這兩天網(wǎng)易可謂是賺足了眾網(wǎng)友對(duì)它的關(guān)注度，“網(wǎng)易郵箱數(shù)據(jù)泄漏”事件一經(jīng)報(bào)道，便引起了廣大用戶朋友的高度驚慌和恐懼。要知道，現(xiàn)在使用網(wǎng)易郵箱的用戶數(shù)量以及郵箱綁定的其他帳號(hào)數(shù)量已經(jīng)超出了我們可以估測(cè)的范圍。

據(jù)安全圈兒大佬烏云漏洞平臺(tái)爆料的消息稱，網(wǎng)易163/126郵箱過億數(shù)據(jù)泄漏，涉及郵箱帳號(hào)、密碼和用戶密保等。網(wǎng)易認(rèn)為此次事件實(shí)屬撞庫(kù)，但烏云則認(rèn)為是“疑似拖庫(kù)”。

網(wǎng)易所謂的撞庫(kù)，是指黑客通過得到從其他地方泄漏的信息來測(cè)試網(wǎng)易賬戶。言外之意就是“我的防護(hù)沒有任何問題，被盜的原因是用戶在多處使用相同密碼，又在別處將密碼泄漏從而導(dǎo)致網(wǎng)易‘躺槍’”。那么網(wǎng)易的說法是否可信呢？根據(jù)烏云披露的數(shù)據(jù)文件顯示有50GB，估算總用戶量接近4億，基本上可以排除由于撞庫(kù)導(dǎo)致的泄漏。而且從泄漏的樣本來看，包含密保等字段，可以更加肯定地排除撞庫(kù)的可能性。

如果不是被撞庫(kù)，那么就是網(wǎng)易的自身安全防護(hù)出現(xiàn)了問題。

從一個(gè)難以避免的低級(jí)錯(cuò)誤說起

盡管網(wǎng)易表示已經(jīng)達(dá)到了EAL3+安全等級(jí)，但根據(jù)烏云漏洞庫(kù)，自今年來網(wǎng)易郵箱系統(tǒng)已經(jīng)曝出了不少安全漏洞：

其中以“從一個(gè)弱口令到漫游網(wǎng)易內(nèi)網(wǎng)”這個(gè)漏洞為例。該漏洞報(bào)告者通過帳號(hào)admin 和密碼123456進(jìn)入網(wǎng)易的網(wǎng)絡(luò)管理系統(tǒng)。一開始以為只是某個(gè)普通站點(diǎn)，但后來才發(fā)現(xiàn)是網(wǎng)易的。

然后依次登錄到交換機(jī)，并通過抓包（數(shù)據(jù)截取），獲得一個(gè)普通密碼和enable密碼，繼而逐步深入獲取內(nèi)網(wǎng)權(quán)限，拿到內(nèi)部人員郵箱，再次通過抓包獲取密碼……直至進(jìn)入內(nèi)網(wǎng)。而另一個(gè)漏洞報(bào)告“網(wǎng)易某站getshell可直接入內(nèi)網(wǎng)”，漏洞報(bào)告者則是通過某個(gè)外部網(wǎng)站的弱口令（賬號(hào)admin,密碼auto123）繼而逐步進(jìn)入到企業(yè)內(nèi)網(wǎng)。

從以上兩個(gè)事例可以得出，不管是否真正地達(dá)到了所謂 EAL3+ 的安全等級(jí) ，管理員弱口令、運(yùn)維員工郵箱賬號(hào)泄露等均是危害極大的低級(jí)錯(cuò)誤，獲取密碼后黑客進(jìn)出其內(nèi)網(wǎng)獲取各種數(shù)據(jù)簡(jiǎn)直是易如反掌。這就好比，一個(gè)再堅(jiān)固的防盜門，只要被竊賊拿到了鑰匙，就徹底失去了防護(hù)作用。

對(duì)于國(guó)內(nèi)大部分企業(yè)來說，以上的事件并不是個(gè)例。對(duì)于“拖庫(kù)”，網(wǎng)友@張耀疆的一句話生動(dòng)地對(duì)該詞做了解釋。拖庫(kù)這個(gè)問題一共分為三種情況：一是已經(jīng)被拖了，二是已經(jīng)被拖了但大家還不知道，三是正走在被拖的路上。

而網(wǎng)易用戶密碼被曝光這類事件只是從第二種情況變成了第一種，大部分系統(tǒng)都處于第二或者第三種情況，或者曾經(jīng)是第二、現(xiàn)在正在向第三種情況靠攏。

這正如那句話所說，“百分之九十的企業(yè)曾被攻擊過，剩下的百分之十不知情”。經(jīng)過此次網(wǎng)易事件，更多的企業(yè)應(yīng)該緊張起來，除了考慮自家?guī)斓陌踩珷顩r，也很有必要進(jìn)行一次安全排查。排查的內(nèi)容應(yīng)包括：有多少運(yùn)維人員配置各種設(shè)備賬號(hào)密碼和郵箱密碼一樣、有多少員工在各類IT系統(tǒng)使用同一套密碼，并且還是弱密碼、多少員工由于所謂的“工作需要”共用一個(gè)密碼？一旦泄露企業(yè)要如何追責(zé)、員工離職后是否及時(shí)撤銷其內(nèi)網(wǎng)的權(quán)限，撤銷是否徹底等。

正是由于許多問題都是人為導(dǎo)致的，而非技術(shù)性問題，這就使問題解決更加復(fù)雜化。一旦出了問題，普通人泄露一條賬號(hào)密碼也許只是個(gè)人經(jīng)濟(jì)損失或信息泄露，但企業(yè)的運(yùn)維、管理人員泄露密碼則可能導(dǎo)致整個(gè)公司陷入信任危機(jī)，蒙受巨大的經(jīng)濟(jì)損失。因此企業(yè)必須時(shí)刻準(zhǔn)備好與黑客的攻防，而不是等問題出現(xiàn)后再去處理，出現(xiàn)“信息安全做不好，公關(guān)費(fèi)用花不少”的情況。

那么面對(duì)如此環(huán)境，企業(yè)應(yīng)如何應(yīng)對(duì)？

1. 通過行政手段強(qiáng)化員工安全意識(shí)。

2. 從技術(shù)層面上，在企業(yè)內(nèi)網(wǎng)使用人臉、聲音、指紋等生物識(shí)別替代密碼驗(yàn)證。以生物識(shí)別安全領(lǐng)域的《洋蔥令牌》為例，其為企業(yè)定制一款手機(jī)APP，員工登錄內(nèi)網(wǎng)各個(gè)系統(tǒng)時(shí)只需用自己的手機(jī)進(jìn)行人臉、聲音、指紋等方式驗(yàn)證身份后，即可通過掃碼登錄內(nèi)網(wǎng)各個(gè)系統(tǒng)，從而杜絕密碼泄露。

3. 即便企業(yè)沒有這類驗(yàn)證方式，也可以通過在系統(tǒng)上做策略。比如域環(huán)境下的windows系統(tǒng)默認(rèn)用戶密碼是強(qiáng)密碼。

對(duì)于企業(yè)來說，在內(nèi)網(wǎng)部署更強(qiáng)有效的識(shí)別方式、定期進(jìn)行安全檢查和培訓(xùn)，這些措施其實(shí)并不需要投入很大成本，卻能大幅降低企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但若企業(yè)管理人員仍心存僥幸，一旦出現(xiàn)問題，損失便不可估量。

網(wǎng)易就是一個(gè)典型的前車之鑒，對(duì)于發(fā)現(xiàn)的漏洞置之不理，對(duì)于潛在的安全隱患不加以制止，問題出現(xiàn)后又以“撞庫(kù)”為自己開脫。但從用戶的角度來考慮的話，相信網(wǎng)易在大家心里的地位已經(jīng)有所下滑，再加上泄漏數(shù)據(jù)的風(fēng)險(xiǎn)，可以說是得不償失。

Miranda

收藏 海報(bào)分享