功能
- 功能简介
- 更多系统
173-3346-7065
173-3346-7065
在漏洞修复前,外人并不清楚漏洞细节。仅从漏洞描述可见严重程度:可登录任意司机&乘客账号、查看所有订单、大量内部系统、所有源代码。从漏洞信息未看到拖库之类的风险,不过,对黑客来说,写个查询输出数据的脚本似乎没难度。
对于专车公司而言,最具技术含量的是基于海量数据的大数据分析,可以从任意司机、乘客的行车路线分析其家庭住址、工作单位、日常行为(电影院、咖啡厅还是旅馆、夜店),间接分析客户层级、收入,这些用户信息极具商业价值。还可以统计司机收入,看看滴滴司机每天的业务量真的是多少,外界报道的数据有没有水分,这对投资人和行业分析是最有价值的信息。交管局分析参考这些数据,是否可以缓解城市拥堵。
对了,VC们会聘用黑客参与市场调查吗?如果黑客出手得到真实数据,象某APP作弊弄一套假数据骗投资人的事会下降不少。
像滴滴这样的独角兽公司,源代码一定倍受业界垂青:拿来改造成其他O2O应用是不是挺简单。还可分析这家公司除了公众熟知的打车应用,是不是还有其他秘密项目,滴滴的用户规模到底有多大,野心有多大。Uber会对这些数据感兴趣吗?
总之,数据越有价值,漏洞风险就越大。
漫游内网是怎么实现的?
公开的资料目前还不会披露技术细节,必须得等相关厂商修复漏洞之后,我们可以猜一猜路人甲是怎么实现的。
推测黑客先入侵内网某一台电脑或某个ID的权限(企业分配给员工的VPN帐号,拿到这个基本就能漫游了,如果碰巧帐号的级别挺高,那就更痛快了),再实现内网漫游,逐步得到最有价值的订单信息和源代码。对一个超大型企业来讲,内网的安全短板往往是那些基本不怎么懂安全的员工。普通员工可轻易掉进黑客陷阱:聊天时点击一个链接,可能遭遇XSS攻击而泄露帐号密码。邮件查看一个文档,遭遇漏洞攻击,被安装病毒木马;还有广泛存在的弱密码使用问题。
很多人使用Web邮箱和云服务,个人云空间中保存了较多企业文档。邮箱密码又不幸出现在黑客的数据库中,大量商业秘密就此泄露。这些信息都有助于黑客在内网中漫游。当黑客控制了内网某台PC,就可继续使用黑客工具渗透,分析网络结构,找到关键节点。再利用系统漏洞和社工欺骗,尝试入侵下一个关键节点,直到自由访问整个网络,随意下载关键数据和源代码。并不是所有程序员都关注数据安全,几乎所有人都会轻易相信来自内部的访问请求。
大量企业内网管理相当宽松,其安全措施可能还比不上一般的网吧:网吧还知道用系统还原卡一键恢复系统,网吧安装的软件也会在重启电脑后还原。而在很多公司,员工的电脑可以随意安装软件,存在隐患的PC接入网络也不会有任何警报。手机和平板可随意接入公司网络,大量员工手机安装有WiFi密码分享工具,这些工具大大方便了黑客入侵。
云服务也基本上没怎么管,个人数据、公司数据,随意存储。普通员工还非常容易被欺骗:某位同学QQ被盗了,现在小偷正登录这个QQ和财务人员聊天,财务同学会把关键资料发过去吗?在越来越多的人习惯使用Web邮箱而不是OUTLOOK的时候,日常工作文件基本上全存在邮箱里,一旦邮箱权限被黑客拿到,所有历史信息就会被黑客翻个底儿朝天。你有启用邮箱双重验证吗?可能很多企业邮箱连异常登录提醒都没有。
内网安全制度和员工培训
与国内企业相比,外资企业的网络管理更加严格:直接部署域安全策略控制每一台终端机的行为,想自己装个软件,不允许,你只是电脑的操作员,而没有管理员权限。当黑客入侵后只是得到普通操作员权限时,黑客必须使用能提升权限的漏洞做进一步的攻击,网管集中部署的漏洞修补系统会大大降低这种攻击的成功率。用最低的权限实现必要的计算,这是网络安全的基本原则。
一些更敏感的部门,比如数据中心、运营中心、财务部、人事部,这些系统需要更严格的身份验证,一些文档被加密,想看到内容必须先获得密钥。密码被系统强制定期更新并要求足够复杂。私人手机、平台接入公司网络,因设备ID不在允许名单中,只能访问公共WiFi热点,该热点不能访问任何敏感资源。
网管和员工都对企业网络安全负有重要责任,如果你所在的公司上网几乎不受限制,系统安全全靠个人习惯和安全常识而不是具体的制度规范来约束。这样的企业网络被黑客入侵只是时间问题,数据泄露也只是时间问题。
当青岛*测控技术有限公司遇上安企神,测控技术数据安全将迎来哪些新变化?
海*测控技术有限公司是海*微电子有限公司100%控股子公司,是由青岛市政府、山东省政府及行业领军企业共同出资成立的第三方检测平台。旨在集成电路可靠性验证及测试分析领域打造国内一流集成电路检测、分析、设计开发及技术解决方案等集成电路产业共性技术服务平台。海*以海洋装备和高端设备集成电路可靠性验证和测试分析为特色,主要为海...
"聚势谋远:重庆*医药集团与安企神达成战略合作,探索医药+科技融合发展新路径!
重庆*医药集团有限公司成立于2017年8月,是在重庆市*区医药(集团)有限责任公司基础上组建成立的大型医药产业企业。是重庆*经济技术开发(集团)有限公司控股的混合所有制企业和市级重点项目三峡国际健康产业园投资单位,位列全国百强医药流通企业。公司下辖重庆*制药有限公司、*医药科技重庆有限公司、重庆*肿瘤医院等十余家子公司...
聚焦核心数据安全:山东卫禾*股份有限公司携手安企神软件构建防泄密屏障!
项目背景山东卫禾*股份有限公司于2015年注册成立,公司拥有总资产1.5亿元,公司具有齿轮检测中心、三坐标测量仪、全谱直读光谱仪等关键研发设备。运用UGNX7.5、MASTA5.4等研发软件进行研发,具有强大的技术研发能力,拥有31项专利,坚持产学研结合,设有山东卫禾*技术研究院,并不断加强研发平台建设,打造创新型企业...
安全+智造双升级!江阴*电子有限公司携手安企神开启企业防护新时代!
江阴*电子有限公司成立于1989年,是一家电子元器件集成设计和生产服务的领先供应商。产品应用包括数据采集、计算机外围设备和其他电子产品。还进入了汽车电子行业、航空航天行业、工业控制行业、医疗器械行业和消费电子行业,为客户提供更广泛的高附加值产品和服务。随着科技产业的快速发展和市场需求的增加,现已成功转型为一家提供完整解...
福建*医药公司联手安企神软件,成功落地应用程序、网站黑名单设置与USB管控方案!
项目背景福建*医药有限公司前身是福建*工贸责任有限公司,2015年重组后成为中国五百强企业——*医药集团的子公司。 系中国最大的民营医药集团,是在中国医药商业行业处于领先地位的上市公司。公司成立于2015年08月04日,经营范围包括中药饮片、中成药、化学原料药、化学药制剂等。应用需求管控公司电脑安装程序和使用程序,禁...
