10月19日网易”亮“了,乌云报告网易邮箱存在漏洞,涉及数亿网易邮箱账号和密码(MD5加密)的泄露。这让我想起前不久一个小事:
我和一位大学同学聚会,临走却发现我通讯录里面没有他的手机号码,让他拨我手机号码,一拨就占线,检查黑名单,果然他的手机号码已经被我屏蔽了。我当时很纳闷,为什么我要屏蔽同学的手机号码呢? 猛然想起来了:必然是同学的AppleID账号被人黑了,被用来利用iMessage给通讯录的好友群发垃圾短信,这才被我屏蔽。于是让同学赶紧修改AppleID的密码,开启两步验证。
而邮箱账号和密码被泄露,严重性远远超过一般网站账号泄露。因为用户大量网站账号都绑定在邮箱上,邮箱被破,就可以通过找回密码轻易黑掉其他网站账号。这正因为如此,很多人的AppleID被黑。
网站的核心用户和账号数据库被黑,这些年已经一而再再而三上演了,大概大家还对2012年初的密码门事件记忆犹新,而2013年携程的数据库也被爆,用户信用卡信息泄露,网易邮箱账号的泄露应该是近年来被爆出涉及账号最多的泄露事件了。
然而这只不过是冰山一角,网络安全的糟糕状况远远超过大家的想象,就像酷壳陈皓所说的:“ 一般来说,进入公众视野的数据基本上是已被黑客搞了n多年了,已没啥价值了 ”。
诚然如此,其实真正还有利用价值的被拖的用户数据,黑客也不会随便爆出来自断财路。这里作为“密码门事件”亲历者,不妨回顾一下背后的故事:
话说我在2010年3月底去了CSDN上班,在8月份计划改造用户登录系统的时候发现:用户密码用明文保存了,更神奇的是,密码其实同时保存了两份:一份明文,一份加密过的。我非常惊讶,内部询问了一圈,也没问出一个所以然。我到CSDN之前就听闻CSDN被拖过库,于是找了一个圈内朋友曲折打听了一下,没得到确切的答复。不管怎样了,先去掉了明文密码,又对操作系统进行了一次加固。然并卵,这个在2010年9月之前的用户库后来确实证明被拖了,尽管在我加固之后的用户数据,倒是没有再泄露。
这个2010年9月之前的库直到2012年初才见诸公共视野,已被拖库者把玩良久,该利用的价值早就利用的差不多了。
因为当时CSDN是唯一主动承认被拖库,并且积极通知用户、配合公安部门调查,所以得到了公安的信任,我比较深入的参与了后来的整个调查过程,亲手鉴定了很多被拖过的库。其中最令人叹为观止的是某CEO擅长炒股的上市公司,3亿多账号被拖光。
密码门后来已经有点失控了,每隔几天放一个库,变成了带有悬念的行为艺术。其实黑产者没有任何理由干这种不理智的自爆,干这事的完全是一个不懂“行规”的菜鸟,满满的成就感。这种既断黑产者财路,也引起社会不安的作死行为终于惹了众怒,黑白两道联手,很快就破案了,当然也牵连了不少黑产者。
此案缴获的战利品之一:各个知名互联网公司用户库,压缩后的文件高达20多个TB的硬盘存储容量,叹为观止,除了BAT这三家,没有漏网之鱼,或多或少被拖。
围观密码门各个互联网公司的缴获品,其实可以看出一个清晰的规律: 公司的数据安全性和对技术的重视和投入程度是正相关的。越重视技术的公司,遭受的损失越小;越漠视技术的公司,遭受的损失越大。
前网易的主程云风同学也评论到:“关于网易账号泄露的问题, 我想说,网易的统一认证 URS 系统,,我从 2004 年开始吐槽到 2011 年离开网易。期间专门写千字以上的邮件不下三次,专门开过好几次会都没用。负责人换了几拨, 没有人意识到安全问题有多严重。”
Fenng同学说过一句很精辟的话:“技术在短期总是被高估的,而在长期总是被低估的”。技术投入都是浮在水面下的,无法很直观的体现在公司的业务收入增长上,往往在长期被人所忽视。但是忽视技术的投入,迟早会被加倍的惩罚。
密码门已经过去了三年之久,如今的网络安全状况其实比当时更加恶劣。且不说当初遭受过拖库的各个公司早已好了伤疤忘了痛,新涌现的创业公司技术水平更加惨不忍睹。
这三年移动互联网泡沫期,技术人才严重匮乏,创业项目又发展速度过快,动辄一年跑到B轮C轮,根本没有时间没有人才在技术上夯实根基,哪怕是很多明星级技术创业的项目,自身对基本的网络安全都没有什么概念。一旦爆发第二次密码门事件,其规模和烈度远远超过2012年。
那么如何提高自身的网络安全性呢?
是不是我花点钱定期请安全公司帮我扫描一下系统漏洞,或者悬赏黑客购买漏洞呢?
这样做的确有一些帮助,但是 治标不治本
网络安全不是一个简单的漏洞问题,造成系统的网络安全问题,往往是背后综合性原因导致的,例如:
- 研发流程,系统上线流程缺乏规范化管理
- 研发团队平均水平低,缺乏基本的网络安全方面的编程意识
- 系统架构不合理,在随着业务扩展的时候不停打补丁,导致系统性安全问题难以解决
- 不合理的研发周期,过紧的赶工导致对安全问题的人为放松
特别是其中的软件系统架构,运维架构不合理导致的系统性网络安全,问题尤为突出,这不是采取其他补救措施可以解决的,而且会随着系统的发展,安全问题层出不穷。大多数创业公司,你让老板花一大笔钱请安全公司扫描漏洞,解决立竿见影的问题,都很愿意;但是让老板批准研发团队投入时间和人力做短期看不到任何效果的系统架构改造,几乎没有什么支持的。
网易的邮箱账号泄露不会是最后一次,以后我们还会看到更加劲爆的安全事件,特别是互联网金融野蛮发展的今天。不过还是那句话,能够让公众看到的安全事件,其实都是失去了利用价值的用户数据,那些正在让黑产者闷声发大财的不会让你知道的。