Struts2漏洞 | 维基泄密CIA | 50亿信息透露
京东捉内鬼 | 职业内鬼 | 重罚信息透露
1.一份数据见告你,被万年漏洞王 Struts2 坑了的网站有哪些
pache Struts2 作为天下上最盛行的 Java Web 做事器框架之一,3 月 7 日带来了本年度第一个高危漏洞——CVE编号 CVE-2017-5638 。其缘故原由是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码实行漏洞,攻击者可以在利用该插件上传文件时,修正 HTTP 要求头中的 Content-Type 值来触发该漏洞,导致远程实行代码。
哪些网站已中招
Struts 作为一个“天下级”开源架构,它的一个高危漏洞危害有多大,下面两张图可以让大家对这个漏洞的影响范围有一个直不雅观认识。
雷锋网从绿盟科技理解到,从 3 月 7 日漏洞曝出到 3 月 9 日不到 36 个小时的韶光里,大量用户第一韶光通过绿盟云的 Structs2 紧急漏洞检测做事对自己的网站进行检测,共计 22000 余次。
通过对这些数据进行剖析,可以看到:
1、从检测数据来看,教诲行业受Struts2漏洞影响最多,其次是政府、金融、互联网、通信等行业。
2、从地域来看,北、上、广、沿海城市等经济发达地区成为 Struts2 漏洞高发区,与此同时修复情形也最及时。
3、从应对漏洞积极性来说,金融、政府、教诲位列前三甲。
雷锋网理解到,应对本次 Struts2 漏洞,金融行业应急反应最为迅速,在漏洞爆发后采纳行动也是最迅速的,无论是自行升级漏洞软件还是联系厂商升级防护设备都走在其他行业前列,很多金融行业站点在几个小时之内再次扫描时已经将漏洞修补完成。
2.维基解密曝CIA 入侵苹果、安卓机、电视,快来围不雅观8761份泄密文件
美国韶光3月7日,维基解密(WikiLeaks)网站公布了大量据称是美国中心情报局(CIA)的内部文件,个中包括了CIA内部的组织资料,对电脑、手机等设备进行攻击的方法技能,以及进行网络攻击时利用的代码和真实样本。利用这些技能,不仅可以在电脑、手机平台上的Windows、iOS、Android等各种操作系统下发起入侵攻击,还可以操作智能电视等终端设备,乃至可以遥控智能汽车发起暗杀行动。
一、泄露内容
这次公布的数据都是从CIA的内网保存下来的,韶光跨度为2013到2016年。这批文档的组织办法类似于知识库,利用Atlassian公司的团队事情共享系统Confluence创建。数据之间有明显的组织索引关系,可以利用模板对多个资料进行管理。很多资料有历史改动的存档,7818份资料中撤除存档共有1136个最新数据。943个附件基本上都可以在资料中找到对应的链接,属于其内容的一部分。
详细而言,这些资料可以分为如下几类:
CIA部门资料
黑客项目资料
操作系统资料
工具和开拓资料
员工资料
知识库
一、各方反应1.苹果:别怕,我们已修复大部分漏洞躺枪的苹果在给外媒 TechCrunch 的官方声明中表示, iPhone 能供应“消费者能得到的最佳数据安全性”,根据其初步剖析,维基解密列出的 14 项漏洞中,有“许多”在最新版的 iOS 里都已经被补上了。
雷锋网理解到,除此之外,他们还承诺“会连续快速办理被创造的漏洞”,而且不忘提醒利用者,要尽快下载和升级到最新版的系统。
2.CIA 和 FBI 在调查泄密内鬼
据公开宣布,美国官员向当地媒体透露,联邦调查局(FBI)和 CIA 将联手立项刑事调查。雷锋网理解到,这次调查的紧张内容包括:首先,维基解密如何得到了这些文件;其次,CIA内部是否有内鬼,即攻击是从外部进入的还是内部同时有人呼应。
3.三星和微软:正在调查
三星和微软对 CNBC 表明了态度。
三星:保护消费者的隐私和我们设备的安全性是三星的紧张任务。我们已把稳到所提及的报告,正在紧急调查此事。
微软:我们知道上述报告,正在调查此事。
4.谷歌:我们有信心
谷歌的信息安全和隐私主管希瑟-阿德金斯(Heather Adkins)在一份声明中表示,谷歌已经审查了这些文件,他们有信心认为 Chrome 和 Android 的安全更新和保护已经阻挡用户避开这些所谓的漏洞。他们的剖析正在进行中,将履行任何必要的保护方法。谷歌总是将安全视为重中之重,将连续投资于防御体系培植。
5.美国白宫发言人:我们要起诉这些泄密的!
美国白宫发言人斯派塞当天在例行会上谢绝证明这些文件的真实性,但强调机密文件外泄事宜该当成为一大担忧。斯派塞说,这类泄密事宜危害美国的安全,我们将会找出透露机密信息的人,将按法律最大限度地起诉他们。
3.京东内鬼涉50亿信息泄露案,腾讯帮忙破案,京东:他是试用期员工!
3月7日,微信认证"大众年夜众号“公安部刑侦局”表示,公安部安徽、北京、辽宁、河南等14个省、直辖市公安机关开展集中收网行动,彻底摧毁一个通过入侵互联网公司做事器窃取***公民个人信息的犯罪团伙,抓获犯罪嫌疑人96 名,查获涉及交通、物流、医疗、社交、银行等各种被窃公民个人信息50多亿条。
据公开媒体宣布,郑某鹏利用京东网络安全部员工这一身份,长期监守自盗,与黑客相互勾结,为黑客攻入网站供应主要信息——包括在京东、QQ上的物流信息,交易信息、个人身份等数据信息,为犯罪团伙履行违法犯罪活动供应了有力的技能保障。
京东员工郑某鹏所在的这一该犯罪团伙,还曾通过相似手段入侵多家互联网公司的做事器,从中盗取并倒卖公民个人信息,更利用从盗取到的各种注册信息,二次复制银行卡,履行盗刷银行卡等违法犯罪活动……
传开后,京东发出了一份声明,原文如下:
日前,京东与腾讯的安全团队联手帮忙公安部破获了一起特大盗取贩卖公民个人信息案。
据先容,在腾讯与京东联合打击信息安全地下玄色家当链的日常行动中,创造2016年6月尾入职京东、尚处于试用期的网络工程师郑某鹏系黑产团伙的主要成员,并立即向公安机关供应了线索。经理解,郑某鹏在加入京东之前曾在海内多家有名互联网公司事情,其长期与盗卖个人信息的犯罪团队互助,将从所供职公司盗取的个人信息数据进行交流,并通过各种办法在互联网上贩卖。在节制大量证据的根本上,按照公安部统一支配,安徽、北京、辽宁、河南等14个省、直辖市公安机关同步开展集中收网行动,韩某,翁某,郑某鹏等紧张犯罪嫌疑人悉数落网。目前,该案正在进一步审理中。
4.信息透露案牵出职业内鬼,信息安全无间道正上演雷锋网把稳到,在最初宣布50亿信息透露案时,就有知情人士称,犯罪嫌疑人郑某鹏在加入京东之前曾在海内多家有名互联网公司事情,其透露的50亿条公民信息中,可能包含多家互联网公司的用户信息。
此后,又有知情人士透露郑某鹏在加入京东之前曾就职于亚马逊中国、百度和新浪微博等单位从事网络安全干系事情,其长期与盗卖个人信息的犯罪团队互助,将从所供职公司盗取的个人信息数据进行交流,并通过各种办法在互联网上贩卖,系团伙骨干成员之一。
如果该爆料属实,那么犯罪嫌疑人郑某鹏很可能是“职业内鬼”。这也难怪京东扬言要起诉不实宣布的媒体,由于不少宣布给人的觉得确实是,透露的50亿数据全部都来自于京东,实际情形未必如此,不少有名互联网公司都可能被“潜”过,只是恰好在京东就职期间被创造,警方才和腾讯、京东三方协力破获该案。
根据3月11日微博网友“Tombkeeper”,也便是腾讯玄武实验室卖力人于旸,IT圈大名鼎鼎的“TK教主”爆料,2015年他在查看某应聘者时,就把稳到应聘者的身份可疑,不仅曾在多家公司连续跳槽,而且不断换城市,而且存在简历造假,系故意粉饰其过往经历。终极经由调查创造该应聘者果真是黑产团伙成员。
很明显,腾讯也曾是职业黑产卧底的一大目标,只是那一次被TK教主成功看破。
据雷锋网理解,其实在此之前,内鬼勾结地下黑产售卖公司内部数据的案件就屡有发生,如2013年底支付宝被曝出的20G信息透露事宜,就和其前技能员工李明(音)利用职务之便,勾结地下黑产有关。在物流方面,顺丰快递也曾多次涌现内鬼售卖物流信息的案件,其他快递的物流信息也险些无一幸免地涌如今地下黑市。
然而在以往大众的认知当中,这些内鬼可能是原来正常的员工受到利益的诱惑才和地下黑产勾结,但“职业卧底”这一身份的涌现,开始让人们意识到,"大众年夜众信息保护并没有那么大略。网络安全的“无间道”大戏正在上演,每一家拥有"大众年夜众信息的企业、机构都在参演,而终极的受害者将是每一个公民。
5.网民身份信息被透露严重, 政协委员建议重罚来源:新民
随着大数据家当的发展,用户数据透露征象进一步恶化,个人信息安全形势严厉。对此,全国政协委员张近东在今年提交的提案中,建议重罚信息透露行为,以信息泄露及信息转卖数量作为界定标准,提升惩罚刑期上限,遏制全体信息透露链条的关键环节。
去年,中国互联网协会数据报告显示,78.2%的网民个人身份信息被透露过,63.4%的网民个人网上活动信息被透露过,网民因个人信息透露、垃圾信息、诱骗信息等征象导致总体丢失约805亿元。
对付信息安全问题,张近东提出,要进一步制订数据开放共享配套法规、安全配套标准,构建防护技能体系,确保数据安全。根据不同企业等级,制订相应法规、管理条例,逼迫哀求相应等级企业参照国家相应标准,采纳符合其等级的技能和管理规范,并担保其在信息保护方面的经费投入与其信息数量、敏感度匹配。
张近东认为,要针对信息泄露及转卖信息职员加强惩罚,因目前信息泄露源头环节相对廉价,每条仅为1元不到至10元不等,仅从涉案金额来看每每不高,且最高罚则仅为三年以下有期徒刑,无法形成有效制约。
