【IT168 资讯】7月22日消息,一则“淘宝被拖库”的消息从今日凌晨开始在微博上流传。拖库,是指网站遭到黑客入侵后,数据库资料被窃取。
对此传闻,淘宝网7月22日中午发布公告,称公司未发现受Struts命令执行漏洞影响。“淘宝网已于当天第一时间对该漏洞进行修复,并确认此漏洞没有被成功利用。截至目前,用户的数据安全和帐户数据未见任何异常。”
此前的7月17日,Web应用开发框架Struts2被爆存在一个可以远程执行任意命令的高危漏洞,攻击者可以利用该漏洞,窃取网站数据,篡改网页,造成大规模的信息泄露。
Struts2是Struts的下一代产品,一个帮助java开发者开发Web应用的开发框架。由于使用Struts 2开发的网站非常多,包括很多大网站,所以这个漏洞影响面非常广。网站安全中心SCANV对Struts2高危漏洞发出红色警报。
就在7月17日当天,一名叫“Finger”的用户在网站安全漏洞发布平台乌云网发布“淘宝网某分站Struts命令执行漏洞”,将漏洞危害等级标为“高”。而18日,淘宝网确认该漏洞存在,回应危害等级为“中”。
阿里巴巴集团高级安全专家云舒在接受财新记者采访时表示,阿里巴巴主要使用自己开发的webx框架,少量地方使用了apache开源基金会的struts。“阿里的安全部门对java安全的研究属于业内领先水平,struts的同类漏洞我们很早就知道,也跟官方做过沟通,并给出了通用解决方案。因此,这个漏洞对阿里的影响不大,更谈不上数据被拖库。”
云舒同时称,struts漏洞对个人信息影响很大。非常多的银行和政府部门都使用了Struts框架,但政府部门对网络安全漏洞的敏感性以及反应速度远远比不上互联网企业,可能会导致很多入侵行为。
18日,Struts官方再发高危安全漏洞补丁升级,修补了多个安全漏洞,其中包括一个远程任意代码的高危安全漏洞。称“这些漏洞可以影响到Struts2所有版本,针对该漏洞的攻击代码已出现”。
安全宝的抽样统计显示,超过80%的网站存在Struts2漏洞。目前,乌云漏洞报告平台上已经提交了国内很多银行、政府机构、大中型互联网公司漏洞信息,乌云平台上确认的数据显示,17日以来,已有淘宝、国家电网、浦发银行信用卡服务中心、中国银行某分行网站等百余个得到确认的漏洞信息,证明其网站已经受到该漏洞影响。
同时,国外的开发网站也未能幸免。从上周四(7月18日)开始,苹果开发者网站陷入宕机,今日苹果官方发邮件承认网站遭到入侵,入侵者试图获取开发者的个人信息,但是敏感信息已经被加密无法访问。安全宝创始人马杰认为,此次入侵或与前几天爆发的Apache Struts2漏洞有关。乌云漏洞报告平台称,“经确认,苹果开发者网站宕机原因为Struts2漏洞引发的黑客渗透攻击所致”。
安全宝联合产品副总裁吴翰清在知乎网发表观点认为,Struts2漏洞这次来势之所以如此凶猛,和Struts官方不负责任的态度有很大关系。他认为,Struts2官方不负责任的披露了漏洞利用代码,让这个漏洞被大面积利用成为可能。
一位不愿透露姓名的互联网安全业内人士分析称,乌云网上的漏洞报告,只能说明该网站有被拖库的风险,即使被拖库,里面也绝不可能是明文保存密码,也就是说用户库泄露并不等于密码泄露,顶多是个人信息泄露,CSDN密码泄露事件是因为历史库是明文存密码。
云舒肯定了这种说法,但同时表示,如果任由发展,绝大部分加密的库被破解也是迟早的事。
2011年CSDN数据库大规模泄露是近年来影响较大的拖库事件,600万明文的注册邮箱和密码遭泄露,将网络安全问题推向高潮。
从乌云网公布的最新确认漏洞信息来看,受影响的网站仍在增加中。■