| 事件分析

3月31日，拉勾網(wǎng)CEO許單單發(fā)微博公開致歉，承認其公司某員工自發(fā)使用黑客手段盜取其競爭對手看準(zhǔn)網(wǎng)員工的工作郵箱和蘋果商店賬號，并將其產(chǎn)品“BOSS直聘”下架，公司表示完全不知情，然后表態(tài)呼吁良性競爭，不要彼此惡性攻擊。

（圖為Boss直聘在聲明里貼出的蘋果官方的賬號異常郵件通知）

拉勾的致歉信一出，許多網(wǎng)友就紛紛對“公司不知情”表示質(zhì)疑，理由很簡單：如果一個程序員在沒有公司不知情，沒有任何激勵和授權(quán)的情況下，冒著法律風(fēng)險自發(fā)作出如此行為，那么這個程序員對公司是多么的忠誠和熱愛，然而工作卻又如此不飽和，有閑工夫去當(dāng)黑客，這顯然不符合常理。引入黑客來打擊對手的事情常有發(fā)生，所以必定是公司蓄謀的攻擊行為。

然而轉(zhuǎn)念一想，拉勾網(wǎng)真的會走這一步臭棋嗎？

首先，許多人認為黑客行蹤詭異，很難被發(fā)現(xiàn)，但事實并不是如此。大部分黑客入侵行為，只要有關(guān)部門要抓，都是能找到痕跡的，能夠做到無跡可尋的黑客是鳳毛麟角。

在看準(zhǔn)網(wǎng)的產(chǎn)品被下線時，競爭雙方正就應(yīng)用刷榜一事火拼。拉勾網(wǎng)官方真的會在這個時間節(jié)點下手嗎？一旦下手，對方首先就會懷疑到自己，而事實也正是如此，看準(zhǔn)網(wǎng)剛發(fā)布聲明，輿論就立刻將矛頭指向拉勾網(wǎng)，雙方開始陷入公關(guān)撕扯，拉勾網(wǎng)顯然不會輕易做如此引火燒身之事，這是第一點。

致歉信中提到“該員工在騰訊企業(yè)后臺、蘋果APP開發(fā)者后臺做出了一些不恰當(dāng)?shù)呐e動”試想，如果是拉勾網(wǎng)蓄謀，并且成功黑進對方管理員郵箱，選擇潛伏起來，不斷獲取競爭對手的工作溝通消息，豈不是收益更大? 一個拿到對方家門鑰匙，是會選擇潛伏起來，在恰當(dāng)時機進行一番洗劫，還是直接闖入家門大鬧一番然后被發(fā)現(xiàn)，相信理智的都會選擇前者。如果是公司蓄謀行為，權(quán)衡利弊也不會如此魯莽。

我一向不喜歡陰謀論，但如果真的是員工自發(fā)的行為，那么有一種可能：盜號輕而易舉。會不會有可能拉勾網(wǎng)的員工自己閑來無事研究些黑客技術(shù)，結(jié)果輕易一試就盜走了看準(zhǔn)網(wǎng)員工賬號呢？

| 盜一個賬號，到底多簡單？

企業(yè)員工賬號被盜這件事到底有多常見，文字一言難盡，但如果直接進入烏云網(wǎng)、漏洞盒子、補天等漏洞平臺，就能立刻親身體會到員工賬號被盜是多么稀松平常的事，涉及員工賬號、弱口令等關(guān)鍵詞的漏洞每天不斷上演。

（截取自烏云漏洞平臺）

通過烏云網(wǎng)公布的以往出現(xiàn)過的企業(yè)郵箱盜號事件案例，可以基本還原通過簡單手段輕松獲取對方賬號的過程。大家可以自行感受，即使是不懂技術(shù)的人，如何僅用最基本的搜索操作，就能進入別人的企業(yè)郵箱賬號。

第一步：找到企業(yè)郵箱地址

截取自烏云漏洞平臺

第二步：然后將賬號輸入到某社工庫中搜索，立即獲得了兩個用戶賬號密碼，隨即成功登錄對方的企業(yè)郵箱賬號。

這里科普一下社工庫的概念——

社工庫就是黑客將以往泄露出來的數(shù)據(jù)匯總到一起供人們隨意查詢和使用的數(shù)據(jù)庫。

截取自烏云漏洞平臺

怎么樣？是不是比你想像中還簡單？這僅僅是盜號最簡單的方法，其他手法更是層出不窮，但大部分也并不需要太高的技術(shù)要求，一個暴力破解腳本，搭配常用的弱密碼字典，就能讓賬號手到擒來。 

| 蒼蠅從不釘無縫的蛋

但無論如何，賬號被輕易盜用的前提依然是人們不安全的賬號使用習(xí)慣，要么是使用了弱口令導(dǎo)致被輕易猜測或暴力破解，要么則是在多處使用同一個賬號密碼，導(dǎo)致一處被盜，全部遭殃。

對于看準(zhǔn)網(wǎng)員工賬號被盜一事，所有人的目光從一開始聚焦到應(yīng)用刷榜、商業(yè)競爭到如今的程序員背鍋，甚至有人猜測兩家公司將要合并，卻沒有人來真正關(guān)心事件的源頭：如果看準(zhǔn)網(wǎng)將員工的賬號安全做好，會有這些事嗎？

網(wǎng)絡(luò)安全問題被無視，恰恰是問題出現(xiàn)的關(guān)鍵。在如今黑客橫行，數(shù)據(jù)泄露頻發(fā)的今天，大家抱以看熱鬧的態(tài)度卻不警醒自己，那么下一個員工賬號被黑的很可能是自己。因此拉勾網(wǎng)在呼吁企業(yè)之間正當(dāng)競爭的同時，也更應(yīng)該提醒企業(yè)警惕做好自身防范。即使此次不是拉勾網(wǎng)的員工盜走賬號，依然會有其他的黑客這么做，只是早晚的區(qū)別。

| 員工賬號安全，企業(yè)該怎么做？

對于員工賬號安全，賬號安全公司Secken創(chuàng)始人吳洪聲給出了如下建議：

• 嘗試使用生物識別等其他因素來替代賬號密碼，可以杜絕員工使用簡單賬號密碼、共用賬號權(quán)限、賬號私自交接等情況的發(fā)生，有效保證賬戶安全。

• 建立統(tǒng)一的權(quán)限管理系統(tǒng)，盡可能將企業(yè)的各個系統(tǒng)應(yīng)該整合在一起，在一個平臺上集中控制和管理企業(yè)內(nèi)部的賬號權(quán)限，避免由于權(quán)限分散導(dǎo)致的管理混亂。

• 離職員工撤銷不及時不徹底是很常見的現(xiàn)象，因此加強人資部門和IT部門的溝通，員工離職后第一時間核對賬號權(quán)限并撤銷，防止“藕斷絲連”情況的發(fā)生，“換工作就得換密碼”。

目前國內(nèi)企業(yè)的賬號安全意識仍有待提高，大部分企業(yè)都仍停留在亡羊補牢的情況，甚至發(fā)生安全事故依然無動于衷。企業(yè)可以采取措施或部署洋蔥令牌等產(chǎn)品來改善賬號安全現(xiàn)狀，但最終決定權(quán)依然在于企業(yè)領(lǐng)導(dǎo)，企業(yè)高層的安全意識才是關(guān)鍵因素。

無論如何，對于此次事件，有一點是可以確定的，看準(zhǔn)網(wǎng)的賬號安全出現(xiàn)了問題，需要采取措施，企業(yè)需要引以為戒。人們進行了各種各樣的猜想，輿論的風(fēng)向也幾次發(fā)生轉(zhuǎn)變，但與其跟風(fēng)進行毫無根據(jù)推測，為什么不能把它當(dāng)做一次普通的賬號安全事故？這個被忽略的問題，才是最應(yīng)該直面的。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。