1.一份數據告訴你，被萬年漏洞王 Struts2 坑了的網站有哪些

pache Struts2 作為世界上最流行的 Java Web 服務器框架之一，3 月 7 日帶來了本年度第一個高危漏洞——CVE編號 CVE-2017-5638 。其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在遠程代碼執行漏洞，攻擊者可以在使用該插件上傳文件時，修改 HTTP 請求頭中的 Content-Type 值來觸發該漏洞，導致遠程執行代碼。

哪些網站已中招

Struts 作為一個“世界級”開源架構，它的一個高危漏洞危害有多大，下面兩張圖可以讓大家對這個漏洞的影響范圍有一個直觀認識。

雷鋒網從綠盟科技了解到，從 3 月 7 日漏洞曝出到 3 月 9 日不到 36 個小時的時間里，大量用戶第一時間通過綠盟云的 Structs2 緊急漏洞檢測服務對自己的網站進行檢測，共計 22000 余次。

通過對這些數據進行分析，可以看到：

1、從檢測數據來看，教育行業受Struts2漏洞影響最多，其次是政府、金融、互聯網、通信等行業。

? ??

2、從地域來看，北、上、廣、沿海城市等經濟發達地區成為 Struts2 漏洞高發區,與此同時修復情況也最及時。

3、從應對漏洞積極性來說，金融、政府、教育位列前三甲。

雷鋒網了解到，應對本次 Struts2 漏洞，金融行業應急反應最為迅速，在漏洞爆發后采取行動也是最迅速的，無論是自行升級漏洞軟件還是聯系廠商升級防護設備都走在其他行業前列，很多金融行業站點在幾個小時之內再次掃描時已經將漏洞修補完成。

2.維基解密曝CIA 入侵蘋果、安卓機、電視，快來圍觀8761份泄密文件

美國時間3月7日，維基解密（WikiLeaks）網站公布了大量據稱是美國中央情報局（CIA）的內部文件，其中包括了CIA內部的組織資料，對電腦、手機等設備進行攻擊的方法技術，以及進行網絡攻擊時使用的代碼和真實樣本。利用這些技術，不僅可以在電腦、手機平臺上的Windows、iOS、Android等各類操作系統下發起入侵攻擊，還可以操作智能電視等終端設備，甚至可以遙控智能汽車發起暗殺行動。

一、泄漏內容

此次公布的數據都是從CIA的內網保存下來的，時間跨度為2013到2016年。這批文檔的組織方式類似于知識庫，使用Atlassian公司的團隊工作共享系統Confluence創建。數據之間有明顯的組織索引關系，可以使用模板對多個資料進行管理。很多資料有歷史改動的存檔，7818份資料中除去存檔共有1136個最新數據。943個附件基本上都可以在資料中找到對應的鏈接，屬于其內容的一部分。

具體而言，這些資料可以分為如下幾類：

• CIA部門資料，包括部門的介紹，部門相關的黑客項目，以及部門內部的信息分享。

• 黑客項目資料，包括一些不屬于特定部門的黑客工具、輔助項目等，其中有項目的介紹，使用說明以及一些技術細節。

• 操作系統資料，包括iOS、MacOS、Android、Linux、虛擬機等系統的信息和知識。

• 工具和開發資料，包括CIA內部用到的Git等開發工具。

• 員工資料，包括員工的個人信息，以及員工自己創建的一些內容。

• 知識庫，這里面分門別類地存放了大量技術知識以及攻擊手段。其中比較重要的是關于Windows操作系統的技術細節和各種漏洞，以及對于常見的個人安全產品（Personal Security Products）的繞過手段，包括諾頓、卡巴斯基、賽門鐵克、微軟殺毒以及瑞星等安全產品。

一、各方反應

1.蘋果：別怕，我們已修復大部分漏洞

躺槍的蘋果在給外媒?TechCrunch?的官方聲明中表示， iPhone 能提供“消費者能得到的最佳數據安全性”，根據其初步分析，維基解密列出的 14 項漏洞中，有“許多”在最新版的 iOS 里都已經被補上了。

雷鋒網了解到，除此之外，他們還承諾“會繼續快速解決被發現的漏洞”，而且不忘提醒使用者，要盡快下載和升級到最新版的系統。

2.CIA 和 FBI 在調查泄密內鬼

據公開報道，美國官員向當地媒體透露，聯邦調查局（FBI）和 CIA 將聯手立項刑事調查。雷鋒網(公眾號：雷鋒網)了解到，此次調查的主要內容包括：首先，維基解密如何獲得了這些文件；其次，CIA內部是否有內鬼，即攻擊是從外部進入的還是內部同時有人呼應。

3.三星和微軟：正在調查

三星和微軟對 CNBC 表明了態度。

三星：保護消費者的隱私和我們設備的安全性是三星的首要任務。我們已注意到所提及的報告，正在緊急調查此事。

微軟：我們知道上述報告，正在調查此事。

4.谷歌：我們有信心

谷歌的信息安全和隱私主管希瑟-阿德金斯（Heather Adkins）在一份聲明中表示，谷歌已經審查了這些文件，他們有信心認為 Chrome 和 Android 的安全更新和保護已經阻止用戶避開這些所謂的漏洞。他們的分析正在進行中，將實施任何必要的保護措施。谷歌總是將安全視為重中之重，將繼續投資于防御體系建設。

5.美國白宮發言人：我們要起訴這些泄密的！

美國白宮發言人斯派塞當天在例行記者會上拒絕證實這些文件的真實性，但強調機密文件外泄事件應該成為一大擔憂。斯派塞說，這類泄密事件損害美國的安全，我們將會找出泄露機密信息的人，將按法律最大限度地起訴他們。

3.京東內鬼涉50億信息泄漏案，騰訊協助破案，京東：他是試用期員工！

3月7日，微信認證公眾號“公安部刑偵局”表示，公安部安徽、北京、遼寧、河南等14個省、直轄市公安機關開展集中收網行動，徹底摧毀一個通過入侵互聯網公司服務器竊取出售公民個人信息的犯罪團伙，抓獲犯罪嫌疑人96 名，查獲涉及交通、物流、醫療、社交、銀行等各類被竊公民個人信息50多億條。

據公開媒體報道，鄭某鵬利用京東網絡安全部員工這一身份，長期監守自盜，與黑客相互勾結，為黑客攻入網站提供重要信息——包括在京東、QQ上的物流信息，交易信息、個人身份等數據信息，為犯罪團伙實施違法犯罪活動提供了有力的技術保障。

京東員工鄭某鵬所在的這一該犯罪團伙，還曾通過相似手段入侵多家互聯網公司的服務器，從中竊取并倒賣公民個人信息，更利用從竊取到的各類注冊信息，二次復制銀行卡，實施盜刷銀行卡等違法犯罪活動……

消息傳開后，京東發出了一份聲明，原文如下：

日前，京東與騰訊的安全團隊聯手協助公安部破獲了一起特大竊取販賣公民個人信息案。

據介紹，在騰訊與京東聯合打擊信息安全地下黑色產業鏈的日常行動中，發現2016年6月底入職京東、尚處于試用期的網絡工程師鄭某鵬系黑產團伙的重要成員，并立即向公安機關提供了線索。經了解，鄭某鵬在加入京東之前曾在國內多家知名互聯網公司工作，其長期與盜賣個人信息的犯罪團隊合作，將從所供職公司盜取的個人信息數據進行交換，并通過各種方式在互聯網上販賣。在掌握大量證據的基礎上，按照公安部統一部署，安徽、北京、遼寧、河南等14個省、直轄市公安機關同步開展集中收網行動，韓某，翁某，鄭某鵬等主要犯罪嫌疑人悉數落網。目前，該案正在進一步審理中。

4.信息泄露案牽出職業內鬼，信息安全無間道正上演

雷鋒網注意到，在最初報道50億信息泄露案時，就有知情人士稱，犯罪嫌疑人鄭某鵬在加入京東之前曾在國內多家知名互聯網公司工作，其泄露的50億條公民信息中，可能包含多家互聯網公司的用戶信息。

此后，又有知情人士透露鄭某鵬在加入京東之前曾就職于亞馬遜中國、百度和新浪微博等單位從事網絡安全相關工作，其長期與盜賣個人信息的犯罪團隊合作，將從所供職公司盜取的個人信息數據進行交換，并通過各種方式在互聯網上販賣，系團伙骨干成員之一。

如果該爆料屬實，那么犯罪嫌疑人鄭某鵬很可能是“職業內鬼”。這也難怪京東揚言要起訴不實報道的媒體，因為不少報道給人的感覺確實是，泄露的50億數據全部都來自于京東，實際情況未必如此，不少知名互聯網公司都可能被“潛”過，只是恰好在京東就職期間被發現，警方才和騰訊、京東三方協力破獲該案。

根據3月11日微博網友“Tombkeeper”，也就是騰訊玄武實驗室負責人于旸，IT圈大名鼎鼎的“TK教主”爆料，2015年他在查看某應聘者時，就注意到應聘者的身份可疑，不僅曾在多家公司連續跳槽，而且不斷換城市，而且存在簡歷造假，系故意掩蓋其過往經歷。最終經過調查發現該應聘者果然是黑產團伙成員。

?? ?

很明顯，騰訊也曾是職業黑產臥底的一大目標，只是那一次被TK教主成功識破。

據雷鋒網了解，其實在此之前，內鬼勾結地下黑產售賣公司內部數據的案件就屢有發生，如2013年底支付寶被曝出的20G信息泄露事件，就和其前技術員工李明（音）利用職務之便，勾結地下黑產有關。在物流方面，順豐快遞也曾多次出現內鬼售賣物流信息的案件，其他快遞的物流信息也幾乎無一幸免地出現在地下黑市。

然而在以往大眾的認知當中，這些內鬼可能是原本正常的員工受到利益的誘惑才和地下黑產勾結，但“職業臥底”這一身份的出現，開始讓人們意識到，公眾信息保護并沒有那么簡單。網絡安全的“無間道”大戲正在上演，每一家擁有公眾信息的企業、機構都在參演，而最終的受害者將是每一個公民。

5.網民身份信息被泄露嚴重， 政協委員建議重罰

來源：新民晚報

隨著大數據產業的發展，用戶數據泄露現象進一步惡化，個人信息安全形勢嚴峻。對此，全國政協委員張近東在今年提交的提案中，建議重罰信息泄露行為，以信息泄漏及信息轉賣數量作為界定標準，提升處罰刑期上限，遏制整個信息泄露鏈條的關鍵環節。

去年，中國互聯網協會數據報告顯示，78.2%的網民個人身份信息被泄露過，63.4%的網民個人網上活動信息被泄露過，網民因個人信息泄露、垃圾信息、詐騙信息等現象導致總體損失約805億元。

對于信息安全問題，張近東提出，要進一步制定數據開放共享配套法規、安全配套標準，構建防護技術體系，確保數據安全。根據不同企業等級，制定相應法規、管理條例，強制要求相應等級企業參照國家相應標準，采取符合其等級的技術和管理規范，并保證其在信息保護方面的經費投入與其信息數量、敏感度匹配。

張近東認為，要針對信息泄漏及轉賣信息人員加強處罰，因目前信息泄漏源頭環節相對廉價，每條僅為1元不到至10元不等，僅從涉案金額來看往往不高，且最高罰則僅為三年以下有期徒刑，無法形成有效制約。

本文作者：謝幺
本文轉自雷鋒網禁止二次轉載，原文鏈接

總結

以上是生活随笔為你收集整理的在50亿信息泄露事件面前，Struts 2 漏洞和CIA泄密都是小事 | 宅客周刊的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。