10月19日，上午還是指名道姓，到當(dāng)天下午再看，就只剩“某郵箱”。

當(dāng)然，空穴不來風(fēng)，無論所謂的"網(wǎng)易郵箱數(shù)據(jù)泄露事件"結(jié)果怎樣，都建議網(wǎng)友們盡快采取措施以保護(hù)自己的賬戶安全。

烏云和網(wǎng)易存在爭議的地方主要在于泄露事件的原因，網(wǎng)易堅持認(rèn)為自己的安全防護(hù)不存在問題，而根據(jù)烏云提交的漏洞報告卻證明了網(wǎng)易的安全存在問題。

網(wǎng)易認(rèn)為此次事件是撞庫，而烏云則質(zhì)疑并認(rèn)為是“疑似拖庫"。

網(wǎng)易所說的撞庫，是指黑客通過得到從其他地方泄露的信息來測試網(wǎng)易賬戶。其言外之意就是“我的防護(hù)沒有任何問題，被盜的原因是用戶在多處使用相同密碼，又在別處將密碼泄露從而導(dǎo)致網(wǎng)易“躺槍”。

那么真的如網(wǎng)易所說，是由于撞庫導(dǎo)致的嗎？

根據(jù)烏云上披露的數(shù)據(jù)文件顯示有50GB，根據(jù)估算總用戶量接近4億，基本可以排除是由于撞庫導(dǎo)致的泄露。并且從泄露出來的樣本，包含密保等字段，更是排除了撞庫的可能性。

那么如果不是被撞庫，最大的可能性就是網(wǎng)易自身的安全防護(hù)出現(xiàn)了問題。

從一個難以避免的低級錯誤說起

盡管表示達(dá)到了EAL3+安全等級，但是根據(jù)烏云漏洞庫，今年來網(wǎng)易郵箱系統(tǒng)已經(jīng)曝出了不少安全漏洞：

且不說這張證書的含金量有多高，作為不明真相的群眾，我們往往只相信結(jié)果。

以其中「從一個弱口令到漫游網(wǎng)易內(nèi)網(wǎng)」這個漏洞來講：

漏洞報告者（以下簡稱白帽子）通過賬號admin 和密碼123456  進(jìn)入網(wǎng)易的網(wǎng)絡(luò)管理系統(tǒng)。

然后依次登錄到交換機，并通過抓包（數(shù)據(jù)截?。?，獲得一個普通密碼和enable密碼，繼而逐步深入獲取內(nèi)網(wǎng)權(quán)限，拿到內(nèi)部人員郵箱，再次通過抓包獲取密碼……直至進(jìn)入內(nèi)網(wǎng)。

而另一個漏洞報告「網(wǎng)易某站getshell可直接入內(nèi)網(wǎng)」，白帽子則是通過某個外部網(wǎng)站的弱口令（賬號admin,密碼auto123）繼而逐步進(jìn)入到企業(yè)內(nèi)網(wǎng)。

從這兩例看來，且不提是否真的達(dá)到了所謂 EAL3+ 的安全等級 ，管理員弱口令、運維員工郵箱賬號泄露等均是危害極大的低級錯誤，獲取密碼后黑客進(jìn)出其內(nèi)網(wǎng)獲取各種數(shù)據(jù)如探囊取物——

就好比一個再堅固的防盜門，只要被盜賊拿到了鑰匙，就徹底失去了防護(hù)作用。

說到這里，相信對于此次泄露事件的原因大家心中都有了答案。

但說對于國內(nèi)大部分企業(yè)來說，以上兩個例子并不是個例。

對于拖庫，這里借用知乎網(wǎng)友@張耀疆的一句話：

拖庫這個問題一共分為三種情況：

• 一是已經(jīng)被拖了。

  
  

• 二是已經(jīng)被拖了可是大家還不知道。

  
  

• 三是正走在被拖的路上。

類似網(wǎng)易用戶密碼被曝光這種事件只是從第二種情況變成了第一種情況，大部分系統(tǒng)都處于第二或者第三，或者歷史上曾經(jīng)第二、現(xiàn)在正在第三。

這正如安全圈子里的那句話“百分之九十的企業(yè)曾被攻擊過，剩下的百分之十不知情”。經(jīng)過此次事件，應(yīng)該讓更多的企業(yè)緊張起來，除了考慮自家的庫什么時候可能會被拖，也應(yīng)進(jìn)行一次安全排查。

• 有多少運維人員配置各種設(shè)備賬號密碼和郵箱密碼一樣？

  
  

• 有多少員工在各類IT系統(tǒng)使用同一套密碼，并且還是弱密碼？

  
  

• 多少員工由于所謂的“工作需要”共用一個密碼？一旦泄露企業(yè)要如何追責(zé)？

  
  

• 員工離職后是否及時撤銷其內(nèi)網(wǎng)的權(quán)限，撤銷是否徹底？

  
  

• 更多問題……
  

正是由于許多問題并不是技術(shù)性問題，而是由人的行為導(dǎo)致，這就更加難以解決。一旦出了問題，普通人泄露一條賬號密碼也許只是個人經(jīng)濟損失或信息泄露，而企業(yè)的運維、管理人員泄露密碼則可能導(dǎo)致整個公司陷入信任危機，蒙受巨大的經(jīng)濟損失。因此企業(yè)須時刻準(zhǔn)備好與黑客的攻防，而不是等問題出現(xiàn)后再去公關(guān)處理，出現(xiàn)“信息安全做不好，公關(guān)費用花不少”的情況。

那么，企業(yè)該如何應(yīng)對？

首先中小企業(yè)因為規(guī)章制度不規(guī)范，安全意識不足及網(wǎng)絡(luò)管理人員缺少或能力欠缺等原因?qū)е旅艽a泄露是常見的，而即使在大企業(yè)中，人也難免出現(xiàn)懶惰和疏忽。

一方面，通過行政手段，強化員工安全意識是有必要的。

從技術(shù)解決層面，在企業(yè)內(nèi)網(wǎng)使用人臉、聲音、指紋等生物識別替代密碼驗證，可以很好地解決這個問題。以生物識別安全領(lǐng)域的「洋蔥令牌」為例，其為企業(yè)定制一款手機APP，員工登錄內(nèi)網(wǎng)各個系統(tǒng)時只需用自己的手機進(jìn)行人臉、聲音、指紋等方式驗證身份后，即可通過掃碼登錄內(nèi)網(wǎng)各個系統(tǒng)，從而杜絕密碼泄露。

而即使企業(yè)沒有部署這類驗證方式，也可以通過在系統(tǒng)上做策略。比如域環(huán)境下的windows系統(tǒng)默認(rèn)用戶密碼是強密碼。

對于企業(yè)來說，在內(nèi)網(wǎng)部署更強有效的識別方式、定期進(jìn)行安全檢查和培訓(xùn)，這些措施實施并不需要投入多少成本，卻能大幅降低企業(yè)的網(wǎng)絡(luò)安全風(fēng)險。但如果企業(yè)管理層仍存僥幸心理，只怕出現(xiàn)無法收場的結(jié)果。

正如這一次泄露事件無論最終網(wǎng)易如何收尾，目前的情況都已讓其陷入信任危機，但相信此事已敲響了安全警鐘，希望各企業(yè)的安全能夠更加完善，有“態(tài)度”的網(wǎng)易也說過：”產(chǎn)品安全是其立足之本?！?/span>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。