10月19日，上午還是指名道姓，到當(dāng)天下午再看，就只剩“某郵箱”。

當(dāng)然，空穴不來(lái)風(fēng)，無(wú)論所謂的"網(wǎng)易郵箱數(shù)據(jù)泄露事件"結(jié)果怎樣，都建議網(wǎng)友們盡快采取措施以保護(hù)自己的賬戶安全。

烏云和網(wǎng)易存在爭(zhēng)議的地方主要在于泄露事件的原因，網(wǎng)易堅(jiān)持認(rèn)為自己的安全防護(hù)不存在問(wèn)題，而根據(jù)烏云提交的漏洞報(bào)告卻證明了網(wǎng)易的安全存在問(wèn)題。

網(wǎng)易認(rèn)為此次事件是撞庫(kù)，而烏云則質(zhì)疑并認(rèn)為是“疑似拖庫(kù)"。

網(wǎng)易所說(shuō)的撞庫(kù)，是指黑客通過(guò)得到從其他地方泄露的信息來(lái)測(cè)試網(wǎng)易賬戶。其言外之意就是“我的防護(hù)沒(méi)有任何問(wèn)題，被盜的原因是用戶在多處使用相同密碼，又在別處將密碼泄露從而導(dǎo)致網(wǎng)易“躺槍”。

那么真的如網(wǎng)易所說(shuō)，是由于撞庫(kù)導(dǎo)致的嗎？

根據(jù)烏云上披露的數(shù)據(jù)文件顯示有50GB，根據(jù)估算總用戶量接近4億，基本可以排除是由于撞庫(kù)導(dǎo)致的泄露。并且從泄露出來(lái)的樣本，包含密保等字段，更是排除了撞庫(kù)的可能性。

那么如果不是被撞庫(kù)，最大的可能性就是網(wǎng)易自身的安全防護(hù)出現(xiàn)了問(wèn)題。

從一個(gè)難以避免的低級(jí)錯(cuò)誤說(shuō)起

盡管表示達(dá)到了EAL3+安全等級(jí)，但是根據(jù)烏云漏洞庫(kù)，今年來(lái)網(wǎng)易郵箱系統(tǒng)已經(jīng)曝出了不少安全漏洞：

且不說(shuō)這張證書的含金量有多高，作為不明真相的群眾，我們往往只相信結(jié)果。

以其中「從一個(gè)弱口令到漫游網(wǎng)易內(nèi)網(wǎng)」這個(gè)漏洞來(lái)講：

漏洞報(bào)告者（以下簡(jiǎn)稱白帽子）通過(guò)賬號(hào)admin 和密碼123456  進(jìn)入網(wǎng)易的網(wǎng)絡(luò)管理系統(tǒng)。

然后依次登錄到交換機(jī)，并通過(guò)抓包（數(shù)據(jù)截?。?，獲得一個(gè)普通密碼和enable密碼，繼而逐步深入獲取內(nèi)網(wǎng)權(quán)限，拿到內(nèi)部人員郵箱，再次通過(guò)抓包獲取密碼……直至進(jìn)入內(nèi)網(wǎng)。

而另一個(gè)漏洞報(bào)告「網(wǎng)易某站getshell可直接入內(nèi)網(wǎng)」，白帽子則是通過(guò)某個(gè)外部網(wǎng)站的弱口令（賬號(hào)admin,密碼auto123）繼而逐步進(jìn)入到企業(yè)內(nèi)網(wǎng)。

從這兩例看來(lái)，且不提是否真的達(dá)到了所謂 EAL3+ 的安全等級(jí) ，管理員弱口令、運(yùn)維員工郵箱賬號(hào)泄露等均是危害極大的低級(jí)錯(cuò)誤，獲取密碼后黑客進(jìn)出其內(nèi)網(wǎng)獲取各種數(shù)據(jù)如探囊取物——

就好比一個(gè)再堅(jiān)固的防盜門，只要被盜賊拿到了鑰匙，就徹底失去了防護(hù)作用。

說(shuō)到這里，相信對(duì)于此次泄露事件的原因大家心中都有了答案。

但說(shuō)對(duì)于國(guó)內(nèi)大部分企業(yè)來(lái)說(shuō)，以上兩個(gè)例子并不是個(gè)例。

對(duì)于拖庫(kù)，這里借用知乎網(wǎng)友@張耀疆的一句話：

拖庫(kù)這個(gè)問(wèn)題一共分為三種情況：

• 一是已經(jīng)被拖了。

  
  

• 二是已經(jīng)被拖了可是大家還不知道。

  
  

• 三是正走在被拖的路上。

類似網(wǎng)易用戶密碼被曝光這種事件只是從第二種情況變成了第一種情況，大部分系統(tǒng)都處于第二或者第三，或者歷史上曾經(jīng)第二、現(xiàn)在正在第三。

這正如安全圈子里的那句話“百分之九十的企業(yè)曾被攻擊過(guò)，剩下的百分之十不知情”。經(jīng)過(guò)此次事件，應(yīng)該讓更多的企業(yè)緊張起來(lái)，除了考慮自家的庫(kù)什么時(shí)候可能會(huì)被拖，也應(yīng)進(jìn)行一次安全排查。

• 有多少運(yùn)維人員配置各種設(shè)備賬號(hào)密碼和郵箱密碼一樣？

  
  

• 有多少員工在各類IT系統(tǒng)使用同一套密碼，并且還是弱密碼？

  
  

• 多少員工由于所謂的“工作需要”共用一個(gè)密碼？一旦泄露企業(yè)要如何追責(zé)？

  
  

• 員工離職后是否及時(shí)撤銷其內(nèi)網(wǎng)的權(quán)限，撤銷是否徹底？

  
  

• 更多問(wèn)題……
  

正是由于許多問(wèn)題并不是技術(shù)性問(wèn)題，而是由人的行為導(dǎo)致，這就更加難以解決。一旦出了問(wèn)題，普通人泄露一條賬號(hào)密碼也許只是個(gè)人經(jīng)濟(jì)損失或信息泄露，而企業(yè)的運(yùn)維、管理人員泄露密碼則可能導(dǎo)致整個(gè)公司陷入信任危機(jī)，蒙受巨大的經(jīng)濟(jì)損失。因此企業(yè)須時(shí)刻準(zhǔn)備好與黑客的攻防，而不是等問(wèn)題出現(xiàn)后再去公關(guān)處理，出現(xiàn)“信息安全做不好，公關(guān)費(fèi)用花不少”的情況。

那么，企業(yè)該如何應(yīng)對(duì)？

首先中小企業(yè)因?yàn)橐?guī)章制度不規(guī)范，安全意識(shí)不足及網(wǎng)絡(luò)管理人員缺少或能力欠缺等原因?qū)е旅艽a泄露是常見(jiàn)的，而即使在大企業(yè)中，人也難免出現(xiàn)懶惰和疏忽。

一方面，通過(guò)行政手段，強(qiáng)化員工安全意識(shí)是有必要的。

從技術(shù)解決層面，在企業(yè)內(nèi)網(wǎng)使用人臉、聲音、指紋等生物識(shí)別替代密碼驗(yàn)證，可以很好地解決這個(gè)問(wèn)題。以生物識(shí)別安全領(lǐng)域的「洋蔥令牌」為例，其為企業(yè)定制一款手機(jī)APP，員工登錄內(nèi)網(wǎng)各個(gè)系統(tǒng)時(shí)只需用自己的手機(jī)進(jìn)行人臉、聲音、指紋等方式驗(yàn)證身份后，即可通過(guò)掃碼登錄內(nèi)網(wǎng)各個(gè)系統(tǒng)，從而杜絕密碼泄露。

而即使企業(yè)沒(méi)有部署這類驗(yàn)證方式，也可以通過(guò)在系統(tǒng)上做策略。比如域環(huán)境下的windows系統(tǒng)默認(rèn)用戶密碼是強(qiáng)密碼。

對(duì)于企業(yè)來(lái)說(shuō)，在內(nèi)網(wǎng)部署更強(qiáng)有效的識(shí)別方式、定期進(jìn)行安全檢查和培訓(xùn)，這些措施實(shí)施并不需要投入多少成本，卻能大幅降低企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但如果企業(yè)管理層仍存僥幸心理，只怕出現(xiàn)無(wú)法收?qǐng)龅慕Y(jié)果。

正如這一次泄露事件無(wú)論最終網(wǎng)易如何收尾，目前的情況都已讓其陷入信任危機(jī)，但相信此事已敲響了安全警鐘，希望各企業(yè)的安全能夠更加完善，有“態(tài)度”的網(wǎng)易也說(shuō)過(guò)：”產(chǎn)品安全是其立足之本?！?/span>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。