12月10日，網(wǎng)傳疑似京東12GB用戶數(shù)據(jù)被黑產(chǎn)明碼標(biāo)價售賣，而京東在12月10日當(dāng)晚通過官方公眾號《京東黑板報》對于數(shù)據(jù)泄露進(jìn)行了及時回應(yīng)：表示這部分?jǐn)?shù)據(jù)失竊可能源于2013年7月Struts2安全漏洞時間，該漏洞在三年前內(nèi)發(fā)現(xiàn)后就被京東修復(fù)，已對可能受影響用戶做過了安全升級提示，目前僅有極少部分未進(jìn)行賬號安全升級的用戶可能會受到影響。

我認(rèn)為已經(jīng)被公布的京東12GB數(shù)據(jù)泄露，因?yàn)樵缫堰M(jìn)行了修補(bǔ)漏洞處置和用戶安全升級提醒，其實(shí)潛在威脅算是基本可控，更可怕的后果，是大量受類似Struts 2安全漏洞影響的公司和用戶還渾然不覺，這些隨時可能引爆的隱形安全炸彈，需要動員整個社會和互聯(lián)網(wǎng)行業(yè)的力量來進(jìn)行安全排雷。

復(fù)盤Struts2漏洞始末，處置失當(dāng)引發(fā)業(yè)內(nèi)反思

在京東官方回復(fù)中，提到了Struts 2安全漏洞事件，可能對于不太關(guān)注信息安全的用戶來說，這是一個相對陌生的事件，但正是Sturts 2安全漏洞處置失當(dāng)，造成了整個互聯(lián)網(wǎng)數(shù)據(jù)失竊的巨大危機(jī)，企業(yè)、政府、機(jī)構(gòu)、個人，幾乎所有互聯(lián)網(wǎng)參與者，都受到了Struts 2漏洞處置失當(dāng)?shù)挠绊憽?/p>

再優(yōu)秀的大型的操作系統(tǒng)軟件或者是數(shù)據(jù)庫軟件，都難以避免地存在不同程度的bug或者安全漏洞。當(dāng)一些網(wǎng)絡(luò)高手或者是安全組織，發(fā)現(xiàn)安全漏洞之后，通常會發(fā)出漏洞安全警示，來提醒系統(tǒng)廠商或者軟件廠商進(jìn)行漏洞修補(bǔ)。

但在2013年7月，Apache基金會旗下的Struts，在發(fā)現(xiàn)了一處安全漏洞之后并沒有像行業(yè)通行的發(fā)出漏洞警告，而是非常輕率和兒戲地放出了該漏洞的源代碼，這就相當(dāng)于把網(wǎng)絡(luò)安全的病灶公之于眾，即便水平低下的黑客也能知道網(wǎng)絡(luò)防御的軟肋，這使得很多技術(shù)很普通的的黑客，也能利用Struts 2安全漏洞相對輕松地獲取網(wǎng)絡(luò)上的各類數(shù)據(jù)。

本來是很常規(guī)的一個安全漏洞，但由于Struts的不恰當(dāng)處置，導(dǎo)致了黑客們競相比拼，以利用漏洞侵入網(wǎng)站的數(shù)量來做此競技的標(biāo)準(zhǔn)，這也造成了極其嚴(yán)重的后果，據(jù)相關(guān)媒體報道，百度、騰訊、淘寶、京東等中國大型網(wǎng)站受到攻擊，甚至商業(yè)銀行和國家級的政府網(wǎng)站也未能幸免。至此，Struts 2安全漏洞事件幾乎失控，京東、百度等國內(nèi)互聯(lián)網(wǎng)公司，在修補(bǔ)Struts 2安全漏洞之后，向用戶發(fā)出了修改密碼、安全升級的提示。此次網(wǎng)上傳出的12GB京東給用戶數(shù)據(jù)，據(jù)京東技術(shù)部門調(diào)查，很可能就發(fā)生在Struts 2漏洞事件期間。

嚴(yán)格來說，Struts這個本應(yīng)作為安全防御守衛(wèi)者和預(yù)警者角色的組織，因?yàn)槠孑庥衷幃惖穆┒刺幹梅绞?，?shí)際上將信息安全的軟肋暴露給全球的黑客，成為網(wǎng)絡(luò)信息黑產(chǎn)業(yè)的幫兇，京東不過是公開的受害者之一。

真正的危險，源于未知和渾然不覺

在航海中，真正的危險來自于隱沒水面之下的礁石和水手們的大意，而在互聯(lián)網(wǎng)世界中，我認(rèn)為真正的信息安全危機(jī)同樣來自于未知和渾然不覺。當(dāng)健康的人體被細(xì)菌或者病毒侵入之后，人們會有發(fā)熱、發(fā)炎等變化，這種免疫系統(tǒng)的有效提示，給人類的應(yīng)對來自外界的生化威脅時提供了線索和提示。

相比京東已經(jīng)被曝光和處理過的用戶數(shù)據(jù)泄露，我認(rèn)為更具破壞潛力的是，那些在其它網(wǎng)站后臺早已被黑客竊取了用戶賬號、密碼、地址等敏感數(shù)據(jù)而毫無察覺的用戶，他們在網(wǎng)絡(luò)安全黑產(chǎn)中才是真正的”富礦”。

要解決網(wǎng)絡(luò)安全問題，我認(rèn)為很重要的一條，就是中國互聯(lián)網(wǎng)企業(yè)要建立信息安全的聯(lián)盟，就像保險行業(yè)信息共享或者銀行體系的征信共享，可以通過網(wǎng)絡(luò)安全的信息共享，增強(qiáng)安全漏洞修補(bǔ)能力，也能夠在一家平臺出現(xiàn)數(shù)據(jù)泄漏后，對其它廠商發(fā)出撞庫風(fēng)險提示，并通過后臺的大數(shù)據(jù)和防御體系進(jìn)行協(xié)同布防，這要比某家企業(yè)單打獨(dú)斗更有效果。

應(yīng)該對網(wǎng)絡(luò)黑產(chǎn)每個環(huán)節(jié)都進(jìn)行手術(shù)刀式打擊

無論是在現(xiàn)實(shí)世界，還是在數(shù)碼世界，絕對的安全都不存在。理論上來說，任何防御體系或密碼都是可以被破解的，區(qū)別只是在于破解的難度、時間和效益。所以，信息安全的這件事，并不是某一個企業(yè)或者組織的事，而是所有互聯(lián)網(wǎng)產(chǎn)業(yè)的參與者都應(yīng)該高度重視和防范的。

在打擊非法獲取和買賣數(shù)據(jù)黑產(chǎn)這件事上，我覺得可以借鑒珍稀動物保護(hù)的一些措施，“沒有買賣就沒有傷害”，不應(yīng)該只追求數(shù)據(jù)竊取和販賣人員的法律責(zé)任，我認(rèn)為對于非法數(shù)據(jù)的購買者也應(yīng)該進(jìn)行嚴(yán)懲，從源頭上對信息安全黑產(chǎn)鏈條上的偷竊者、販賣者、購買者進(jìn)行手術(shù)刀式的全方位精準(zhǔn)打擊。

保護(hù)用戶數(shù)據(jù)安全和隱私，是互聯(lián)網(wǎng)企業(yè)的本分，但數(shù)據(jù)失竊或者泄露其實(shí)又是無法100%杜絕，所以可以通過建立專項(xiàng)基金來利用第三方商業(yè)保險的方式，來盡可能降低數(shù)據(jù)泄露等意外事件給用戶帶來的經(jīng)濟(jì)損失，并且要定期做用戶安全網(wǎng)絡(luò)安全警示和提升，讓他們知道任何互聯(lián)網(wǎng)都并非是固若金湯，每一個環(huán)節(jié)防御薄弱，都可以釀成數(shù)據(jù)失守的后果。

現(xiàn)在不少用戶還會認(rèn)為，信息安全應(yīng)該由互聯(lián)網(wǎng)企業(yè)和網(wǎng)絡(luò)警察來管，這不關(guān)自己什么事，但事實(shí)上，用戶的安全意識和使用習(xí)慣，對于信息安全也具有非常大的影響?，F(xiàn)在很多用戶在不同的網(wǎng)站都用一樣的賬號名和密碼，其中一個被攻破，其它所有的賬號難逃撞庫攻擊的風(fēng)險；有些用戶為了圖省事好記，用自己或家人的生日做密碼，而生日之類的數(shù)據(jù)信息現(xiàn)在獲取成本和難度都非常低，這也給不法分子提供了巨大的便利。

真正的安全，來自于對危險的高度警惕，也來自于對危險行之有效的應(yīng)對之法。索尼、微軟、亞馬遜、蘋果、IBM等世界產(chǎn)業(yè)巨頭，甚至是美國五角大樓，都前后出現(xiàn)過用戶數(shù)據(jù)被黑客竊取事件，所以用戶對于數(shù)據(jù)泄露應(yīng)該有個成熟的心態(tài)，不能因?yàn)榇嬖跀?shù)據(jù)失竊隱患，就拒絕互聯(lián)網(wǎng)的便利，那樣就真的變成了因噎廢食；而應(yīng)該借每一次信息安全事件的爆發(fā)，去正視制度和技術(shù)短板，去真正解決信息安全的缺陷和問題。

京東數(shù)據(jù)泄露事件，目前來看真正受到影響的用戶還非常有限，京東的處置也很高效透明，但Struts 2這類的安全漏洞事件可能為整個中國互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展埋下了很多地雷，這需要用雷霆手段來對抗。打擊數(shù)據(jù)偷竊、交易和消費(fèi)的網(wǎng)絡(luò)黑產(chǎn)業(yè)已迫在眉睫，這既需要全社會、全行業(yè)握緊鐵拳打擊，也需要每一個互聯(lián)網(wǎng)的使用者提高信息安全危機(jī)意識和防范水準(zhǔn)，讓不法分子以易乘之機(jī)。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。