10月19日,上午还是指名道姓,到当天下午再看,就只剩“某邮箱”。
当然,空穴不来风,无论所谓的"网易邮箱数据泄露事件"结果怎样,都建议网友们尽快采取措施以保护自己的账户安全。
乌云和网易存在争议的地方主要在于泄露事件的原因,网易坚持认为自己的安全防护不存在问题,而根据乌云提交的漏洞报告却证明了网易的安全存在问题。
网易认为此次事件是撞库,而乌云则质疑并认为是“疑似拖库"。
网易所说的撞库,是指黑客通过得到从其他地方泄露的信息来测试网易账户。其言外之意就是“我的防护没有任何问题,被盗的原因是用户在多处使用相同密码,又在别处将密码泄露从而导致网易“躺枪”。
那么真的如网易所说,是由于撞库导致的吗?
根据乌云上披露的数据文件显示有50GB,根据估算总用户量接近4亿,基本可以排除是由于撞库导致的泄露。并且从泄露出来的样本,包含密保等字段,更是排除了撞库的可能性。
那么如果不是被撞库,最大的可能性就是网易自身的安全防护出现了问题。
从一个难以避免的低级错误说起
尽管表示达到了EAL3+安全等级,但是根据乌云漏洞库,今年来网易邮箱系统已经曝出了不少安全漏洞:
且不说这张证书的含金量有多高,作为不明真相的群众,我们往往只相信结果。
以其中「从一个弱口令到漫游网易内网」这个漏洞来讲:
漏洞报告者(以下简称白帽子)通过账号admin 和密码123456 进入网易的网络管理系统。
然后依次登录到交换机,并通过抓包(数据截取),获得一个普通密码和enable密码,继而逐步深入获取内网权限,拿到内部人员邮箱,再次通过抓包获取密码……直至进入内网。
而另一个漏洞报告「网易某站getshell可直接入内网」,白帽子则是通过某个外部网站的弱口令(账号admin,密码auto123)继而逐步进入到企业内网。
从这两例看来,且不提是否真的达到了所谓 EAL3+ 的安全等级 ,管理员弱口令、运维员工邮箱账号泄露等均是危害极大的低级错误,获取密码后黑客进出其内网获取各种数据如探囊取物——
就好比一个再坚固的防盗门,只要被盗贼拿到了钥匙,就彻底失去了防护作用。
说到这里,相信对于此次泄露事件的原因大家心中都有了答案。
但说对于国内大部分企业来说,以上两个例子并不是个例。
对于拖库,这里借用知乎网友@张耀疆的一句话:
拖库这个问题一共分为三种情况:
一是已经被拖了。
二是已经被拖了可是大家还不知道。
三是正走在被拖的路上。
类似网易用户密码被曝光这种事件只是从第二种情况变成了第一种情况,大部分系统都处于第二或者第三,或者历史上曾经第二、现在正在第三。
这正如安全圈子里的那句话“百分之九十的企业曾被攻击过,剩下的百分之十不知情”。经过此次事件,应该让更多的企业紧张起来,除了考虑自家的库什么时候可能会被拖,也应进行一次安全排查。
有多少运维人员配置各种设备账号密码和邮箱密码一样?
有多少员工在各类IT系统使用同一套密码,并且还是弱密码?
多少员工由于所谓的“工作需要”共用一个密码?一旦泄露企业要如何追责?
员工离职后是否及时撤销其内网的权限,撤销是否彻底?
更多问题……
正是由于许多问题并不是技术性问题,而是由人的行为导致,这就更加难以解决。一旦出了问题,普通人泄露一条账号密码也许只是个人经济损失或信息泄露,而企业的运维、管理人员泄露密码则可能导致整个公司陷入信任危机,蒙受巨大的经济损失。因此企业须时刻准备好与黑客的攻防,而不是等问题出现后再去公关处理,出现“信息安全做不好,公关费用花不少”的情况。
那么,企业该如何应对?
首先中小企业因为规章制度不规范,安全意识不足及网络管理人员缺少或能力欠缺等原因导致密码泄露是常见的,而即使在大企业中,人也难免出现懒惰和疏忽。
一方面,通过行政手段,强化员工安全意识是有必要的。
从技术解决层面,在企业内网使用人脸、声音、指纹等生物识别替代密码验证,可以很好地解决这个问题。以生物识别安全领域的「洋葱令牌」为例,其为企业定制一款手机APP,员工登录内网各个系统时只需用自己的手机进行人脸、声音、指纹等方式验证身份后,即可通过扫码登录内网各个系统,从而杜绝密码泄露。
而即使企业没有部署这类验证方式,也可以通过在系统上做策略。比如域环境下的windows系统默认用户密码是强密码。
对于企业来说,在内网部署更强有效的识别方式、定期进行安全检查和培训,这些措施实施并不需要投入多少成本,却能大幅降低企业的网络安全风险。但如果企业管理层仍存侥幸心理,只怕出现无法收场的结果。
正如这一次泄露事件无论最终网易如何收尾,目前的情况都已让其陷入信任危机,但相信此事已敲响了安全警钟,希望各企业的安全能够更加完善,有“态度”的网易也说过:”产品安全是其立足之本。”