|事件分析
3月31日,拉勾網CEO許單單發微博公開致歉,承認其公司某員工自發使用黑客手段盜取其競爭對手看準網員工的工作郵箱和蘋果商店帳號,並將其產品「BOSS直聘」下架,公司表示完全不知情,然後表態呼籲良性競爭,不要彼此惡性攻擊。
(圖為Boss直聘在聲明裡貼出的蘋果官方的帳號異常郵件通知)
拉勾的致歉信一出,許多網友就紛紛對「公司不知情」表示質疑,理由很簡單:如果一個程式設計師在沒有公司不知情,沒有任何激勵和授權的情況下,冒著法律風險自發作出如此行為,那麼這個程式設計師對公司是多麼的忠誠和熱愛,然而工作卻又如此不飽和,有閒工夫去當黑客,這顯然不符合常理。引入黑客來打擊對手的事情常有發生,所以必定是公司蓄謀的攻擊行為。
然而轉念一想,拉勾網真的會走這一步臭棋嗎?
首先,許多人認為黑客行蹤詭異,很難被發現,但事實並不是如此。大部分黑客入侵行為,只要有關部門要抓,都是能找到痕跡的,能夠做到無跡可尋的黑客是鳳毛麟角。
在看準網的產品被下線時,競爭雙方正就應用刷榜一事火拼。拉勾網官方真的會在這個時間節點下手嗎?一旦下手,對方首先就會懷疑到自己,而事實也正是如此,看準網剛發布聲明,輿論就立刻將矛頭指向拉勾網,雙方開始陷入公關撕扯,拉勾網顯然不會輕易做如此引火燒身之事,這是第一點。
致歉信中提到「該員工在騰訊企業後臺、蘋果APP開發者後臺做出了一些不恰當的舉動」試想,如果是拉勾網蓄謀,並且成功黑進對方管理員郵箱,選擇潛伏起來,不斷獲取競爭對手的工作溝通消息,豈不是收益更大? 一個拿到對方家門鑰匙,是會選擇潛伏起來,在恰當時機進行一番洗劫,還是直接闖入家門大鬧一番然後被發現,相信理智的都會選擇前者。如果是公司蓄謀行為,權衡利弊也不會如此魯莽。
我一向不喜歡陰謀論,但如果真的是員工自發的行為,那麼有一種可能:盜號輕而易舉。會不會有可能拉勾網的員工自己閒來無事研究些黑客技術,結果輕易一試就盜走了看準網員工帳號呢?
| 盜一個帳號,到底多簡單?
企業員工帳號被盜這件事到底有多常見,文字一言難盡,但如果直接進入烏雲網、漏洞盒子、補天等漏洞平臺,就能立刻親身體會到員工帳號被盜是多麼稀鬆平常的事,涉及員工帳號、弱口令等關鍵詞的漏洞每天不斷上演。
(截取自烏雲漏洞平臺)
通過烏雲網公布的以往出現過的企業郵箱盜號事件案例,可以基本還原通過簡單手段輕鬆獲取對方帳號的過程。大家可以自行感受,即使是不懂技術的人,如何僅用最基本的搜索操作,就能進入別人的企業郵箱帳號。
第一步:找到企業郵箱地址
截取自烏雲漏洞平臺
第二步:然後將帳號輸入到某社工庫中搜索,立即獲得了兩個用戶帳號密碼,隨即成功登錄對方的企業郵箱帳號。
這裡科普一下社工庫的概念——
社工庫就是黑客將以往洩露出來的數據匯總到一起供人們隨意查詢和使用的資料庫。
截取自烏雲漏洞平臺
怎麼樣?是不是比你想像中還簡單?這僅僅是盜號最簡單的方法,其他手法更是層出不窮,但大部分也並不需要太高的技術要求,一個暴力破解腳本,搭配常用的弱密碼字典,就能讓帳號手到擒來。
| 蒼蠅從不釘無縫的蛋
但無論如何,帳號被輕易盜用的前提依然是人們不安全的帳號使用習慣,要麼是使用了弱口令導致被輕易猜測或暴力破解,要麼則是在多處使用同一個帳號密碼,導致一處被盜,全部遭殃。
對於看準網員工帳號被盜一事,所有人的目光從一開始聚焦到應用刷榜、商業競爭到如今的程式設計師背鍋,甚至有人猜測兩家公司將要合併,卻沒有人來真正關心事件的源頭:如果看準網將員工的帳號安全做好,會有這些事嗎?
網絡安全問題被無視,恰恰是問題出現的關鍵。在如今黑客橫行,數據洩露頻發的今天,大家抱以看熱鬧的態度卻不警醒自己,那麼下一個員工帳號被黑的很可能是自己。因此拉勾網在呼籲企業之間正當競爭的同時,也更應該提醒企業警惕做好自身防範。即使此次不是拉勾網的員工盜走帳號,依然會有其他的黑客這麼做,只是早晚的區別。
| 員工帳號安全,企業該怎麼做?
對於員工帳號安全,帳號安全公司Secken創始人吳洪聲給出了如下建議:
目前國內企業的帳號安全意識仍有待提高,大部分企業都仍停留在亡羊補牢的情況,甚至發生安全事故依然無動於衷。企業可以採取措施或部署洋蔥令牌等產品來改善帳號安全現狀,但最終決定權依然在於企業領導,企業高層的安全意識才是關鍵因素。
無論如何,對於此次事件,有一點是可以確定的,看準網的帳號安全出現了問題,需要採取措施,企業需要引以為戒。人們進行了各種各樣的猜想,輿論的風向也幾次發生轉變,但與其跟風進行毫無根據推測,為什麼不能把它當做一次普通的帳號安全事故?這個被忽略的問題,才是最應該直面的。