全球安全资讯精选 2017年 第七期： Equifax 泄漏 1.43 亿用户数据

游戏安全资讯精选

 

摘要： 游戏账号窃取日益猖獗，2017世界物联网博览会IoT安全观点

 

【每周游戏行业DDoS态势】

 

 

【游戏安全动态】

 

游戏账号窃取日益猖獗，游戏运维人员如何做好防范？点击查看原文

概要：盗取游戏账号主要目的是获取个人信息在暗网售卖，并且用账号、虚拟货币、虚拟装备来盈利，这也意味着，游戏行业越发达，安全风险也就越高，因为攻击者的盈利空间越大。

作为游戏公司，可定期引导玩家去检查自己的账户密码是否受到数据泄露的影响；如果遇到游戏账号丢失或大面积被窃取，游戏公司需要尽快做好沟通；安全运维人员要随时关注登录游戏的活跃IP，如果遇到IP增加的情况，则需要及时提防响应；同时需要为安全准备相应的资源，安全产品能灵活扩展很重要；最后，通过序列号，个人信息验证机制，来确保玩家身份的真实性。

 

【相关安全事件】

 

Struts2 REST插件远程执行命令漏洞全面分析。点击查看原文

概要：2017年9月5日，Apache Struts 2官方发布一个严重级别的安全漏洞公告，该漏洞由国外安全研究组织http://lgtm.com的安全研究人员发现，漏洞编号为CVE-2017-9805（S2-052）。

点评：当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤，可以导致远程执行代码，攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。

建议运维人员或开发人员尽快关注并资产，可以检查使用了REST插件Struts版本是否在受影响范围内。如果存在，建议您尽快按照以下方式修复漏洞。

目前官方已经发布补丁，建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本。阿里云云盾WAF已发布该漏洞规则，用户可以通过WAF，对利用该漏洞的攻击行为进行检测和防御，最大程度减少安全风险。

 

【云上视角】

 

2017世界物联网博览会：IoT安全观点。点击查看原文

概要：9月10日，2017世界物联网博览会在江苏无锡拉开帷幕，阿里巴巴集团携阿里云IoT及蚂蚁金服参会在9月11日的安全智能高峰论坛上，三位阿里巴巴的IoT安全研究者：阿里云首席安全科学家吴翰清，阿里巴巴资深IoT安全专家谢君，和阿里巴巴集团安全部安全研究专家王康，从趋势和技术两个角度，分享物联网给我们带来的价值，以及如何才能构筑安全、可信、在线的物联网。

吴翰清提出，物联网的未来价值在于连接与在线；端、连接和云；IoT作为基础设施的三大支柱；与变革同时而来的是风险。庞大的数据量，实时的交换，如何对这些在线的数据做管控，是物联网安全的关键。

 

 

金融安全资讯精选

 

摘要： 美国信用评分公司Equifax 泄漏 1.43 亿用户数据，Struts2 REST插件远程执行命令漏洞全面分析，阿里云护航金砖五国大会

 

【金融安全动态】

 

美国信用评分公司Equifax 被攻击，泄漏 1.43 亿用户数据。点击查看原文

概要：泄露的信息包括用户社会安全码、驾照信息、生日信息、信用卡数据等。据SEC（U.S. Securities and Exchange Commission）的文件，三位Euifax董事已经售出了“一小部分”所持股票。Equifax 称黑客利用了 Web 应用的漏洞访问了某些文件，Apache Struts 受到的怀疑最多。Apache Struts 项目今年爆出了两个漏洞，一个是在 3 月，另一个就是在上周。Apache本周对此发表了澄清声明，称在接到漏洞报告之后，已经尽快修复了漏洞。

点评：令人恐慌的，不仅仅是泄露规模之大，和被泄露信息的“隐私”程度，更是因为Equifax是全美最权威的信用评分公司之一，却在网络攻击中“信用彻底崩塌”。随着针对性攻击变本加厉，信息泄露事件会更加频繁，以法律和标准来保护个人信息安全是必然，政府、金融等行业，也需要承担更大的安全责任。

有理由推断，该事件有可能成为近年来在广度和深度上最严重的数据泄露事件之一。根据国外法律，当隐私违规使得消费者利益受影响，FTC（Federal Trade Commission）有可能会予以20年审计的处罚，另可能涉及不同州的州际法律，对数据泄露的要求和惩罚。

在信用业务管理和信息安全技术方面，无论是市场成熟度还是政府监管，美国都有很多成熟的经验。但从此次事件的体量、发生原因和高层的表现来看，很多大型企业在技术，内部安全管理方面都缺乏应有的态度和经验。尤其在安全治理层面。从另一个角度来说，通过法律和监管措施去推动企业提升安全管理水平才是长远之计。在国内，等级保护制度就是一个很好的方式，企业可通过“过等保”这个过程，沉淀出企业安全管理的方法论，从事后亡羊补牢，转换成事前风控，从根源上缓解安全风险。

 

【相关安全事件】

 

Struts2 REST插件远程执行命令漏洞全面分析。点击查看原文

概要：2017年9月5日，Apache Struts 2官方发布一个严重级别的安全漏洞公告，该漏洞由国外安全研究组织http://lgtm.com的安全研究人员发现，漏洞编号为CVE-2017-9805（S2-052）。

点评：当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤，可以导致远程执行代码，攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。

建议运维人员或开发人员尽快关注并资产，可以检查使用了REST插件Struts版本是否在受影响范围内。如果存在，建议您尽快按照以下方式修复漏洞。

目前官方已经发布补丁，建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本。阿里云云盾WAF已发布该漏洞规则，用户可以通过WAF，对利用该漏洞的攻击行为进行检测和防御，最大程度减少安全风险。

 

 

【云上视角】

 

阿里云护航金砖五国大会。点击查看原文

概要：护航期间，金砖会议官网域名服务0安全事件；重保网站0业务中断、0安全事件；云平台用户网站安全运营0干扰。大会启动前2个月，经相关部门授权，阿里云专家对云上政府类网站做了一次全方位“体检”，找出网站可能存在的漏洞，并出具优化、容灾建议，做到了安全不留死角。本次护航也启用了超长待机的“云博士” 向有安全隐患的客户进行通报隐患，确保通知用户环节更简单更快捷更高效，从而让更多安全专家可以集中精力解决难题。

 

政府安全资讯精选

 

摘要： 美国信用评级公司Equifax泄漏 1.43 亿用户数据 ； 网信办发布新规加强管理互联网群组和公众号；微博推进实名制认证 所有新老用户需实名 否则无法发博与评论； 欧盟裁决将加强对工作场所的隐私保护。

 

【安全事件】

美国信用评级公司Equifax泄漏 1.43 亿用户数据 点击查看原文

概要：美国三大权威征信公司之一Equifax 被攻击，泄漏 1.43 亿用户数据。泄露信息包括用户社会安全码（SSN）、驾照、生日、信用卡数据等。事件曝光之前，CFO等三位高管抛售了近180万美元的股票。作为应对，Equifax开通了一个网站帮助消费者确定个人信息是否遭到损害，并提供免费的信贷档案监控和识别盗 窃保护。从规模之大和被泄漏信息的隐私程度看，这可能是近年来最严重的数据泄露事故之一。

点评：对用户重要信息的有效保护是信用评级公司的核心能力。Equifax作为全美最权威的的信用评级公司之一，却在此次网络攻击中“信用彻底崩塌”。预计联邦贸易委员会（FTC）将会根据泄漏的影响程度作出相应惩处，如Uber近日被要求接受20年审计；各州监管也会有各自的裁决。目前，国内个人信息保护的相关标准不断健全，各类政府网站、金融机构保障数据安全的责任也在增加，避免重要数据泄漏造成严重损失。

 

【国内政策分析】

 

网信办发布新规 加强管理互联网群组和公众号

概要：网信办9月7日发布《互联网用户公众账号信息服务管理规定》和《互联网群组信息服务管理规定》，2017年10月8日起施行。依据规定，互联网群组和公共账号须备案；群组建立者须承担管理责任；公众账号平台须设立总编辑，负责信息内容安全；群组信息服务提供者要做实名认证并建立黑名单管理制度，还需要留存网络日志至少6个月。

点评：两项规定进一步落实了内容安全的主体责任，群组“谁创建谁负责”，把责任落实到个人。群组和公众账号服务提供者的管理责任更加重大，内容安全的技术、人力投入以及网络日志存储的成本都将增加。

 

微博推进实名制认证 所有新老用户需实名 否则无法发博与评论 点击查看全文

概要：微博近日发布公告称，在2011年《北京市微博客管理规定》实施以后，按照规定要求新用户进行“前台资源，后台实名”的认证，并引导老用户进行实名验证。截至目前，微博已完成了全站活跃用户的实名验证工作。根据相关法律要求，微博将在今年9月15日之前，完善产品机制，要求所有用户包括2011年之前注册的用户，在发博和评论前，先行完成实名验证。

点评：微博率先响应《网络安全法》有关实名认证的要求，对新老用户实名信息进行“查漏补缺”。值得注意的是，微博将向第三方开放授权登录服务，第三方使用微博登录时微博会反馈请求账号是否已完成实名验证。使用微博授权登录等同于该用户在第三方实名登录。换言之，第三方平台将与微博有更多的数据共享，也将相应地承担更多个人信息保护责任。

 

【国外政策趋势】

 

欧盟裁决将加强对工作场所的隐私保护 点击查看全文

概要：9月5日，欧洲人权法院对早前罗马尼亚籍男子因工作期间处理私人邮件被解雇案件做出了裁定。该决定对工作场所的隐私和监控具有里程碑式的意义。欧盟企业今后有义务提前告知雇员其电子邮件正被监控，私自操作属于违法行为。同时，企业对于隐私监测的合理性和程序性保障至关重要

点评：欧盟GDPR里显著增强了雇员作为数据主体的权利。雇主需要提供更多关于处理人力资源相关个人资料的方式和原因的详细资料。旨在提高数据处理的透明度和安全性。其次，员工有权访问他们的数据，并有权纠正不准确的数据。 最后，根据“被遗忘权”，员工有权要求雇主在某些情况下清除有关他们的个人资料。