幾個(gè)小時(shí)之內(nèi)再次掃描時(shí)已經(jīng)將漏洞修補(bǔ)完成。

2.維基解密曝CIA 入侵蘋(píng)果、安卓機(jī)、電視，快來(lái)圍觀8761份泄密文件

美國(guó)時(shí)間3月7日，維基解密（WikiLeaks）網(wǎng)站公布了大量據(jù)稱(chēng)是美國(guó)中央情報(bào)局（CIA）的內(nèi)部文件，其中包括了CIA內(nèi)部的組織資料，對(duì)電腦、手機(jī)等設(shè)備進(jìn)行攻擊的方法技術(shù)，以及進(jìn)行網(wǎng)絡(luò)攻擊時(shí)使用的代碼和真實(shí)樣本。利用這些技術(shù)，不僅可以在電腦、手機(jī)平臺(tái)上的Windows、iOS、Android等各類(lèi)操作系統(tǒng)下發(fā)起入侵攻擊，還可以操作智能電視等終端設(shè)備，甚至可以遙控智能汽車(chē)發(fā)起暗殺行動(dòng)。

一、泄漏內(nèi)容

此次公布的數(shù)據(jù)都是從CIA的內(nèi)網(wǎng)保存下來(lái)的，時(shí)間跨度為2013到2016年。這批文檔的組織方式類(lèi)似于知識(shí)庫(kù)，使用Atlassian公司的團(tuán)隊(duì)工作共享系統(tǒng)Confluence創(chuàng)建。數(shù)據(jù)之間有明顯的組織索引關(guān)系，可以使用模板對(duì)多個(gè)資料進(jìn)行管理。很多資料有歷史改動(dòng)的存檔，7818份資料中除去存檔共有1136個(gè)最新數(shù)據(jù)。943個(gè)附件基本上都可以在資料中找到對(duì)應(yīng)的鏈接，屬于其內(nèi)容的一部分。

具體而言，這些資料可以分為如下幾類(lèi)：

• CIA部門(mén)資料，包括部門(mén)的介紹，部門(mén)相關(guān)的黑客項(xiàng)目，以及部門(mén)內(nèi)部的信息分享。

• 黑客項(xiàng)目資料，包括一些不屬于特定部門(mén)的黑客工具、輔助項(xiàng)目等，其中有項(xiàng)目的介紹，使用說(shuō)明以及一些技術(shù)細(xì)節(jié)。

• 操作系統(tǒng)資料，包括iOS、MacOS、Android、Linux、虛擬機(jī)等系統(tǒng)的信息和知識(shí)。

• 工具和開(kāi)發(fā)資料，包括CIA內(nèi)部用到的Git等開(kāi)發(fā)工具。

• 員工資料，包括員工的個(gè)人信息，以及員工自己創(chuàng)建的一些內(nèi)容。

• 知識(shí)庫(kù)，這里面分門(mén)別類(lèi)地存放了大量技術(shù)知識(shí)以及攻擊手段。其中比較重要的是關(guān)于Windows操作系統(tǒng)的技術(shù)細(xì)節(jié)和各種漏洞，以及對(duì)于常見(jiàn)的個(gè)人安全產(chǎn)品（Personal Security Products）的繞過(guò)手段，包括諾頓、卡巴斯基、賽門(mén)鐵克、微軟殺毒以及瑞星等安全產(chǎn)品。

一、各方反應(yīng)

1.蘋(píng)果：別怕，我們已修復(fù)大部分漏洞

躺槍的蘋(píng)果在給外媒 TechCrunch 的官方聲明中表示， iPhone 能提供“消費(fèi)者能得到的最佳數(shù)據(jù)安全性”，根據(jù)其初步分析，維基解密列出的 14 項(xiàng)漏洞中，有“許多”在最新版的 iOS 里都已經(jīng)被補(bǔ)上了。

雷鋒網(wǎng)了解到，除此之外，他們還承諾“會(huì)繼續(xù)快速解決被發(fā)現(xiàn)的漏洞”，而且不忘提醒使用者，要盡快下載和升級(jí)到最新版的系統(tǒng)。

2.CIA 和 FBI 在調(diào)查泄密內(nèi)鬼

據(jù)公開(kāi)報(bào)道，美國(guó)官員向當(dāng)?shù)孛襟w透露，聯(lián)邦調(diào)查局（FBI）和 CIA 將聯(lián)手立項(xiàng)刑事調(diào)查。雷鋒網(wǎng)了解到，此次調(diào)查的主要內(nèi)容包括：首先，維基解密如何獲得了這些文件；其次，CIA內(nèi)部是否有內(nèi)鬼，即攻擊是從外部進(jìn)入的還是內(nèi)部同時(shí)有人呼應(yīng)。

3.三星和微軟：正在調(diào)查

三星和微軟對(duì) CNBC 表明了態(tài)度。

三星：保護(hù)消費(fèi)者的隱私和我們?cè)O(shè)備的安全性是三星的首要任務(wù)。我們已注意到所提及的報(bào)告，正在緊急調(diào)查此事。

微軟：我們知道上述報(bào)告，正在調(diào)查此事。

4.谷歌：我們有信心

谷歌的信息安全和隱私主管希瑟-阿德金斯（Heather Adkins）在一份聲明中表示，谷歌已經(jīng)審查了這些文件，他們有信心認(rèn)為 Chrome 和 Android 的安全更新和保護(hù)已經(jīng)阻止用戶(hù)避開(kāi)這些所謂的漏洞。他們的分析正在進(jìn)行中，將實(shí)施任何必要的保護(hù)措施。谷歌總是將安全視為重中之重，將繼續(xù)投資于防御體系建設(shè)。

5.美國(guó)白宮發(fā)言人：我們要起訴這些泄密的！

美國(guó)白宮發(fā)言人斯派塞當(dāng)天在例行記者會(huì)上拒絕證實(shí)這些文件的真實(shí)性，但強(qiáng)調(diào)機(jī)密文件外泄事件應(yīng)該成為一大擔(dān)憂(yōu)。斯派塞說(shuō)，這類(lèi)泄密事件損害美國(guó)的安全，我們將會(huì)找出泄露機(jī)密信息的人，將按法律最大限度地起訴他們。

3.京東內(nèi)鬼涉50億信息泄漏案，騰訊協(xié)助破案，京東：他是試用期員工！

3月7日，微信認(rèn)證公眾號(hào)“公安部刑偵局”表示，公安部安徽、北京、遼寧、河南等14個(gè)省、直轄市公安機(jī)關(guān)開(kāi)展集中收網(wǎng)行動(dòng)，徹底摧毀一個(gè)通過(guò)入侵互聯(lián)網(wǎng)公司服務(wù)器竊取出售公民個(gè)人信息的犯罪團(tuán)伙，抓獲犯罪嫌疑人96 名，查獲涉及交通、物流、醫(yī)療、社交、銀行等各類(lèi)被竊公民個(gè)人信息50多億條。

據(jù)公開(kāi)媒體報(bào)道，鄭某鵬利用京東網(wǎng)絡(luò)安全部員工這一身份，長(zhǎng)期監(jiān)守自盜，與黑客相互勾結(jié)，為黑客攻入網(wǎng)站提供重要信息——包括在京東、QQ上的物流信息，交易信息、個(gè)人身份等數(shù)據(jù)信息，為犯罪團(tuán)伙實(shí)施違法犯罪活動(dòng)提供了有力的技術(shù)保障。

京東員工鄭某鵬所在的這一該犯罪團(tuán)伙，還曾通過(guò)相似手段入侵多家互聯(lián)網(wǎng)公司的服務(wù)器，從中竊取并倒賣(mài)公民個(gè)人信息，更利用從竊取到的各類(lèi)注冊(cè)信息，二次復(fù)制銀行卡，實(shí)施盜刷銀行卡等違法犯罪活動(dòng)……

消息傳開(kāi)后，京東發(fā)出了一份聲明，原文如下：

日前，京東與騰訊的安全團(tuán)隊(duì)聯(lián)手協(xié)助公安部破獲了一起特大竊取販賣(mài)公民個(gè)人信息案。

據(jù)介紹，在騰訊與京東聯(lián)合打擊信息安全地下黑色產(chǎn)業(yè)鏈的日常行動(dòng)中，發(fā)現(xiàn)2016年6月底入職京東、尚處于試用期的網(wǎng)絡(luò)工程師鄭某鵬系黑產(chǎn)團(tuán)伙的重要成員，并立即向公安機(jī)關(guān)提供了線(xiàn)索。經(jīng)了解，鄭某鵬在加入京東之前曾在國(guó)內(nèi)多家知名互聯(lián)網(wǎng)公司工作，其長(zhǎng)期與盜賣(mài)個(gè)人信息的犯罪團(tuán)隊(duì)合作，將從所供職公司盜取的個(gè)人信息數(shù)據(jù)進(jìn)行交換，并通過(guò)各種方式在互聯(lián)網(wǎng)上販賣(mài)。在掌握大量證據(jù)的基礎(chǔ)上，按照公安部統(tǒng)一部署，安徽、北京、遼寧、河南等14個(gè)省、直轄市公安機(jī)關(guān)同步開(kāi)展集中收網(wǎng)行動(dòng)，韓某，翁某，鄭某鵬等主要犯罪嫌疑人悉數(shù)落網(wǎng)。目前，該案正在進(jìn)一步審理中。

4.信息泄露案牽出職業(yè)內(nèi)鬼，信息安全無(wú)間道正上演

雷鋒網(wǎng)注意到，在最初報(bào)道50億信息泄露案時(shí)，就有知情人士稱(chēng)，犯罪嫌疑人鄭某鵬在加入京東之前曾在國(guó)內(nèi)多家知名互聯(lián)網(wǎng)公司工作，其泄露的50億條公民信息中，可能包含多家互聯(lián)網(wǎng)公司的用戶(hù)信息。

此后，又有知情人士透露鄭某鵬在加入京東之前曾就職于亞馬遜中國(guó)、百度和新浪微博等單位從事網(wǎng)絡(luò)安全相關(guān)工作，其長(zhǎng)期與盜賣(mài)個(gè)人信息的犯罪團(tuán)隊(duì)合作，將從所供職公司盜取的個(gè)人信息數(shù)據(jù)進(jìn)行交換，并通過(guò)各種方式在互聯(lián)網(wǎng)上販賣(mài)，系團(tuán)伙骨干成員之一。

如果該爆料屬實(shí)，那么犯罪嫌疑人鄭某鵬很可能是“職業(yè)內(nèi)鬼”。這也難怪京東揚(yáng)言要起訴不實(shí)報(bào)道的媒體，因?yàn)椴簧賵?bào)道給人的感覺(jué)確實(shí)是，泄露的50億數(shù)據(jù)全部都來(lái)自于京東，實(shí)際情況未必如此，不少知名互聯(lián)網(wǎng)公司都可能被“潛”過(guò)，只是恰好在京東就職期間被發(fā)現(xiàn)，警方才和騰訊、京東三方協(xié)力破獲該案。

根據(jù)3月11日微博網(wǎng)友“Tombkeeper”，也就是騰訊玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸，IT圈大名鼎鼎的“TK教主”爆料，2015年他在查看某應(yīng)聘者時(shí)，就注意到應(yīng)聘者的身份可疑，不僅曾在多家公司連續(xù)跳槽，而且不斷換城市，而且存在簡(jiǎn)歷造假，系故意掩蓋其過(guò)往經(jīng)歷。最終經(jīng)過(guò)調(diào)查發(fā)現(xiàn)該應(yīng)聘者果然是黑產(chǎn)團(tuán)伙成員。

   

很明顯，騰訊也曾是職業(yè)黑產(chǎn)臥底的一大目標(biāo)，只是那一次被TK教主成功識(shí)破。

據(jù)雷鋒網(wǎng)了解，其實(shí)在此之前，內(nèi)鬼勾結(jié)地下黑產(chǎn)售賣(mài)公司內(nèi)部數(shù)據(jù)的案件就屢有發(fā)生，如2013年底支付寶被曝出的20G信息泄露事件，就和其前技術(shù)員工李明（音）利用職務(wù)之便，勾結(jié)地下黑產(chǎn)有關(guān)。在物流方面，順豐快遞也曾多次出現(xiàn)內(nèi)鬼售賣(mài)物流信息的案件，其他快遞的物流信息也幾乎無(wú)一幸免地出現(xiàn)在地下黑市。

然而在以往大眾的認(rèn)知當(dāng)中，這些內(nèi)鬼可能是原本正常的員工受到利益的誘惑才和地下黑產(chǎn)勾結(jié)，但“職業(yè)臥底”這一身份的出現(xiàn)，開(kāi)始讓人們意識(shí)到，公眾信息保護(hù)并沒(méi)有那么簡(jiǎn)單。網(wǎng)絡(luò)安全的“無(wú)間道”大戲正在上演，每一家擁有公眾信息的企業(yè)、機(jī)構(gòu)都在參演，而最終的受害者將是每一個(gè)公民。

5.網(wǎng)民身份信息被泄露嚴(yán)重， 政協(xié)委員建議重罰

來(lái)源：新民晚報(bào)

隨著大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，用戶(hù)數(shù)據(jù)泄露現(xiàn)象進(jìn)一步惡化，個(gè)人信息安全形勢(shì)嚴(yán)峻。對(duì)此，全國(guó)政協(xié)委員張近東在今年提交的提案中，建議重罰信息泄露行為，以信息泄漏及信息轉(zhuǎn)賣(mài)數(shù)量作為界定標(biāo)準(zhǔn)，提升處罰刑期上限，遏制整個(gè)信息泄露鏈條的關(guān)鍵環(huán)節(jié)。

去年，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)數(shù)據(jù)報(bào)告顯示，78.2%的網(wǎng)民個(gè)人身份信息被泄露過(guò)，63.4%的網(wǎng)民個(gè)人網(wǎng)上活動(dòng)信息被泄露過(guò)，網(wǎng)民因個(gè)人信息泄露、垃圾信息、詐騙信息等現(xiàn)象導(dǎo)致總體損失約805億元。

對(duì)于信息安全問(wèn)題，張近東提出，要進(jìn)一步制定數(shù)據(jù)開(kāi)放共享配套法規(guī)、安全配套標(biāo)準(zhǔn)，構(gòu)建防護(hù)技術(shù)體系，確保數(shù)據(jù)安全。根據(jù)不同企業(yè)等級(jí)，制定相應(yīng)法規(guī)、管理?xiàng)l例，強(qiáng)制要求相應(yīng)等級(jí)企業(yè)參照國(guó)家相應(yīng)標(biāo)準(zhǔn)，采取符合其等級(jí)的技術(shù)和管理規(guī)范，并保證其在信息保護(hù)方面的經(jīng)費(fèi)投入與其信息數(shù)量、敏感度匹配。

張近東認(rèn)為，要針對(duì)信息泄漏及轉(zhuǎn)賣(mài)信息人員加強(qiáng)處罰，因目前信息泄漏源頭環(huán)節(jié)相對(duì)廉價(jià)，每條僅為1元不到至10元不等，僅從涉案金額來(lái)看往往不高，且最高罰則僅為三年以下有期徒刑，無(wú)法形成有效制約。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。