这两天网易可谓是赚足了众网友对它的关注度,“网易邮箱数据泄漏”事件一经报道,便引起了广大用户朋友的高度惊慌和恐惧。要知道,现在使用网易邮箱的用户数量以及邮箱绑定的其他帐号数量已经超出了我们可以估测的范围。
据安全圈儿大佬乌云漏洞平台爆料的消息称,网易163/126邮箱过亿数据泄漏,涉及邮箱帐号、密码和用户密保等。网易认为此次事件实属撞库,但乌云则认为是“疑似拖库”。
网易所谓的撞库,是指黑客通过得到从其他地方泄漏的信息来测试网易账户。言外之意就是“我的防护没有任何问题,被盗的原因是用户在多处使用相同密码,又在别处将密码泄漏从而导致网易‘躺枪’”。那么网易的说法是否可信呢?根据乌云披露的数据文件显示有50GB,估算总用户量接近4亿,基本上可以排除由于撞库导致的泄漏。而且从泄漏的样本来看,包含密保等字段,可以更加肯定地排除撞库的可能性。
如果不是被撞库,那么就是网易的自身安全防护出现了问题。
从一个难以避免的低级错误说起
尽管网易表示已经达到了EAL3+安全等级,但根据乌云漏洞库,自今年来网易邮箱系统已经曝出了不少安全漏洞:
其中以“从一个弱口令到漫游网易内网”这个漏洞为例。该漏洞报告者通过帐号admin 和密码123456进入网易的网络管理系统。一开始以为只是某个普通站点,但后来才发现是网易的。
然后依次登录到交换机,并通过抓包(数据截取),获得一个普通密码和enable密码,继而逐步深入获取内网权限,拿到内部人员邮箱,再次通过抓包获取密码……直至进入内网。而另一个漏洞报告“网易某站getshell可直接入内网”,漏洞报告者则是通过某个外部网站的弱口令(账号admin,密码auto123)继而逐步进入到企业内网。
从以上两个事例可以得出,不管是否真正地达到了所谓 EAL3+ 的安全等级 ,管理员弱口令、运维员工邮箱账号泄露等均是危害极大的低级错误,获取密码后黑客进出其内网获取各种数据简直是易如反掌。这就好比,一个再坚固的防盗门,只要被窃贼拿到了钥匙,就彻底失去了防护作用。
对于国内大部分企业来说,以上的事件并不是个例。对于“拖库”,网友@张耀疆的一句话生动地对该词做了解释。拖库这个问题一共分为三种情况:一是已经被拖了,二是已经被拖了但大家还不知道,三是正走在被拖的路上。
而网易用户密码被曝光这类事件只是从第二种情况变成了第一种,大部分系统都处于第二或者第三种情况,或者曾经是第二、现在正在向第三种情况靠拢。
这正如那句话所说,“百分之九十的企业曾被攻击过,剩下的百分之十不知情”。经过此次网易事件,更多的企业应该紧张起来,除了考虑自家库的安全状况,也很有必要进行一次安全排查。排查的内容应包括:有多少运维人员配置各种设备账号密码和邮箱密码一样、有多少员工在各类IT系统使用同一套密码,并且还是弱密码、多少员工由于所谓的“工作需要”共用一个密码?一旦泄露企业要如何追责、员工离职后是否及时撤销其内网的权限,撤销是否彻底等。
正是由于许多问题都是人为导致的,而非技术性问题,这就使问题解决更加复杂化。一旦出了问题,普通人泄露一条账号密码也许只是个人经济损失或信息泄露,但企业的运维、管理人员泄露密码则可能导致整个公司陷入信任危机,蒙受巨大的经济损失。因此企业必须时刻准备好与黑客的攻防,而不是等问题出现后再去处理,出现“信息安全做不好,公关费用花不少”的情况。
那么面对如此环境,企业应如何应对?
1. 通过行政手段强化员工安全意识。
2. 从技术层面上,在企业内网使用人脸、声音、指纹等生物识别替代密码验证。以生物识别安全领域的《洋葱令牌》为例,其为企业定制一款手机APP,员工登录内网各个系统时只需用自己的手机进行人脸、声音、指纹等方式验证身份后,即可通过扫码登录内网各个系统,从而杜绝密码泄露。
3. 即便企业没有这类验证方式,也可以通过在系统上做策略。比如域环境下的windows系统默认用户密码是强密码。
对于企业来说,在内网部署更强有效的识别方式、定期进行安全检查和培训,这些措施其实并不需要投入很大成本,却能大幅降低企业的网络安全风险。但若企业管理人员仍心存侥幸,一旦出现问题,损失便不可估量。
网易就是一个典型的前车之鉴,对于发现的漏洞置之不理,对于潜在的安全隐患不加以制止,问题出现后又以“撞库”为自己开脱。但从用户的角度来考虑的话,相信网易在大家心里的地位已经有所下滑,再加上泄漏数据的风险,可以说是得不偿失。