本港台开奖现场直播 j2开奖直播报码现场
当前位置: 新闻频道 > IT新闻 >

【j2开奖】所谓京东数据泄露,其实是Struts惹下的大祸

时间:2016-12-11 22:49来源:118图库 作者:j2开奖直播 点击:
12月10日,网传疑似京东12GB用户数据被黑产明码标价售卖,而京东在12月10日当晚通过官方公众号《京东黑板报》对于数据泄露进行了及时回应:表示这部分数据失窃可能源于2013年7月

【j2开奖】所谓京东数据泄露,其实是Struts惹下的大祸

【j2开奖】所谓京东数据泄露,其实是Struts惹下的大祸

  12月10日,网传疑似京东12GB用户数据被黑产明标价售卖,而京东在12月10日当晚通过官方公众号《京东黑板报》对于数据泄露进行了及时回应:表示这部分数据失窃可能源于2013年7月Struts2安全漏洞时间,该漏洞在三年前内发现后就被京东修复,已对可能受影响用户做过了安全升级提示,目前仅有极少部分未进行账号安全升级的用户可能会受到影响。

  我认为已经被公布的京东12GB数据泄露,因为早已进行了修补漏洞处置和用户安全升级提醒,其实潜在威胁算是基本可控,更可怕的后果,是大量受类似Struts 2安全漏洞影响的公司和用户还浑然不觉,这些随时可能引爆的隐形安全炸弹,需要动员整个社会和互联网行业的力量来进行安全排雷。

  复盘Struts2漏洞始末,处置失当引发业内反思

  在京东官方回复中,提到了Struts 2安全漏洞事件,可能对于不太关注信息安全的用户来说,这是一个相对陌生的事件,但正是Sturts 2安全漏洞处置失当,造成了整个互联网数据失窃的巨大危机,企业、政府、机构、个人,几乎所有互联网参与者,都受到了Struts 2漏洞处置失当的影响。

  再优秀的大型的操作系统软件或者是数据库软件,都难以避免地存在不同程度的bug或者安全漏洞。当一些网络高手或者是安全组织,发现安全漏洞之后,通常会发出漏洞安全警示,来提醒系统厂商或者软件厂商进行漏洞修补。

  但在2013年7月,Apache基金会旗下的Struts,在发现了一处安全漏洞之后并没有像行业通行的发出漏洞警告,而是非常轻率和儿戏地放出了该漏洞的源代,这就相当于把网络安全的病灶公之于众,即便水平低下的黑客也能知道网络防御的软肋,这使得很多技术很普通的的黑客,也能利用Struts 2安全漏洞相对轻松地获取网络上的各类数据。

  本来是很常规的一个安全漏洞,但由于Struts的不恰当处置,导致了黑客们竞相比拼,以利用漏洞侵入网站的数量来做此竞技的标准,这也造成了极其严重的后果,j2直播,据相关媒体报道,百度、腾讯、淘宝、京东等中国大型网站受到攻击,甚至商业银行和国家级的政府网站也未能幸免。至此,Struts 2安全漏洞事件几乎失控,京东、百度等国内互联网公司,在修补Struts 2安全漏洞之后,向用户发出了修改密码、安全升级的提示。此次网上传出的12GB京东给用户数据,据京东技术部门调查,很可能就发生在Struts 2漏洞事件期间。

  严格来说,Struts这个本应作为安全防御守卫者和预警者角色的组织,因为奇葩又诡异的漏洞处置方式,实际上将信息安全的软肋暴露给全球的黑客,成为网络信息黑产业的帮凶,京东不过是公开的受害者之一。

  真正的危险,源于未知和浑然不觉

  在航海中,真正的危险来自于隐没水面之下的礁石和水手们的大意,而在互联网世界中,我认为真正的信息安全危机同样来自于未知和浑然不觉。当健康的人体被细菌或者病毒侵入之后,人们会有发热、发炎等变化,这种免疫系统的有效提示,给人类的应对来自外界的生化威胁时提供了线索和提示。

  相比京东已经被曝光和处理过的用户数据泄露,我认为更具破坏潜力的是,那些在其它网站后台早已被黑客窃取了用户账号、密码、地址等敏感数据而毫无察觉的用户,他们在网络安全黑产中才是真正的富矿

  要解决网络安全问题,我认为很重要的一条,就是中国互联网企业要建立信息安全的联盟,就像保险行业信息共享或者银行体系的征信共享,可以通过网络安全的信息共享,增强安全漏洞修补能力,也能够在一家平台出现数据泄漏后,对其它厂商发出撞库风险提示,并通过后台的大数据和防御体系进行协同布防,这要比某家企业单打独斗更有效果。

  应该对网络黑产每个环节都进行手术刀式打击

  无论是在现实世界,还是在数码世界,绝对的安全都不存在。理论上来说,任何防御体系或密码都是可以被破解的,区别只是在于破解的难度、时间和效益。所以,信息安全的这件事,并不是某一个企业或者组织的事,而是所有互联网产业的参与者都应该高度重视和防范的。

(责任编辑:本港台直播)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
栏目列表
推荐内容