金融安全资讯精选 2017年第七期:Equifax 泄漏 1.43 亿用户数据,Struts2 REST插件远程执行命令漏洞全面分析,阿里云护航金砖五国大会

简介: 美国信用评分公司Equifax 泄漏 1.43 亿用户数据,Struts2 REST插件远程执行命令漏洞全面分析,阿里云护航金砖五国大会
3d4fd1956f53474cc9939731e71719b550aad415

  

【金融安全动态】


美国信用评分公司Equifax 被攻击,泄漏 1.43 亿用户数据点击查看原文

 

概要:泄露的信息包括用户社会安全码、驾照信息、生日信息、信用卡数据等。据SEC(U.S. Securities and Exchange Commission)的文件,三位Euifax董事已经售出了“一小部分”所持股票。Equifax 称黑客利用了 Web 应用的漏洞访问了某些文件,Apache Struts 受到的怀疑最多。Apache Struts 项目今年爆出了两个漏洞,一个是在 3 月,另一个就是在上周。Apache本周对此发表了澄清声明,称在接到漏洞报告之后,已经尽快修复了漏洞。

 

点评:令人恐慌的,不仅仅是泄露规模之大,和被泄露信息的“隐私”程度,更是因为Equifax是全美最权威的信用评分公司之一,却在网络攻击中“信用彻底崩塌”。随着针对性攻击变本加厉,信息泄露事件会更加频繁,以法律和标准来保护个人信息安全是必然,政府、金融等行业,也需要承担更大的安全责任。


有理由推断,该事件有可能成为近年来在广度和深度上最严重的数据泄露事件之一。根据国外法律,当隐私违规使得消费者利益受影响,FTC(Federal Trade Commission)有可能会予以20年审计的处罚,另可能涉及不同州的州际法律,对数据泄露的要求和惩罚。

 

在信用业务管理和信息安全技术方面,无论是市场成熟度还是政府监管,美国都有很多成熟的经验。但从此次事件的体量、发生原因和高层的表现来看,很多大型企业在技术,内部安全管理方面都缺乏应有的态度和经验。尤其在安全治理层面。从另一个角度来说,通过法律和监管措施去推动企业提升安全管理水平才是长远之计。在国内,等级保护制度就是一个很好的方式,企业可通过“过等保”这个过程,沉淀出企业安全管理的方法论,从事后亡羊补牢,转换成事前风控,从根源上缓解安全风险。


【相关安全事件】


Struts2 REST插件远程执行命令漏洞全面分析点击查看原文


概要:2017年9月5日,Apache Struts 2官方发布一个严重级别的安全漏洞公告,该漏洞由国外安全研究组织lgtm.com的安全研究人员发现,漏洞编号为CVE-2017-9805(S2-052)。

 

点评:当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤,可以导致远程执行代码,攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。


建议运维人员或开发人员尽快关注并资产,可以检查使用了REST插件Struts版本是否在受影响范围内。如果存在,建议您尽快按照以下方式修复漏洞。

目前官方已经发布补丁,建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本。阿里云云盾WAF已发布该漏洞规则,用户可以通过WAF,对利用该漏洞的攻击行为进行检测和防御,最大程度减少安全风险。

 


【云上视角】


阿里云护航金砖五国大会。点击查看原文


概要:护航期间,金砖会议官网域名服务0安全事件;重保网站0业务中断、0安全事件;云平台用户网站安全运营0干扰。大会启动前2个月,经相关部门授权,阿里云专家对云上政府类网站做了一次全方位“体检”,找出网站可能存在的漏洞,并出具优化、容灾建议,做到了安全不留死角。本次护航也启用了超长待机的“云博士” 向有安全隐患的客户进行通报隐患,确保通知用户环节更简单更快捷更高效,从而让更多安全专家可以集中精力解决难题。

 


查看其它行业资讯

政府安全资讯精选 2017年第七期 美国权威征信公司发生严重数据泄漏 数据安全重要性再突显


往期回顾

金融安全资讯精选 2017年第六期:阿里云等3家单位具备CNVD技术组成员单位资格,反欺诈和身份管理是AI安全最热两大创业领域,互金安全负责人的安全建设心得


期待听到您的反馈


 金融、政府、游戏安全资讯精选会通过云栖社区专栏,

阿里云安全微信和微博,每周与您见面。

如果您是阿里云用户,

也欢迎通过邮件、钉钉公众号查看本周行业资讯。




029307c2bf99a126e3c7d4b050286cfed9f71a06


扫码或点击这里参与全球安全资讯精选

读者调研反馈


我们会认真讨论您的每一条建议

并邀请精彩回答者加入VIP读者群


目录
相关文章
|
4天前
|
存储 监控 安全
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
为了提供更好的日志数据服务,360 企业安全浏览器设计了统一运维管理平台,并引入 Apache Doris 替代了 Elasticsearch,实现日志检索与报表分析架构的统一,同时依赖 Doris 优异性能,聚合分析效率呈数量级提升、存储成本下降 60%....为日志数据的可视化和价值发挥提供了坚实的基础。
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
|
9天前
|
弹性计算 人工智能 安全
带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(3)
带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(3)
330 0
|
10天前
阿里云Grafana服务支持一键安装Grafana插件
阿里云Grafana服务支持一键安装Grafana插件
24 2
|
23天前
|
机器人
阿里云 RPA 的成本效益分析
机器人流程自动化(RPA)技术在企业数字化转型中扮演着越来越重要的角色。阿里云 RPA 作为一种高效的自动化解决方案,不仅可以提高业务效率,还可以降低运营成本。本文将对阿里云 RPA 的成本效益进行分析,帮助企业更好地评估和利用这一技术。
|
23天前
|
监控 算法 机器人
5 天学会阿里云 RPA:金融行业应用
金融行业一直处于技术创新的前沿,以提高运营效率、降低风险和提供更好的客户体验。阿里云 RPA(机器人流程自动化)的出现为金融机构带来了全新的智能自动化解决方案,帮助他们在竞争激烈的市场中保持领先地位。
|
9天前
|
弹性计算 安全 网络安全
带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(2)
带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(2)
341 0
|
2天前
|
弹性计算 运维 安全
阿里云轻量应用服务器:一款高效、稳定、安全的云计算服务
阿里云服务器ECS和轻量应用服务器有什么区别?轻量和ECS优缺点对比,云服务器ECS是明星级云产品,适合企业专业级的使用场景,轻量应用服务器是在ECS的基础上推出的轻量级云服务器,适合个人开发者单机应用访问量不高的网站博客、云端学习测试环境等,阿里云服务器网从从使用场景、适用人群、计费方式、系统镜像、网络带宽、运维管理等多方面来详细说下二者区别及如何选择
30 1
|
9天前
|
运维 安全 关系型数据库
数据库自治与安全服务训练营火热开营!完成任务可得国潮保温杯和阿里云定制双肩包!
本训练营带您简单了解数据库自治与云安全服务,数据库自治服务提供云上RDS、PolarDB、NoSQL、ADB等数据库7*24小时异常检测、SQL自优化、安全合规审计、弹性伸缩、数据自治、锁分析等亮点功能。一站式自动化、数字化DAS集成平台,助力您畅享DBA运维智能化。
|
9天前
|
弹性计算 安全 网络安全
带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(1)
带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(1)
296 0
|
9天前
|
弹性计算 安全 API
带你读《从基础到应用云上安全航行指南》——干货长文快收藏!阿里云专家教你如何安全访问和管理ECS资源(1)
带你读《从基础到应用云上安全航行指南》——干货长文快收藏!阿里云专家教你如何安全访问和管理ECS资源(1)
495 2

热门文章

最新文章