资讯 政企安全
此为临时链接,仅用于文章预览,将在时失效

在50亿信息泄露事件面前,Struts 2 漏洞和CIA泄密都是小事 | 宅客周刊

作者:谢幺
2017/03/12 09:30

本周关键词

Struts2漏洞 |  维基泄密CIA |  50亿信息泄露

京东捉内鬼 | 职业内鬼 | 重罚信息泄露


1.一份数据告诉你,被万年漏洞王 Struts2 坑了的网站有哪些

pache Struts2 作为世界上最流行的 Java Web 服务器框架之一,3 月 7 日带来了本年度第一个高危漏洞——CVE编号 CVE-2017-5638 。其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改 HTTP 请求头中的 Content-Type 值来触发该漏洞,导致远程执行代码。

哪些网站已中招

Struts 作为一个“世界级”开源架构,它的一个高危漏洞危害有多大,下面两张图可以让大家对这个漏洞的影响范围有一个直观认识。

雷锋网从绿盟科技了解到,从 3 月 7 日漏洞曝出到 3 月 9 日不到 36 个小时的时间里,大量用户第一时间通过绿盟云的 Structs2 紧急漏洞检测服务对自己的网站进行检测,共计 22000 余次。

通过对这些数据进行分析,可以看到:

1、从检测数据来看,教育行业受Struts2漏洞影响最多,其次是政府、金融、互联网、通信等行业。

在50亿信息泄露事件面前,Struts 2 漏洞和CIA泄密都是小事 | 宅客周刊    

2、从地域来看,北、上、广、沿海城市等经济发达地区成为 Struts2 漏洞高发区,与此同时修复情况也最及时。在50亿信息泄露事件面前,Struts 2 漏洞和CIA泄密都是小事 | 宅客周刊

3、从应对漏洞积极性来说,金融、政府、教育位列前三甲。

在50亿信息泄露事件面前,Struts 2 漏洞和CIA泄密都是小事 | 宅客周刊

雷锋网了解到,应对本次 Struts2 漏洞,金融行业应急反应最为迅速,在漏洞爆发后采取行动也是最迅速的,无论是自行升级漏洞软件还是联系厂商升级防护设备都走在其他行业前列,很多金融行业站点在几个小时之内再次扫描时已经将漏洞修补完成。

2.维基解密曝CIA 入侵苹果、安卓机、电视,快来围观8761份泄密文件

美国时间3月7日,维基解密(WikiLeaks)网站公布了大量据称是美国中央情报局(CIA)的内部文件,其中包括了CIA内部的组织资料,对电脑、手机等设备进行攻击的方法技术,以及进行网络攻击时使用的代码和真实样本。利用这些技术,不仅可以在电脑、手机平台上的Windows、iOS、Android等各类操作系统下发起入侵攻击,还可以操作智能电视等终端设备,甚至可以遥控智能汽车发起暗杀行动。

一、泄漏内容

此次公布的数据都是从CIA的内网保存下来的,时间跨度为2013到2016年。这批文档的组织方式类似于知识库,使用Atlassian公司的团队工作共享系统Confluence创建。数据之间有明显的组织索引关系,可以使用模板对多个资料进行管理。很多资料有历史改动的存档,7818份资料中除去存档共有1136个最新数据。943个附件基本上都可以在资料中找到对应的链接,属于其内容的一部分。

具体而言,这些资料可以分为如下几类:

  • CIA部门资料,包括部门的介绍,部门相关的黑客项目,以及部门内部的信息分享。

  • 黑客项目资料,包括一些不属于特定部门的黑客工具、辅助项目等,其中有项目的介绍,使用说明以及一些技术细节。

  • 操作系统资料,包括iOS、MacOS、Android、Linux、虚拟机等系统的信息和知识。

  • 工具和开发资料,包括CIA内部用到的Git等开发工具。

  • 员工资料,包括员工的个人信息,以及员工自己创建的一些内容。

  • 知识库,这里面分门别类地存放了大量技术知识以及攻击手段。其中比较重要的是关于Windows操作系统的技术细节和各种漏洞,以及对于常见的个人安全产品(Personal Security Products)的绕过手段,包括诺顿、卡巴斯基、赛门铁克、微软杀毒以及瑞星等安全产品。

一、各方反应

1.苹果:别怕,我们已修复大部分漏洞

躺枪的苹果在给外媒 TechCrunch 的官方声明中表示, iPhone 能提供“消费者能得到的最佳数据安全性”,根据其初步分析,维基解密列出的 14 项漏洞中,有“许多”在最新版的 iOS 里都已经被补上了。

雷锋网了解到,除此之外,他们还承诺“会继续快速解决被发现的漏洞”,而且不忘提醒使用者,要尽快下载和升级到最新版的系统。

2.CIA 和 FBI 在调查泄密内鬼

据公开报道,美国官员向当地媒体透露,联邦调查局(FBI)和 CIA 将联手立项刑事调查。雷锋网了解到,此次调查的主要内容包括:首先,维基解密如何获得了这些文件;其次,CIA内部是否有内鬼,即攻击是从外部进入的还是内部同时有人呼应。

3.三星和微软:正在调查

三星和微软对 CNBC 表明了态度。

三星:保护消费者的隐私和我们设备的安全性是三星的首要任务。我们已注意到所提及的报告,正在紧急调查此事。

微软:我们知道上述报告,正在调查此事。

4.谷歌:我们有信心

谷歌的信息安全和隐私主管希瑟-阿德金斯(Heather Adkins)在一份声明中表示,谷歌已经审查了这些文件,他们有信心认为 Chrome 和 Android 的安全更新和保护已经阻止用户避开这些所谓的漏洞。他们的分析正在进行中,将实施任何必要的保护措施。谷歌总是将安全视为重中之重,将继续投资于防御体系建设。

5.美国白宫发言人:我们要起诉这些泄密的!

美国白宫发言人斯派塞当天在例行记者会上拒绝证实这些文件的真实性,但强调机密文件外泄事件应该成为一大担忧。斯派塞说,这类泄密事件损害美国的安全,我们将会找出泄露机密信息的人,将按法律最大限度地起诉他们。

3.京东内鬼涉50亿信息泄漏案,腾讯协助破案,京东:他是试用期员工!

3月7日,微信认证公众号“公安部刑侦局”表示,公安部安徽、北京、辽宁、河南等14个省、直辖市公安机关开展集中收网行动,彻底摧毁一个通过入侵互联网公司服务器窃取出售公民个人信息的犯罪团伙,抓获犯罪嫌疑人96 名,查获涉及交通、物流、医疗、社交、银行等各类被窃公民个人信息50多亿条

据公开媒体报道,郑某鹏利用京东网络安全部员工这一身份,长期监守自盗,与黑客相互勾结,为黑客攻入网站提供重要信息——包括在京东、QQ上的物流信息,交易信息、个人身份等数据信息,为犯罪团伙实施违法犯罪活动提供了有力的技术保障。

京东员工郑某鹏所在的这一该犯罪团伙,还曾通过相似手段入侵多家互联网公司的服务器,从中窃取并倒卖公民个人信息,更利用从窃取到的各类注册信息,二次复制银行卡,实施盗刷银行卡等违法犯罪活动……

消息传开后,京东发出了一份声明,原文如下:

日前,京东与腾讯的安全团队联手协助公安部破获了一起特大窃取贩卖公民个人信息案。


据介绍,在腾讯与京东联合打击信息安全地下黑色产业链的日常行动中,发现2016年6月底入职京东、尚处于试用期的网络工程师郑某鹏系黑产团伙的重要成员,并立即向公安机关提供了线索。经了解,郑某鹏在加入京东之前曾在国内多家知名互联网公司工作,其长期与盗卖个人信息的犯罪团队合作,将从所供职公司盗取的个人信息数据进行交换,并通过各种方式在互联网上贩卖。在掌握大量证据的基础上,按照公安部统一部署,安徽、北京、辽宁、河南等14个省、直辖市公安机关同步开展集中收网行动,韩某,翁某,郑某鹏等主要犯罪嫌疑人悉数落网。目前,该案正在进一步审理中。

4.信息泄露案牵出职业内鬼,信息安全无间道正上演

雷锋网注意到,在最初报道50亿信息泄露案时,就有知情人士称,犯罪嫌疑人郑某鹏在加入京东之前曾在国内多家知名互联网公司工作,其泄露的50亿条公民信息中,可能包含多家互联网公司的用户信息

此后,又有知情人士透露郑某鹏在加入京东之前曾就职于亚马逊中国、百度和新浪微博等单位从事网络安全相关工作,其长期与盗卖个人信息的犯罪团队合作,将从所供职公司盗取的个人信息数据进行交换,并通过各种方式在互联网上贩卖,系团伙骨干成员之一。

如果该爆料属实,那么犯罪嫌疑人郑某鹏很可能是“职业内鬼”。这也难怪京东扬言要起诉不实报道的媒体,因为不少报道给人的感觉确实是,泄露的50亿数据全部都来自于京东,实际情况未必如此,不少知名互联网公司都可能被“潜”过,只是恰好在京东就职期间被发现,警方才和腾讯、京东三方协力破获该案。

根据3月11日微博网友“Tombkeeper”,也就是腾讯玄武实验室负责人于旸,IT圈大名鼎鼎的“TK教主”爆料,2015年他在查看某应聘者时,就注意到应聘者的身份可疑,不仅曾在多家公司连续跳槽,而且不断换城市,而且存在简历造假,系故意掩盖其过往经历。最终经过调查发现该应聘者果然是黑产团伙成员。

在50亿信息泄露事件面前,Struts 2 漏洞和CIA泄密都是小事 | 宅客周刊    


很明显,腾讯也曾是职业黑产卧底的一大目标,只是那一次被TK教主成功识破。

据雷锋网了解,其实在此之前,内鬼勾结地下黑产售卖公司内部数据的案件就屡有发生,如2013年底支付宝被曝出的20G信息泄露事件,就和其前技术员工李明(音)利用职务之便,勾结地下黑产有关。在物流方面,顺丰快递也曾多次出现内鬼售卖物流信息的案件,其他快递的物流信息也几乎无一幸免地出现在地下黑市。

然而在以往大众的认知当中,这些内鬼可能是原本正常的员工受到利益的诱惑才和地下黑产勾结,但“职业卧底”这一身份的出现,开始让人们意识到,公众信息保护并没有那么简单。网络安全的“无间道”大戏正在上演,每一家拥有公众信息的企业、机构都在参演,而最终的受害者将是每一个公民。

5.网民身份信息被泄露严重, 政协委员建议重罚

来源:新民晚报

随着大数据产业的发展,用户数据泄露现象进一步恶化,个人信息安全形势严峻。对此,全国政协委员张近东在今年提交的提案中,建议重罚信息泄露行为,以信息泄漏及信息转卖数量作为界定标准,提升处罚刑期上限,遏制整个信息泄露链条的关键环节。

去年,中国互联网协会数据报告显示,78.2%的网民个人身份信息被泄露过,63.4%的网民个人网上活动信息被泄露过,网民因个人信息泄露、垃圾信息、诈骗信息等现象导致总体损失约805亿元。

对于信息安全问题,张近东提出,要进一步制定数据开放共享配套法规、安全配套标准,构建防护技术体系,确保数据安全。根据不同企业等级,制定相应法规、管理条例,强制要求相应等级企业参照国家相应标准,采取符合其等级的技术和管理规范,并保证其在信息保护方面的经费投入与其信息数量、敏感度匹配。

张近东认为,要针对信息泄漏及转卖信息人员加强处罚,因目前信息泄漏源头环节相对廉价,每条仅为1元不到至10元不等,仅从涉案金额来看往往不高,且最高罚则仅为三年以下有期徒刑,无法形成有效制约。

长按图片保存图片,分享给好友或朋友圈

在50亿信息泄露事件面前,Struts 2 漏洞和CIA泄密都是小事 | 宅客周刊

扫码查看文章

正在生成分享图...

取消
相关文章