微信号:ikanxue

介绍:致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号.

Acfun受黑客攻击事件持续发酵,给我们带来什么启发?

2018-06-13 18:20 看雪学院

今日凌晨,AcFun发布公告称,受黑客攻击,近千万条用户数据外泄,其中包含用户ID、用户昵称、加密存储的密码等信息。


公告全文如下:



AcFun向用户表示,如果在2017年7月7日之后一直未登录过AcFun,密码加密强度不是最高级别,账号存在一定的安全风险,恳请尽快修改密码。如果在其他网站使用同一密码,也请及时修改。


2017年7月7日,AcFun升级改造了用户账号系统。AcFun称,如果在此之后有过登录行为,账户会自动升级使用强加密算法策略,密码是安全的。但是如果密码过于简单,也建议修改密码。


AcFun称事故的根本原因在于没有把网站做得足够安全,在事发后,已在第一时间联合内部和外部的技术专家成立了安全专项组,排查问题并升级了系统安全等级。


接下来,AcFun会对服务做全面系统加固,实现技术架构和安全体系的升级。同时,AcFun表示已经搜集了相关证据并报警。


此次事故公告之前,快手刚刚完成对Acfun的整体收购。未来,A站将保持独立品牌、维持独立运营、保持原有团队、独立发展,而快手会在资金、资源、技术等给予A站大力支持。


同日,Acfun发布招聘贴。网友戏称:“有钱了”。


今日下午,有流言称该黑客已在Github上传了300条用户的个人信息,包括密码和手机号。不过其真实性有待研究。





看雪采访到一些 Web 渗透方面的技术人员,对本次事件的一些看法和建议,仅供大家参考:


Xiuno :

企业在高速发展中,由于对安全的投入不够,往往名气和安全建设程度远远不成正比。可以肯定的是被脱裤的企业远远不止这两家,本次事件只是泄露出来的冰山一角,在前几年 CSDN 脱裤、携程隐私泄露门后,相关网络安全法跟进,加上乌云事件爆发,互联网企业安全事 件似乎沉寂了很长一段时间,但是并不意味这黑产就停止了活动,相反,可能转入到了更加隐蔽,破坏力和影响更大的层面,令人担忧。



红客十年:

也侧面反映了现在企业的安全问题,自从某披露平台关闭以后,企业对安全问题已经没有那么重视了。从勒索病毒问题到现在的数据泄漏的问题来看,最大的问题出自于企业对安全的重视程度。以前有披露平台存在的时候,小厂商都会重视安全。现在没有第三方披露平台监督,企业也不会再去重视了,只是口号喊的响亮,实质没有改变。

当曝光300条信息和300条密码后,不确定是否是A站做出了搜索限制和登录限制,也不确定这300条信息是否是真实的。



netwind:

针对此次数据泄露,我认为信息安全永远没有绝对安全,厂商或用户都必须高度重视信息安全问题。厂商如果需要保存用户数据,务必采取复杂的不常见加密方式保存,另外对用户注册密码要有安全策略限制。对于普通用户一定不要使用弱口令,并定期更换密码,尤其不能和其他平台共用一个密码。另外也建议有关部门针对网络安全问题对各互联网厂商进行安全监督检查,帮助厂商更进一步完善安全保护措施,维护互联网信息安全!



小伟:

其实我这边算是最早发现这个事情的人群之一了。就单事情来看,绝对是个持续控制的事件。就入侵手法方向的话,这个就太多了,其实没什么所谓黑不了的网站,只是看手段会用到什么程序。技术和人性上的不可控方向太多了,而且A站正常来看,是没有正式的安全部门与SRC的存在的,这其实是很大一块缺失。最早的时间可能要追到很久的前的几次撞库了。乱拳打死老师傅是src很重要的点。

Gover:

A站被黑不是一个简单的安全问题,这跟A站内部的安全建设有很大的关系。在抵御外部攻击防范黑客入侵上工作做的不够到位。此次事件对A站的影响是可预见的,因为数据都出来了,过几天就消停了。国内的安全现状就是这样的,A站的只是冰山一角。


吃瓜群众C:

千千万万被拖的网站中比较悲剧的一个吧,有人把这事给高调说出来了,然后还有媒体给大肆传播。不过他们能敢于承认这个态度的确是令人钦佩的。


carry_your:

从3个角度来看这次事件:


一攻击者为什么攻击A站?1、用户多,而且活跃用户多;2、安全投入少,缺少基本安全防护以及告警系统;3、服务器资产比较集中,基本都在2个C段上。

二作为厂商该怎么办?1、及时查漏补缺,做好备份,清除后门;2、加大安全投入,做好日志收集和分析工作,及时发现攻击;3、及时告知用户(这一点A站还算过关);

三作为受害者不要盲目去修改密码,要持续关注该事件发展,可能后门还在,你改了新的密码还是会泄露。及时修改跟A站同密码的相关网站密码,防止被撞库造成二次伤害。



珈蓝夜宇:

至少我觉得A站的态度是对的吧,没有谁可以保证说数据库不被拖,用户有权利知道自己的数据被泄露。并且我好像是第一次在国内的厂商里见到这样敢于承认的厂商。


21guns:

通过本次事件可窥见很多互联网企业安全合规落实不到位,如安全中的通俗理解,进不来,拿不走,看不懂。 数据加密脱敏亟待落实。

牧马人:

从A站数据泄露这个点来说,A站安全防护不到位是肯定的,但是这个点后面是一条线,从开发到上线,没有做好足够的安全防护,才最终导致事故的发生。大企业需要一套完整的安全保障体系。希望本次事件对其他企业也再一次敲响警钟,企业要转变思路,变被动防御为主动防御,变事后处置为事中预警。



光棍节:

A站的数据泄露可能只是一个开端,接下来会不会如2011年的CSDN泄露一样掀起一波血雨腥风,不管怎么说,在安全提升的道路上,总是有无数血的教训。



万丈阳光:

本次事件一是反映了暗网交易在国内越来越普及;二是反映了目前很多新兴互联网公司安全经验不足,缺少足够的安全措施防范黑客,在处理事件、舆论方面的经验也不够。


感谢以上朋友的采访支持。



企业从此次事件中,可以吸取哪些教训?


看雪专家认为以下几点值得关注:


1、安全业务,企业应予以重视,不要亡羊补牢;


2、积极做好等级保护,达到相关法规条例规定的网络安全水平;


3、定期进行系统的安全测试,评估系统的安全性并作出相应措施;


4、关键业务务必做源代码的安全审计,从软件开发源程序上查找安全漏洞,安全开发;


5、建立企业安全应急响应机制;


6、加强员工的安全意识培训。



安全无小事,事关你我他。



参考链接:

https://tech.sina.com.cn/i/2018-06-13/doc-ihcwpcmp8615848.shtml



往期热门资讯:

扫描二维码,获得更多新鲜资讯!


 
看雪学院 更多文章 初识Frida--Android逆向之Java层hook (二) 初识Frida--Android逆向之Java层hook (一) 同时替换栈和.data数据节中的Cookie突破GS安全机制 分析一个有趣的so双重壳 一个内核驱动的数组越界访问漏洞
猜您喜欢 线性图标大合集!400+线性图标免费打包下载 恒生正式开放五大能力,全面赋能金融开发 非技术背景创业者的挑战10\/14@极牛开放日 做一个装逼的码农 你需要知道的Android拍照适配方案