| 事件分析
3月31日,拉勾网CEO许单单发微博公开致歉,承认其公司某员工自发使用黑客手段盗取其竞争对手看准网员工的工作邮箱和苹果商店账号,并将其产品“BOSS直聘”下架,公司表示完全不知情,然后表态呼吁良性竞争,不要彼此恶性攻击。
(图为Boss直聘在声明里贴出的苹果官方的账号异常邮件通知)
拉勾的致歉信一出,许多网友就纷纷对“公司不知情”表示质疑,理由很简单:如果一个程序员在没有公司不知情,没有任何激励和授权的情况下,冒着法律风险自发作出如此行为,那么这个程序员对公司是多么的忠诚和热爱,然而工作却又如此不饱和,有闲工夫去当黑客,这显然不符合常理。引入黑客来打击对手的事情常有发生,所以必定是公司蓄谋的攻击行为。
然而转念一想,拉勾网真的会走这一步臭棋吗?
首先,许多人认为黑客行踪诡异,很难被发现,但事实并不是如此。大部分黑客入侵行为,只要有关部门要抓,都是能找到痕迹的,能够做到无迹可寻的黑客是凤毛麟角。
在看准网的产品被下线时,竞争双方正就应用刷榜一事火拼。拉勾网官方真的会在这个时间节点下手吗?一旦下手,对方首先就会怀疑到自己,而事实也正是如此,看准网刚发布声明,舆论就立刻将矛头指向拉勾网,双方开始陷入公关撕扯,拉勾网显然不会轻易做如此引火烧身之事,这是第一点。
致歉信中提到“该员工在腾讯企业后台、苹果APP开发者后台做出了一些不恰当的举动”试想,如果是拉勾网蓄谋,并且成功黑进对方管理员邮箱,选择潜伏起来,不断获取竞争对手的工作沟通消息,岂不是收益更大? 一个拿到对方家门钥匙,是会选择潜伏起来,在恰当时机进行一番洗劫,还是直接闯入家门大闹一番然后被发现,相信理智的都会选择前者。如果是公司蓄谋行为,权衡利弊也不会如此鲁莽。
我一向不喜欢阴谋论,但如果真的是员工自发的行为,那么有一种可能:盗号轻而易举。会不会有可能拉勾网的员工自己闲来无事研究些黑客技术,结果轻易一试就盗走了看准网员工账号呢?
企业员工账号被盗这件事到底有多常见,文字一言难尽,但如果直接进入乌云网、漏洞盒子、补天等漏洞平台,就能立刻亲身体会到员工账号被盗是多么稀松平常的事,涉及员工账号、弱口令等关键词的漏洞每天不断上演。
通过乌云网公布的以往出现过的企业邮箱盗号事件案例,可以基本还原通过简单手段轻松获取对方账号的过程。大家可以自行感受,即使是不懂技术的人,如何仅用最基本的搜索操作,就能进入别人的企业邮箱账号。
第一步:找到企业邮箱地址
第二步:然后将账号输入到某社工库中搜索,立即获得了两个用户账号密码,随即成功登录对方的企业邮箱账号。
这里科普一下社工库的概念——
社工库就是黑客将以往泄露出来的数据汇总到一起供人们随意查询和使用的数据库。
怎么样?是不是比你想像中还简单?这仅仅是盗号最简单的方法,其他手法更是层出不穷,但大部分也并不需要太高的技术要求,一个暴力破解脚本,搭配常用的弱密码字典,就能让账号手到擒来。
但无论如何,账号被轻易盗用的前提依然是人们不安全的账号使用习惯,要么是使用了弱口令导致被轻易猜测或暴力破解,要么则是在多处使用同一个账号密码,导致一处被盗,全部遭殃。
对于看准网员工账号被盗一事,所有人的目光从一开始聚焦到应用刷榜、商业竞争到如今的程序员背锅,甚至有人猜测两家公司将要合并,却没有人来真正关心事件的源头:如果看准网将员工的账号安全做好,会有这些事吗?
网络安全问题被无视,恰恰是问题出现的关键。在如今黑客横行,数据泄露频发的今天,大家抱以看热闹的态度却不警醒自己,那么下一个员工账号被黑的很可能是自己。因此拉勾网在呼吁企业之间正当竞争的同时,也更应该提醒企业警惕做好自身防范。即使此次不是拉勾网的员工盗走账号,依然会有其他的黑客这么做,只是早晚的区别。
对于员工账号安全,账号安全公司Secken创始人吴洪声给出了如下建议:
尝试使用生物识别等其他因素来替代账号密码,可以杜绝员工使用简单账号密码、共用账号权限、账号私自交接等情况的发生,有效保证账户安全。
建立统一的权限管理系统,尽可能将企业的各个系统应该整合在一起,在一个平台上集中控制和管理企业内部的账号权限,避免由于权限分散导致的管理混乱。
离职员工撤销不及时不彻底是很常见的现象,因此加强人资部门和IT部门的沟通,员工离职后第一时间核对账号权限并撤销,防止“藕断丝连”情况的发生,“换工作就得换密码”。
目前国内企业的账号安全意识仍有待提高,大部分企业都仍停留在亡羊补牢的情况,甚至发生安全事故依然无动于衷。企业可以采取措施或部署洋葱令牌等产品来改善账号安全现状,但最终决定权依然在于企业领导,企业高层的安全意识才是关键因素。
无论如何,对于此次事件,有一点是可以确定的,看准网的账号安全出现了问题,需要采取措施,企业需要引以为戒。人们进行了各种各样的猜想,舆论的风向也几次发生转变,但与其跟风进行毫无根据推测,为什么不能把它当做一次普通的账号安全事故?这个被忽略的问题,才是最应该直面的。