數據安全:從網易郵箱被爆看互聯網企業的網絡安全
10月19日網易”亮“了,烏云報告網易郵箱存在漏洞,涉及數億網易郵箱賬號和密碼(MD5加密)的泄露。這讓我想起前不久一個小事:
我和一位大學同學聚會,臨走卻發現我通訊錄里面沒有他的手機號碼,讓他撥我手機號碼,一撥就占線,檢查黑名單,果然他的手機號碼已經被我屏蔽了。我當時很納悶,為什么我要屏蔽同學的手機號碼呢? 猛然想起來了:必然是同學的AppleID賬號被人黑了,被用來利用iMessage給通訊錄的好友群發垃圾短信,這才被我屏蔽。于是讓同學趕緊修改AppleID的密碼,開啟兩步驗證。
而郵箱賬號和密碼被泄露,嚴重性遠遠超過一般網站賬號泄露。因為用戶大量網站賬號都綁定在郵箱上,郵箱被破,就可以通過找回密碼輕易黑掉其他網站賬號。這正因為如此,很多人的AppleID被黑。
網站的核心用戶和賬號數據庫被黑,這些年已經一而再再而三上演了,大概大家還對2012年初的密碼門事件記憶猶新,而2013年攜程的數據庫也被爆,用戶信用卡信息泄露,網易郵箱賬號的泄露應該是近年來被爆出涉及賬號最多的泄露事件了。
然而這只不過是冰山一角,網絡安全的糟糕狀況遠遠超過大家的想象,就像酷殼陳皓所說的:“ 一般來說,進入公眾視野的數據基本上是已被黑客搞了n多年了,已沒啥價值了 ”。
誠然如此,其實真正還有利用價值的被拖的用戶數據,黑客也不會隨便爆出來自斷財路。這里作為“密碼門事件”親歷者,不妨回顧一下背后的故事:
話說我在2010年3月底去了CSDN上班,在8月份計劃改造用戶登錄系統的時候發現:用戶密碼用明文保存了,更神奇的是,密碼其實同時保存了兩份:一份明文,一份加密過的。我非常驚訝,內部詢問了一圈,也沒問出一個所以然。我到CSDN之前就聽聞CSDN被拖過庫,于是找了一個圈內朋友曲折打聽了一下,沒得到確切的答復。不管怎樣了,先去掉了明文密碼,又對操作系統進行了一次加固。然并卵,這個在2010年9月之前的用戶庫后來確實證明被拖了,盡管在我加固之后的用戶數據,倒是沒有再泄露。
這個2010年9月之前的庫直到2012年初才見諸公共視野,已被拖庫者把玩良久,該利用的價值早就利用的差不多了。
因為當時CSDN是唯一主動承認被拖庫,并且積極通知用戶、配合公安部門調查,所以得到了公安的信任,我比較深入的參與了后來的整個調查過程,親手鑒定了很多被拖過的庫。其中最令人嘆為觀止的是某CEO擅長炒股的上市公司,3億多賬號被拖光。
密碼門后來已經有點失控了,每隔幾天放一個庫,變成了帶有懸念的行為藝術。其實黑產者沒有任何理由干這種不理智的自爆,干這事的完全是一個不懂“行規”的菜鳥,滿滿的成就感。這種既斷黑產者財路,也引起社會不安的作死行為終于惹了眾怒,黑白兩道聯手,很快就破案了,當然也牽連了不少黑產者。
此案繳獲的戰利品之一:各個知名互聯網公司用戶庫,壓縮后的文件高達20多個TB的硬盤存儲容量,嘆為觀止,除了BAT這三家,沒有漏網之魚,或多或少被拖。
圍觀密碼門各個互聯網公司的繳獲品,其實可以看出一個清晰的規律: 公司的數據安全性和對技術的重視和投入程度是正相關的。越重視技術的公司,遭受的損失越小;越漠視技術的公司,遭受的損失越大。
前網易的主程云風同學也評論到:“關于網易賬號泄露的問題, 我想說,網易的統一認證 URS 系統,,我從 2004 年開始吐槽到 2011 年離開網易。期間專門寫千字以上的郵件不下三次,專門開過好幾次會都沒用。負責人換了幾撥, 沒有人意識到安全問題有多嚴重。”
Fenng同學說過一句很精辟的話:“技術在短期總是被高估的,而在長期總是被低估的”。技術投入都是浮在水面下的,無法很直觀的體現在公司的業務收入增長上,往往在長期被人所忽視。但是忽視技術的投入,遲早會被加倍的懲罰。
密碼門已經過去了三年之久,如今的網絡安全狀況其實比當時更加惡劣。且不說當初遭受過拖庫的各個公司早已好了傷疤忘了痛,新涌現的創業公司技術水平更加慘不忍睹。
這三年移動互聯網泡沫期,技術人才嚴重匱乏,創業項目又發展速度過快,動輒一年跑到B輪C輪,根本沒有時間沒有人才在技術上夯實根基,哪怕是很多明星級技術創業的項目,自身對基本的網絡安全都沒有什么概念。一旦爆發第二次密碼門事件,其規模和烈度遠遠超過2012年。
那么如何提高自身的網絡安全性呢?
是不是我花點錢定期請安全公司幫我掃描一下系統漏洞,或者懸賞黑客購買漏洞呢?
這樣做的確有一些幫助,但是 治標不治本
網絡安全不是一個簡單的漏洞問題,造成系統的網絡安全問題,往往是背后綜合性原因導致的,例如:
- 研發流程,系統上線流程缺乏規范化管理
- 研發團隊平均水平低,缺乏基本的網絡安全方面的編程意識
- 系統架構不合理,在隨著業務擴展的時候不停打補丁,導致系統性安全問題難以解決
- 不合理的研發周期,過緊的趕工導致對安全問題的人為放松
特別是其中的軟件系統架構,運維架構不合理導致的系統性網絡安全,問題尤為突出,這不是采取其他補救措施可以解決的,而且會隨著系統的發展,安全問題層出不窮。大多數創業公司,你讓老板花一大筆錢請安全公司掃描漏洞,解決立竿見影的問題,都很愿意;但是讓老板批準研發團隊投入時間和人力做短期看不到任何效果的系統架構改造,幾乎沒有什么支持的。
網易的郵箱賬號泄露不會是最后一次,以后我們還會看到更加勁爆的安全事件,特別是互聯網金融野蠻發展的今天。不過還是那句話,能夠讓公眾看到的安全事件,其實都是失去了利用價值的用戶數據,那些正在讓黑產者悶聲發大財的不會讓你知道的。
