从 Facebook ATO 漏洞到众多区块链安全事件,这些均表明,建立起防范于未然的安全检测体系,关乎一切科技公司的存亡。
作者:Victor Fang,Ph.D.,区块链安全公司 AnChain.ai 创始人
几天前开始,整个硅谷的计算机安全圈子的同行们都在讨论一件爆炸性新闻:Facebook 的 5000~8000 万账户存在「View As」 access token 漏洞。
该漏洞对于 Facebook 这个世界最大社交网络用户隐私数据的影响是毁灭性的。这个漏洞会导致账户接管(account takeover,ATO)攻击,也就是用户私人秘钥泄漏,让黑客能够在未授权情况下访问用户的隐私数据。
虽然 Facebook 官方公布的信息对细节讳莫如深,我个人觉得这种漏洞极有可能是内部 Web 开发流程管理不慎导致,区别于 2014 年雅虎的 heartbleed 开源 OpenSSL 漏洞。
账户接管攻击其实是一个比较古老的话题, 一般银行这种金融机构是重灾区。五年前我曾负责一个美国金融客户的反欺诈侦察(Fraud Detection)算法研发, 利用机器学习自动检测交易中的 ATO 漏洞, 为客户挽回了数百万美元的 ATO 攻击。
关于 ATO 安全问题,推荐大家看一篇 2017 年 12 月份的福布斯文章:
方博士是硅谷上市网络安全公司 FireEye 史上第一位首席数据科学家,身后是 FireEye face of AI
具体信息可以查阅官方版公告:
https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html
中文版翻译: 揭秘朝鲜黑客组织APT37 近期活动
事件二: 史上第一个 Blockchain APT 区块链高级持续威胁——黑客军团
2018 年 8 月, AnChain.ai团队和合作伙伴安比实验室,从若干个智能合约游戏的海量区块链交易数据, 检测到史上第一个 Blockchain APT 区块链高级持续威胁——黑客军团。该团伙短短几天盗取了千万元的以太坊虚拟货币, 成功变现离场。
具体信息可以参阅该报道:
https://www.chainnews.com/articles/523983561023.htm
总结
Facebook 的企业文化 DNA 是「Move fast and break things」的黑客精神。
这种黑客文化对于早期初创公司来说可能是好事, 而对于掌握了 22 亿用户隐私数据的大公司, 和广大用户, 是巨大的灾难。
一个数据驱动的技术公司,如何树立起全体员工重视安全的文化? 如何对用户隐私数据负责?如何建立起防范于未然的安全检测体系?
对于所有科技公司,必须认真思索思考这些问题。因为,无论是传统互联网公司,或者新兴的区块链加密货币公司, 这些都是关乎存亡,需要严肃面对的问题。
网友评论