本周關鍵詞

▼

Struts2漏洞 |  維基泄密CIA |  50億信息泄露

京東捉內鬼 | 職業(yè)內鬼 | 重罰信息泄露

1.一份數(shù)據(jù)告訴你，被萬年漏洞王 Struts2 坑了的網站有哪些

pache Struts2 作為世界上最流行的 Java Web 服務器框架之一，3 月 7 日帶來了本年度第一個高危漏洞——CVE編號 CVE-2017-5638 。其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在遠程代碼執(zhí)行漏洞，攻擊者可以在使用該插件上傳文件時，修改 HTTP 請求頭中的 Content-Type 值來觸發(fā)該漏洞，導致遠程執(zhí)行代碼。

哪些網站已中招

Struts 作為一個“世界級”開源架構，它的一個高危漏洞危害有多大，下面兩張圖可以讓大家對這個漏洞的影響范圍有一個直觀認識。

雷鋒網從綠盟科技了解到，從 3 月 7 日漏洞曝出到 3 月 9 日不到 36 個小時的時間里，大量用戶第一時間通過綠盟云的 Structs2 緊急漏洞檢測服務對自己的網站進行檢測，共計 22000 余次。

通過對這些數(shù)據(jù)進行分析，可以看到：

1、從檢測數(shù)據(jù)來看，教育行業(yè)受Struts2漏洞影響最多，其次是政府、金融、互聯(lián)網、通信等行業(yè)。

    

2、從地域來看，北、上、廣、沿海城市等經濟發(fā)達地區(qū)成為 Struts2 漏洞高發(fā)區(qū),與此同時修復情況也最及時。

3、從應對漏洞積極性來說，金融、政府、教育位列前三甲。

雷鋒網了解到，應對本次 Struts2 漏洞，金融行業(yè)應急反應最為迅速，在漏洞爆發(fā)后采取行動也是最迅速的，無論是自行升級漏洞軟件還是聯(lián)系廠商升級防護設備都走在其他行業(yè)前列，很多金融行業(yè)站點在幾個小時之內再次掃描時已經將漏洞修補完成。

2.維基解密曝CIA 入侵蘋果、安卓機、電視，快來圍觀8761份泄密文件

美國時間3月7日，維基解密（WikiLeaks）網站公布了大量據(jù)稱是美國中央情報局（CIA）的內部文件，其中包括了CIA內部的組織資料，對電腦、手機等設備進行攻擊的方法技術，以及進行網絡攻擊時使用的代碼和真實樣本。利用這些技術，不僅可以在電腦、手機平臺上的Windows、iOS、Android等各類操作系統(tǒng)下發(fā)起入侵攻擊，還可以操作智能電視等終端設備，甚至可以遙控智能汽車發(fā)起暗殺行動。

一、泄漏內容

此次公布的數(shù)據(jù)都是從CIA的內網保存下來的，時間跨度為2013到2016年。這批文檔的組織方式類似于知識庫，使用Atlassian公司的團隊工作共享系統(tǒng)Confluence創(chuàng)建。數(shù)據(jù)之間有明顯的組織索引關系，可以使用模板對多個資料進行管理。很多資料有歷史改動的存檔，7818份資料中除去存檔共有1136個最新數(shù)據(jù)。943個附件基本上都可以在資料中找到對應的鏈接，屬于其內容的一部分。

具體而言，這些資料可以分為如下幾類：

• CIA部門資料，包括部門的介紹，部門相關的黑客項目，以及部門內部的信息分享。

• 黑客項目資料，包括一些不屬于特定部門的黑客工具、輔助項目等，其中有項目的介紹，使用說明以及一些技術細節(jié)。

• 操作系統(tǒng)資料，包括iOS、MacOS、Android、Linux、虛擬機等系統(tǒng)的信息和知識。

• 工具和開發(fā)資料，包括CIA內部用到的Git等開發(fā)工具。

• 員工資料，包括員工的個人信息，以及員工自己創(chuàng)建的一些內容。

• 知識庫，這里面分門別類地存放了大量技術知識以及攻擊手段。其中比較重要的是關于Windows操作系統(tǒng)的技術細節(jié)和各種漏洞，以及對于常見的個人安全產品（Personal Security Products）的繞過手段，包括諾頓、卡巴斯基、賽門鐵克、微軟殺毒以及瑞星等安全產品。

一、各方反應

1.蘋果：別怕，我們已修復大部分漏洞

躺槍的蘋果在給外媒 TechCrunch 的官方聲明中表示， iPhone 能提供“消費者能得到的最佳數(shù)據(jù)安全性”，根據(jù)其初步分析，維基解密列出的 14 項漏洞中，有“許多”在最新版的 iOS 里都已經被補上了。

雷鋒網了解到，除此之外，他們還承諾“會繼續(xù)快速解決被發(fā)現(xiàn)的漏洞”，而且不忘提醒使用者，要盡快下載和升級到最新版的系統(tǒng)。

2.CIA 和 FBI 在調查泄密內鬼

據(jù)公開報道，美國官員向當?shù)孛襟w透露，聯(lián)邦調查局（FBI）和 CIA 將聯(lián)手立項刑事調查。雷鋒網了解到，此次調查的主要內容包括：首先，維基解密如何獲得了這些文件；其次，CIA內部是否有內鬼，即攻擊是從外部進入的還是內部同時有人呼應。

3.三星和微軟：正在調查

三星和微軟對 CNBC 表明了態(tài)度。

三星：保護消費者的隱私和我們設備的安全性是三星的首要任務。我們已注意到所提及的報告，正在緊急調查此事。

微軟：我們知道上述報告，正在調查此事。

4.谷歌：我們有信心

谷歌的信息安全和隱私主管希瑟-阿德金斯（Heather Adkins）在一份聲明中表示，谷歌已經審查了這些文件，他們有信心認為 Chrome 和 Android 的安全更新和保護已經阻止用戶避開這些所謂的漏洞。他們的分析正在進行中，將實施任何必要的保護措施。谷歌總是將安全視為重中之重，將繼續(xù)投資于防御體系建設。

5.美國白宮發(fā)言人：我們要起訴這些泄密的！

美國白宮發(fā)言人斯派塞當天在例行記者會上拒絕證實這些文件的真實性，但強調機密文件外泄事件應該成為一大擔憂。斯派塞說，這類泄密事件損害美國的安全，我們將會找出泄露機密信息的人，將按法律最大限度地起訴他們。

3.京東內鬼涉50億信息泄漏案，騰訊協(xié)助破案，京東：他是試用期員工！

3月7日，微信認證公眾號“公安部刑偵局”表示，公安部安徽、北京、遼寧、河南等14個省、直轄市公安機關開展集中收網行動，徹底摧毀一個通過入侵互聯(lián)網公司服務器竊取出售公民個人信息的犯罪團伙，抓獲犯罪嫌疑人96 名，查獲涉及交通、物流、醫(yī)療、社交、銀行等各類被竊公民個人信息50多億條。

據(jù)公開媒體報道，鄭某鵬利用京東網絡安全部員工這一身份，長期監(jiān)守自盜，與黑客相互勾結，為黑客攻入網站提供重要信息——包括在京東、QQ上的物流信息，交易信息、個人身份等數(shù)據(jù)信息，為犯罪團伙實施違法犯罪活動提供了有力的技術保障。

京東員工鄭某鵬所在的這一該犯罪團伙，還曾通過相似手段入侵多家互聯(lián)網公司的服務器，從中竊取并倒賣公民個人信息，更利用從竊取到的各類注冊信息，二次復制銀行卡，實施盜刷銀行卡等違法犯罪活動……

消息傳開后，京東發(fā)出了一份聲明，原文如下：

日前，京東與騰訊的安全團隊聯(lián)手協(xié)助公安部破獲了一起特大竊取販賣公民個人信息案。

據(jù)介紹，在騰訊與京東聯(lián)合打擊信息安全地下黑色產業(yè)鏈的日常行動中，發(fā)現(xiàn)2016年6月底入職京東、尚處于試用期的網絡工程師鄭某鵬系黑產團伙的重要成員，并立即向公安機關提供了線索。經了解，鄭某鵬在加入京東之前曾在國內多家知名互聯(lián)網公司工作，其長期與盜賣個人信息的犯罪團隊合作，將從所供職公司盜取的個人信息數(shù)據(jù)進行交換，并通過各種方式在互聯(lián)網上販賣。在掌握大量證據(jù)的基礎上，按照公安部統(tǒng)一部署，安徽、北京、遼寧、河南等14個省、直轄市公安機關同步開展集中收網行動，韓某，翁某，鄭某鵬等主要犯罪嫌疑人悉數(shù)落網。目前，該案正在進一步審理中。

4.信息泄露案牽出職業(yè)內鬼，信息安全無間道正上演

雷鋒網注意到，在最初報道50億信息泄露案時，就有知情人士稱，犯罪嫌疑人鄭某鵬在加入京東之前曾在國內多家知名互聯(lián)網公司工作，其泄露的50億條公民信息中，可能包含多家互聯(lián)網公司的用戶信息。

此后，又有知情人士透露鄭某鵬在加入京東之前曾就職于亞馬遜中國、百度和新浪微博等單位從事網絡安全相關工作，其長期與盜賣個人信息的犯罪團隊合作，將從所供職公司盜取的個人信息數(shù)據(jù)進行交換，并通過各種方式在互聯(lián)網上販賣，系團伙骨干成員之一。

如果該爆料屬實，那么犯罪嫌疑人鄭某鵬很可能是“職業(yè)內鬼”。這也難怪京東揚言要起訴不實報道的媒體，因為不少報道給人的感覺確實是，泄露的50億數(shù)據(jù)全部都來自于京東，實際情況未必如此，不少知名互聯(lián)網公司都可能被“潛”過，只是恰好在京東就職期間被發(fā)現(xiàn)，警方才和騰訊、京東三方協(xié)力破獲該案。

根據(jù)3月11日微博網友“Tombkeeper”，也就是騰訊玄武實驗室負責人于旸，IT圈大名鼎鼎的“TK教主”爆料，2015年他在查看某應聘者時，就注意到應聘者的身份可疑，不僅曾在多家公司連續(xù)跳槽，而且不斷換城市，而且存在簡歷造假，系故意掩蓋其過往經歷。最終經過調查發(fā)現(xiàn)該應聘者果然是黑產團伙成員。

   

很明顯，騰訊也曾是職業(yè)黑產臥底的一大目標，只是那一次被TK教主成功識破。

據(jù)雷鋒網了解，其實在此之前，內鬼勾結地下黑產售賣公司內部數(shù)據(jù)的案件就屢有發(fā)生，如2013年底支付寶被曝出的20G信息泄露事件，就和其前技術員工李明（音）利用職務之便，勾結地下黑產有關。在物流方面，順豐快遞也曾多次出現(xiàn)內鬼售賣物流信息的案件，其他快遞的物流信息也幾乎無一幸免地出現(xiàn)在地下黑市。

然而在以往大眾的認知當中，這些內鬼可能是原本正常的員工受到利益的誘惑才和地下黑產勾結，但“職業(yè)臥底”這一身份的出現(xiàn)，開始讓人們意識到，公眾信息保護并沒有那么簡單。網絡安全的“無間道”大戲正在上演，每一家擁有公眾信息的企業(yè)、機構都在參演，而最終的受害者將是每一個公民。

5.網民身份信息被泄露嚴重， 政協(xié)委員建議重罰

來源：新民晚報

隨著大數(shù)據(jù)產業(yè)的發(fā)展，用戶數(shù)據(jù)泄露現(xiàn)象進一步惡化，個人信息安全形勢嚴峻。對此，全國政協(xié)委員張近東在今年提交的提案中，建議重罰信息泄露行為，以信息泄漏及信息轉賣數(shù)量作為界定標準，提升處罰刑期上限，遏制整個信息泄露鏈條的關鍵環(huán)節(jié)。

去年，中國互聯(lián)網協(xié)會數(shù)據(jù)報告顯示，78.2%的網民個人身份信息被泄露過，63.4%的網民個人網上活動信息被泄露過，網民因個人信息泄露、垃圾信息、詐騙信息等現(xiàn)象導致總體損失約805億元。

對于信息安全問題，張近東提出，要進一步制定數(shù)據(jù)開放共享配套法規(guī)、安全配套標準，構建防護技術體系，確保數(shù)據(jù)安全。根據(jù)不同企業(yè)等級，制定相應法規(guī)、管理條例，強制要求相應等級企業(yè)參照國家相應標準，采取符合其等級的技術和管理規(guī)范，并保證其在信息保護方面的經費投入與其信息數(shù)量、敏感度匹配。

張近東認為，要針對信息泄漏及轉賣信息人員加強處罰，因目前信息泄漏源頭環(huán)節(jié)相對廉價，每條僅為1元不到至10元不等，僅從涉案金額來看往往不高，且最高罰則僅為三年以下有期徒刑，無法形成有效制約。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。