Struts 2漏洞事件

2013年Struts 2漏洞事件，是互聯網領域最大的網絡安全事故之一。Struts是Apache基金會的一個開源項目，廣泛應用于大型互聯網企業、政府、金融機構等網站建設，并作為網站開發的底層模板使用。

但在2013年，Struts官方做了一個錯誤的決定：在自己的官網上公布其發現的高危漏洞，并且在公告中直接把漏洞代碼貼了出來，這使得大批原本沒有那么高技術能力的外行，也可以借助傻瓜化的工具對專業網站進行數據盜取，這極大地放大了漏洞造成的不良后果。

撞庫 拖庫 洗庫

“撞庫”“拖庫”“洗庫”都是黑客術語。“撞庫”是指黑客將得到的一個網站的賬戶密碼在其他網站上進行嘗試登錄。“拖庫”是指黑客入侵有價值的網絡站點，把注冊用戶的資料數據庫全部盜走的行為。“洗庫”是指對數據庫中的資源進行層層利用，把里面的資源進行全方面的剝奪利用。

最近有幾條新聞可能會讓很多人感到焦慮，因為它們都與數據泄露和個人信息安全有關。先是京東被爆出有12G的用戶數據在黑市被叫賣；接著，有記者親身實踐，僅僅花了700元就購買到了同事的個人行蹤等11項記錄；很快，又有消息稱國家電網官方APP已出現數據泄露，涉及用戶規模超過千萬級……

看來，就在我們調侃希拉里是因為沒有做好數據安全工作而丟掉了美國總統的時候，數據泄露也正在成為我們每一個人頭上的陰云。大數據很美，但數據安全怎么保障？我們在享受互聯網帶來的種種便利的同時，個人信息在裸奔嗎？

雖是虛驚，但“裸奔”風險不小

12月10日，有自媒體爆料稱，有一個12G的數據包正在黑市進行叫賣，該數據包來自京東，其中包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度，數據多達數千萬條……由于這個數據包被打上了“京東”的標簽，叫賣價格高達數十萬元。

消息一出，引發了極大的關注，畢竟電商數據與金錢聯系緊密。“根據之前報道截圖只能判斷出是2013年之前注冊的用戶，該數據源于2013年Struts 2的安全漏洞問題，當時國內幾乎所有互聯網公司及大量銀行、政府機構都受到了影響，導致大量數據泄露。至于這個流傳的數據包是否全部是京東的數據，以及是否只是黑色產業鏈打著京東旗號做交易的噱頭，我們還在調查，需要取得完整的數據包之后才能做結論。”京東集團相關負責人告訴《中國經濟周刊》記者。

該負責人表示，從2013年至今，都沒有接到任何用戶因賬戶信息泄露而遭受損失的報告。“因為我們其實在Struts 2的安全問題發生后，就迅速完成了系統修復，同時針對可能存在信息安全風險的用戶進行了安全升級提示，當時受此影響的絕大部分用戶都對自己的賬號進行了安全升級。”他說。

不過，這個事件雖然影響面很大，但目前來看造成的傷害并不大。同樣因為Struts的公開性，各大網站和機構及時進行了補救。3年來，其實并未真正因此產生過惡性攻擊事件。

12月13日，有知情人士爆料稱，國家電網推出的掌上電力、電e寶APP正在出現數據泄露，涉及用戶規模已經超過千萬級，而且部分數據可能已經流入黑色產業鏈，危害持續擴大。對此，國家電網當日在官方微博回應稱：經再次查證，在推廣掌上電力、電e寶APP過程中不存在泄露大量客戶信息的情況，并已經下架關閉了涉嫌違規開展相關代辦業務的商家。

雖然兩起“泄密”事件似乎都是虛驚一場，但是記者親測700元就買到同事行蹤等11項記錄的新聞，還是再次證實了一件事：販賣數據的黑色產業鏈確實存在，你會不會“被賣”？沒人敢打包票說不會。沒有被保障安全的數據，無異于互聯網時代的“裸奔”。

一年經濟損失高達915億元

你是否接到這樣的陌生電話？他知道你準確的姓名，也能“精準”地向你推銷產品和服務，比如你剛到中介看了房子，電話的內容就是你是否需要貸款？你剛買了汽車，就會問你是否要買保險？你剛剛咨詢了一個培訓課程，就有更多的培訓機構給你打電話……

當然，這些僅僅是信息泄露帶來的一些“騷擾”而已，煩心但不至于有傷害。但是，信息泄露往往也是遭遇詐騙的第一步。個人信息無疑是精準詐騙的有力“武器”，所以詐騙分子往往不惜高價從黑市購買數據，以提高詐騙的成功率。

之所以有人費力冒險地竊取信息，當然是有人會花高價去購買。據記者了解，黑產的上游是有不法分子利用制作病毒木馬、各種釣魚手段、黑客攻擊方式獲取用戶信息；中游是交易中間商，他們會把獲取的數據進行“撞庫”“拖庫”“洗庫”，提煉篩選整合數據使其更有價值；下游有不法分子則利用這些數據從事非法活動達到變現的目的，比如實施電信詐騙，盜取游戲裝備等虛擬貨幣，盜刷銀行卡、支付寶等進行金融犯罪。

根據今年11月發布的《網絡空間安全藍皮書：中國網絡空間安全發展報告(2016)》顯示，從2015年下半年到2016年上半年，網民因個人信息泄露、照片信息、垃圾信息等造成的經濟損失高達915億元。

根據360互聯網安全中心發布的報告顯示，2016年1—9月，360手機衛士共為全國用戶識別和攔截詐騙電話29.4億次，平均每天識別和攔截詐騙電話1089萬次。今年1—9月平臺共接到全國網民舉報網絡詐騙案件14708起，涉案金額高達1.2億元，人均損失8105元。

保障安全靠“共治”

黑產方和安全保障方永遠都是魔高一尺、道高一丈的斗爭。12月14日，由公安部刑偵局、騰訊安全主辦的“守護者反電信網絡詐騙聯合大會”在京舉行。騰訊公司董事會主席兼首席執行官馬化騰在會上表示，在互聯網環境下，騙子們分工明確，已形成跨平臺、跨行業、集團式的黑色產業鏈。傳統的打擊手段已經不能很好地解決網絡犯罪，必須聯合政府、銀行、運營商、互聯網企業和社會力量，構建打擊電信網絡詐騙共治體系。

“為什么要共治？”馬化騰說，“今天我們面對的黑產已經充分的分工細化，而且是非常成熟的產業鏈，如果我們不用產業鏈合作來對抗這些黑色產業鏈，我們是沒有辦法的。這些黑產的違法犯罪人員掌握先進技術非常快，會很快用‘互聯網+’、云計算、大數據的方式來實施詐騙。而我們正義的一方如果還是繼續分散、各自為政的話，那是遠遠抵擋不了這樣的黑產勢力的。”

在馬化騰看來，當前整個網絡已經發展到了一片“深水區”，已經沒有什么參照物了。中國應該拿出更多的勇氣和創新的精神，為全球網絡安全治理貢獻一個具有借鑒意義的中國樣本。他和騰訊呼吁運營商、銀行、網絡服務商等有大量數據的企業，可以通過大數據的方式，與這些黑產分子對抗，并建議由國家牽頭搭建具有公信力的第三方平臺，大家把各自的數據放心地放在里面進行處理。

其實，騰訊在今年年初推出了“守護者計劃”，平臺先后與公安、銀行、運營商及其他互聯網企業建立了合作關系，摸索出“以數據為驅動、通過全行業聯合、職能聯動形成反詐騙閉環”，嘗試用大數據和生態的力量探索對抗網絡黑產的“騰訊模式”。

“騰訊守護者計劃安全團隊一年來，共協助警方偵破電信網絡詐騙案件110余起，累計為民眾挽回損失超過5億元。”騰訊守護者計劃總負責人朱勁松告訴《中國經濟周刊》記者。

安全小貼士

不要使用公共場所或他人的免費網絡進行購物和使用網銀

涉及到財產的電商、支付類系統中使用獨特的、安全等級高的用戶名和密碼，避免被“撞庫”

不要把敏感信息如銀行卡、身份證等信息隨意暴露在網上，尤其是現在的社交網站

注意保護個人電腦、手機等信息終端的信息安全，不要讓病毒入侵、植入木馬等

家中Wi-Fi密碼、路由器管理后臺密碼，要使用字母加數字的高強度密碼

短信、郵件、微信中不明來路的鏈接千萬不要點擊，避免遭遇“釣魚”