数据泄露无小事——瀚思就“网易事件“的详细分析

2015年10月19日 作者: 瀚思科技

“数据泄露“事件回溯:

近年来安全事件频发:前有天涯论坛、如家汉庭、12306等大型厂商及企业数据库被拖导致严重的用户信息泄露事件,近有网易邮箱上亿用户数据疑似被拖库: 10月19日下午,国内最大漏洞平台乌云称网易163/126邮箱发生过亿用户数据泄露(涉及邮箱账号,密码,用户密保等)

尽管针对此次网易邮箱数据泄露事件,网易方面坚决否认,并声称此次事件是由“撞库”所致,但是依旧躲不过媒体蜂拥而至的报道。对此瀚思安全团队也将此次事件进行溯源,让用户了解更多相关信息。

何谓”拖库“?什么是”撞库“?

对于这次事件,我们不难发现,业内统一的说法是“由于拖库引起的数据泄露事件”,而网易方面则声称是由于”撞库“所致,那么两者到底有什么区别呢?瀚思安全团队也给读者进行一个简单的安全知识普及:

拖库就是黑客直接黑进了系统,能够把里面所有的信息全部拿出来,风险是很大的;而撞库是说不确定这个信息,而是拿到一个信息后在不同网站去试,如果成功就是撞库成功了,总归是有一定几率的。

事实上,我们可以看出,无论哪种,对于用户来说结果是一样的,因为信息已经被泄露了。前者意味着所有用户邮箱的“钥匙”已经尽在黑客手中掌握,而后者则只是几率问题。但按照乌云给出的说法,目前部分泄露数据已经在互联网流传,部分已经公布的信息中,存在多类原始信息,包括用户密码提示问题&答案同时泄露,这些信息很难单纯由撞库获得。

企业及用户数据泄露的危害

此次事件的影响之所以庞大,也是由于那号称5亿条数据的泄露。近几年来,网络安全圈内的地下黑色产业链逐渐壮大,黑客通常用技术手段对企业网络系统进行攻击,然后实施拖库,接下来将拖下来的数据库里的用户信息拿到“黑市”上卖,据称有价值的用户数据10000条就能卖到几百至上千元不等的价格。这也是黑客之所以对这些知名企业的数据库感兴趣最根本的原因,因为这里面有巨大的利益做为驱动。

而对于企业来说,信息泄露事件将会直接导致企业在公众中的威望和信任度下降,会驱使他们改变原有选择倾向。从这里不难推断,信息泄密事件可能会使企业失去一大批已有的或者潜在的客户。

在数据信息的作用与地位日益显要的今天,数据信息的安全问题是关乎企业声誉、公众信任感、经济利益、生死存亡的问题,企业数据信息的安全程度将会影响企业的外部竞争力。

瀚思就此次事件的详细分析

瀚思的安全研究员也对此次事件做了详细分析: 此次事件爆发后,各大群以及微博、微信上均有业内人员对此进行详细的讨论,我们也发现某安全人员在某网站上传了部分此次网易泄露的用户数据,如下图所示:

该图片内容和乌云上报道的内容一致:邮箱密码及密保问题均是由md5加密后的密文,所以极有可能以上数据就是此次网易泄露的部分数据。我们将这里面的用户数据与之前流传出来的经过撞库获取到的明文用户数据进行比对,发现此次泄露的用户数据与之前撞库出来的结果并不相同,由此看出此次泄露的均为之前未被撞库泄露过的用户数据。而根据此次的信息泄露量来看,51.3G,5亿条用户数据,基本就可以确定此次网易邮箱数据泄露并非撞库,而是情况更为严重的拖库!

HanSight认为,安全无小事,从这次网易用户邮箱数据泄露事件可以深刻看出核心数据的重要性,以及数据安全的重要性。

就一些大型安全事件来看,黑客的核心目标都是在于数据库里存放的数据,瀚思的安全产品能够通过分析海量的数据库访问日志来找异常,Waf漏掉的,或者业务逻辑方面漏洞,我们都能根据访问模式异常查出。能够第一时间发现黑客的入侵行为。而瀚思下一代大数据安全分析平台(HanSight Enterprise)则可以通过对大量的历史日志信息进行机器学习与算法分析来侦测出异常行为模式和隐藏的威胁。通过过滤和分析大而复杂的数据集,洞彻最新的安全威胁的变化。通过网络行为异常检测发现数据泄露。

像此次网易邮箱数据泄露事件,瀚思的大数据安全分析平台能在第一时间,通过我们独有的安全分析算法,以“可视化”的形式将信息泄露事件的发生详情最快时间呈现出来。如下图所示为瀚思大数据安全分析平台的工作原理图:

瀚思成立至今一直秉承“数据驱动安全“为核心理念,我们的团队也成功的帮助银行、政府等对安全级别要求非常高的企业实施了我们的产品。瀚思可以为企业用户解决如下问题:

发现异常行为:对大量的历史日志与安全信息进行机器学习与算法分析来侦测出异常行为模式和隐藏的威胁,无论是外部APT攻击,还是内部人员泄密;

实时检索与溯源:对所有存储的海量信息进行索引,提供类似互联网搜索引擎的根据任意关键字定位到所有相关信息的能力;

原始记录取证:利用分布式文件系统实现对海量安全基础信息的长期存储,可随时调取;

安全态势展现:结合大数据分析技术和数据可视化技术,可以通过不同维度展现局内整体安全态势。

如果企业能够在第一时间发现问题,及时知道黑客的入侵行为,就能避免类似网易这样的企业数据泄露事件。