互联网金融两大安全问题 大平台更受黑客青睐
【摘要】“数据即一切”,这个认知被这个时代的所有企业奉为神祗。那些掌控着最多我们数据的企业成为了最有价值的公司,但可怕的是,如此重要的资产却并没有得到理应的保护,我们的数据依然被泄露、盗取、贩卖、滥用。
对于“生活”在互联网上的一代来说,关于我们的大部分信息都在不知不觉间被“记录”了。而那些留在虚拟世界里的数据越来越多,它们组合成了一个个人物“画像”,即便没有见到面,这些信息也足以告诉大家:我们是谁,我们是什么样的人,我们喜欢什么,讨厌什么…...
“数据即一切”,这个认知被这个时代的所有企业奉为神祗。那些掌控着最多我们数据的企业成为了最有价值的公司,但可怕的是,如此重要的资产却并没有得到理应的保护,我们的数据依然被泄露、盗取、贩卖、滥用。
京东12G数据泄露事件只是网络安全危机的冰山一角,或许它并不是危机最深重的那家公司。不过,作为国内最知名的互联网公司之一,作为一家已经在做技术输出业务的公司(京东金融),它依然出现了这么严重的网络安全问题,这件事本身就值得引起大家,以及整个行业的警惕和重视。
根据京东回应称,该数据源于2013年Struts 2的安全漏洞问题,该问题因框架自身的安全性问题使系统极易被攻击而产生。那么,问题来了:什么是Struts 2?为什么该框架自身安全性有问题,包括京东这样的公司还要采用?我们要如何更好的保护个人的信息安全?
今天,特别请我的朋友来给大家答疑解惑,他们是互联网安全服务商斗象科技的创始人袁劲松,联合创始人张天琪,这两位也是国内网络应用安全、安全研发、安全架构、漏洞挖掘等领域专家,以下就是他们分享:
01 Struts和它的安全漏洞
Struts是平时Java EE应用开发中最常用的开源MVC框架,从Struts1发布现在的Struts 2已有16年的历史,目前是Apache基金会赞助的项目,Struts2是Struts的下一代产品,同类的框架还有Spring等。
Struts2官方历史上共爆出了40多个漏洞,其中大部分都与OGNL表达式有关。OGNL表达式是Struts2框架的核心机制之一,是一种功能强大的表达式语言,用来GET和SET Java对象的属性,它旨在提供一个更高抽象度语法来对Java Objects Map进行导航,OGNL在各部分逻辑中都有应用。
绝大多数OGNL相关的安全漏洞均由于框架底层对用户输入没有做完整且有效的过滤与验证,导致攻击者直接把恶意的用户输入当成表达式执行,便于控制系统可以执行任意代码、任意命令,这类漏洞危害等级普遍较高。
尽管官方一次次的修复,但每次都是治标不治本。而且官方团队对安全的意识和理解也存在一定偏差,导致修复被一次次的绕过。当时这个漏洞被披露的时候,由于利用难度较低,加上很多攻击者在互联网上发布了自动化检测和利用工具,这也大幅降低了漏洞利用的门槛。
加之Struts2框架的流行程度,使得顷刻之间大面积网站被攻击。此次,按照京东的说明,其数据泄露事件就源于2013年7月爆发的一次高危漏洞。当时国内很多知名网站都受到此漏洞不同程度的影响。
站在企业角度,很多应用Struts 2框架的业务,出于对升级可能造成的业务风险的考虑,不一定会直接照官方升级,而且并不是所有团队都有这样的技术能力对自己的业务线进行整体升级,以至于问题被遗留下来。
据我们统计,大多数企业是没有专职的安全团队,安全的职责很多时候由运维兼任。这也是导致很多企业无法第一时间得知这类安全通告,也缺乏相应的技术能力来判断事件的严重性,难以进行及时且有效的决策。
而目前很多大型互联网公司都喜欢在开源框架的基础上根据业务情况研发自己的框架,自己定义安全模型。像阿里巴巴有一套通用的WebX框架就是基于Spring的基础上进行了很多改进。
有能力在开源框架基础上进行二次开发的团队,在选型上会考虑安全性,也会把一些安全机制进行定制与完善,如常见的:输入验证、输出编码、身份验证、会话管理、密码管理、访问控制、错误处理与日志、数据加密、资源管理等。这些常见功能在框架层面抽象成具体的安全API,供业务开发者消费,以便加强整体业务线安全。
02 互联网金融成数据泄露重灾区
金融行业一直是网络安全的重灾区,也是黑客攻击的重要目标,这主要是受到利益的驱动。
在金融平台里面,一般用户的认证信息,交易数据,资产数据、信用卡、身份信息等是攻击者较为关注的。这些信息一旦被恶意团体利用,一方面导致洗钱,卖给诈骗团伙,另一方面卖给竞争对手进行购买力和潜在客户的分析。
另外,一旦互金平台受到黑客攻击,发生信息泄露的事件后,可能会影响平台的信誉,会造成投资人会对平台信任度的降低,进而引发投资人撤离资金,平台资金链断裂,甚至崩盘的风险。所以,互金公司对此尤为紧张,不少公司都会接受黑客的勒索,宁愿花钱了事。
过去几年,互联网金融公司发展迅猛,一些比较大的公司还是很注重网络安全建设。但确实也有很多公司过于专注于业务领域,对安全并不重视。更有甚者是做“一锤子”买卖的临时性平台,安全性上就更不会顾及。
不过,大家也不要产生偏见,企业的安全健康状态如同木桶效应般,任何一块短板都会造成无法弥补的损失,因此在攻防层面不能说大型企业比中小型企业或者其它互联网金融企业更安全。
反而一些大的互金公司,由于旗下资产与业务线众多,会较受黑客的青睐。因为,当企业频繁更新新的业务线,每一个业务线、每一个版本发布,都可能一定程度上存在安全风险。从安全运维角度,有更多的资产需要检测与防护、监控与响应。
所以,关键还是要看企业对待安全的态度是否严谨,安全流程管理是否规范、技术团队实力、以及领导层对安全的重视和投入等方方面面因素,无法一概而论。
企业应用的软件也随着互联网发展,时时刻刻可能会爆发出严重漏洞,比如之前的Struts2漏洞。
互联网金融行业里常见的问题,大致分为两大类:
1. 金融业务相关安全问题,如薅羊毛、业务风控(征信)等。薅羊毛种类众多,比如虚假注册来骗取返现,提交虚假资料来骗贷等问题。很多互联网金融公司在征信方面也是做得不到位的,无法有效判断借贷人身份的合法性。
2. 用户信息相关安全问题,如越权、注入等。前者比如我可以以我的账号权限去查看别人的投资理财情况,随意修改他人的账户密码,甚至拖库等行为。
03 如何保护自己的数据安全
现在大家关注的是一些公司数据被盗事件,这主要取决于公司的风控机制。我们接触到的很多公司对于敏感数据的权限管控并不是很到位,普通员工都能有机会接触到企业核心数据,内部人员利用不完善的信息安全管理制度,盗取并贩卖核心数据,造成敏感信息泄露。
但其实,曝光出来数据泄露事件只是冰山一角,更大的危机源于我们日常的生活当中。
现在我们能想到的各种数据,包含个人基本信息、家庭组成信息、个人健康及财务信息等都已经通过各种途径泄露出来了。而不法份子可以利用这类信息实施各种恶意行为,如电信诈骗等。或利用泄露数据进行数据分析,如定向推销等。
其实,目前来看,用户的帐密信息不一定是最有价值的,反而是用户的一些衣食住行、健康状况、财务信息等信息更有价值。因为通过这些消费数据能够完整的跟踪一个人,全面分析一个人。
很多人并没有意识到,其实你的个人信息、数据往往在不经意间便已经被泄露。比如,在公共场所连接免费wifi,扫描促销二维码等,可能会导致你的流量被劫持、中间人攻击、手持终端的入侵。
还有一些常见场景中,比如,促销活动填写的个人信息,网站注册,租房信息发布等,还有朋友圈里晒机票,晒车票,晒身份证等各种看似无害行为,以及快递包裹上的快递单信息等。
互联网时代,个人隐私是相对的,换言之,只要生活在网上,你的很多个人信息都难免不被暴露。所以没有办法完全保护隐私。但是普通用户在日常上网过程中,可以注意几点:
1.准备两个手机号,一个专门处理各种非重要事情时填写,一个只给亲朋好友,不要用于任何注册和业务办理。
2. 不要泄漏自己个人信息,尤其是在很多网站注册的时候,不要用真实的个人信息。
3. 使用社交产品、网站尽量不要发布个人有关的信息,如家庭地址、亲人照片等。
来源: 金融之家
亦轩
- 情报 | 嘀嗒出行重启港股IPO;阿里本地生活或将进行新一轮裁员;美团打车上线半指派功能
- 情报 | 百度文心一言今日正式开放测试预约;宁德时代赴瑞士上市或被推迟;美团买菜重启扩张计划
- 情报 | 沪江教育更名为行藏科技;特斯拉明年或开启史上首个回购计划;推特世界杯期间50%几率崩溃
- 情报 | 特斯拉年底前或推出新降价手段;法拉第未来称FF91今年不会交付;马斯克恐失去世界首富位置
- 情报 | 刘强东成为中国首善;QQ音乐叫停数字藏品业务;字节跳动推出番茄音乐App
- 情报 | 蔚来手机NIO Phone正式亮相;巨人集团回应史玉柱新增股权冻结;爱驰被曝已人去楼空
- 情报 | 蔚来汽车坠楼两名试车员身亡;今日共627只港股被沽空;港交所恢复上市敲锣仪式
- 情报 | 蚂蚁集团拟回购不超7.6%股份;我爱我家杭州分公司所有高管均被停职;特斯拉呼吁收紧史上最严排放标准
- 光年速递 | 扎克伯格看好智能眼镜;OpenAI向部分用户开放GPT-4o语音模式...
- 光年速递 | 小米SU7 Pro版交付周期再缩短;特斯拉首次进入政府采购;阿里健康大药房海外店被曝售假...