左耳听风
陈皓
网名“左耳朵耗子”,资深技术专家,骨灰级程序员
立即订阅
40357 人已学习
课程目录
已完结 108 讲
0/6登录后,你可以任选6讲全文学习。
开篇词 | 洞悉技术的本质,享受科技的乐趣
免费
01 | 程序员如何用技术变现(上)
02 | 程序员如何用技术变现(下)
03 | Equifax信息泄露始末
04 | 从Equifax信息泄露看数据安全
05 | 何为技术领导力?
06 | 如何才能拥有技术领导力?
07 | 推荐阅读:每个程序员都该知道的知识
08 | Go语言,Docker和新技术
09 | 答疑解惑:渴望、热情和选择
10 | 如何成为一个大家愿意追随的Leader?
11 | 程序中的错误处理:错误返回码和异常捕捉
12 | 程序中的错误处理:异步编程以及我的最佳实践
13 | 魔数 0x5f3759df
14 | 推荐阅读:机器学习101
15 | 时间管理:同扭曲时间的事儿抗争
16 | 时间管理:如何利用好自己的时间?
17 | 故障处理最佳实践:应对故障
18 | 故障处理最佳实践:故障改进
19 | 答疑解惑:我们应该能够识别的表象和本质
20 | Git协同工作流,你该怎么选?
21 | 分布式系统架构的冰与火
22 | 从亚马逊的实践,谈分布式系统的难点
23 | 分布式系统的技术栈
24 | 分布式系统关键技术:全栈监控
25 | 分布式系统关键技术:服务调度
26 | 分布式系统关键技术:流量与数据调度
27 | 洞悉PaaS平台的本质
28 | 推荐阅读:分布式系统架构经典资料
29 | 推荐阅读:分布式数据调度相关论文
30 | 编程范式游记(1)- 起源
31 | 编程范式游记(2)- 泛型编程
32 | 编程范式游记(3) - 类型系统和泛型的本质
33 | 编程范式游记(4)- 函数式编程
34 | 编程范式游记(5)- 修饰器模式
35 | 编程范式游记(6)- 面向对象编程
36 | 编程范式游记(7)- 基于原型的编程范式
37 | 编程范式游记(8)- Go 语言的委托模式
38 | 编程范式游记(9)- 编程的本质
39 | 编程范式游记(10)- 逻辑编程范式
40 | 编程范式游记(11)- 程序世界里的编程范式
41 | 弹力设计篇之“认识故障和弹力设计”
42 | 弹力设计篇之“隔离设计”
43 | 弹力设计篇之“异步通讯设计”
44 | 弹力设计篇之“幂等性设计”
45 | 弹力设计篇之“服务的状态”
46 | 弹力设计篇之“补偿事务”
47 | 弹力设计篇之“重试设计”
48 | 弹力设计篇之“熔断设计”
49 | 弹力设计篇之“限流设计”
50 | 弹力设计篇之“降级设计”
51 | 弹力设计篇之“弹力设计总结”
52 | 管理设计篇之“分布式锁”
53 | 管理设计篇之“配置中心”
54 | 管理设计篇之“边车模式”
55 | 管理设计篇之“服务网格”
56 | 管理设计篇之“网关模式”
57 | 管理设计篇之“部署升级策略”
58 | 性能设计篇之“缓存”
59 | 性能设计篇之“异步处理”
60 | 性能设计篇之“数据库扩展”
61 | 性能设计篇之“秒杀”
62 | 性能设计篇之“边缘计算”
63 | 区块链技术的本质
64 | 区块链技术细节:哈希算法
65 | 区块链技术细节:加密和挖矿
66 | 区块链技术细节:去中心化的共识机制
67 | 区块链技术细节:智能合约
68 | 区块链技术 - 传统金融和虚拟货币
69 | 程序员练级攻略:开篇词
70 | 程序员练级攻略:零基础启蒙
71 | 程序员练级攻略:正式入门
72 | 程序员练级攻略:程序员修养
73 | 程序员练级攻略:编程语言
74 | 程序员练级攻略:理论学科
75 | 程序员练级攻略:系统知识
76 | 程序员练级攻略:软件设计
77 | 程序员练级攻略:Linux系统、内存和网络
78 | 程序员练级攻略:异步I/O模型和Lock-Free编程
79 | 程序员练级攻略:Java底层知识
80 | 程序员练级攻略:数据库
81 | 程序员练级攻略:分布式架构入门
82 | 程序员练级攻略:分布式架构经典图书和论文
83 | 程序员练级攻略:分布式架构工程设计
84 | 程序员练级攻略:微服务
85 | 程序员练级攻略:容器化和自动化运维
86 | 程序员练级攻略:机器学习和人工智能
87 | 程序员练级攻略:前端基础和底层原理
88 | 程序员练级攻略:前端性能优化和框架
89 | 程序员练级攻略:UI/UX设计
90 | 程序员练级攻略:技术资源集散地
91 | 程序员面试攻略:面试前的准备
92 | 程序员面试攻略:面试中的技巧
93 | 程序员面试攻略:面试风格
94 | 程序员面试攻略:实力才是王中王
95 | 高效学习:端正学习态度
96 | 高效学习:源头、原理和知识地图
97 | 高效学习:深度,归纳和坚持实践
98 | 高效学习:如何学习和阅读代码
99 | 高效学习:面对枯燥和量大的知识
左耳听风
登录|注册

03 | Equifax信息泄露始末

陈皓,郭蕾,杨爽 2017-10-10
相信你一定有所耳闻,9 月份美国知名征信公司 Equifax 出现了大规模数据泄露事件,致使 1.43 亿美国用户及大量的英国和加拿大用户受到影响。今天,我就来跟你聊聊 Equifax 信息泄露始末,并对造成本次事件的原因进行简单的分析。

Equifax 信息泄露始末

Equifax 日前确认,黑客利用了其系统中未修复的 Apache Struts 漏洞(CVE-2017-5638,2017 年 3 月 6 日曝光)来发起攻击,导致了最近这次影响恶劣的大规模数据泄露事件。
作为美国三大信用报告公司中历史最悠久的一家,Equifax 的主营业务是为客户提供美国、加拿大和其他多个国家的公民信用信息。保险公司就是其服务的主要客户之一,涉及生命、汽车、火灾、医疗保险等多个方面。
此外,Equifax 还提供入职背景调查、保险理赔调查,以及针对企业的信用调查等服务。由于 Equifax 掌握了多个国家公民的信用档案,包括公民的学前、学校经历、婚姻、工作、健康、政治参与等大量隐私信息,所以这次的信息泄露,影响面积很大,而且性质特别恶劣。
受这次信息泄露影响的美国消费者有 1.43 亿左右,另估计约有 4400 万的英国客户和大量加拿大客户受到影响。事件导致 Equifax 市值瞬间蒸发掉逾 30 亿美元。
根据《华尔街日报》(The Wall Street Journal)的观察,自 Equifax 在 9 月 8 日披露黑客进入该公司部分系统以来,全美联邦法院接到的诉讼已经超过百起。针对此次事件,Equifax 首席执行官理查德·史密斯(Richard Smith)表示,公司正在对整体安全操作进行全面彻底的审查。
事件发生之初,Equifax 在声明中指出,黑客是利用了某个“U.S. website application”中的漏洞获取文件。后经调查,黑客是利用了 Apache Struts 的 CVE-2017-5638 漏洞。
取消
完成
0/1000字
划线
笔记
复制
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
该试读文章来自付费专栏《左耳听风》,如需阅读全部文章,
请订阅文章所属专栏。
立即订阅
登录 后留言

精选留言(45)

  • 廖雪峰
    struts的开发就是弱者,类似eval()的东西默认就敢开
    2017-10-26
    140
  • yunfeng
    #Equifax信息泄露始末笔记
    1.使用开源的框架必须实时关注其动态,特别是安全漏洞方面
    2.任何公开的入口,都必须进行严格的安全检查
    3.框架的选型十分重要,必须将安全考察进去
    2018-06-01
    51
  • 李志博
    Struts 漏洞那么多,最好的办法就是赶快切换spring mvc
    2017-10-20
    32
  • Panda
    换spring-boot😈
    2018-04-25
    10
  • 艾尔欧唯伊
    很好奇,这些大牛是怎么注意到这些安全漏洞的。。。
    2018-08-31
    8
  • AlphaZero
    哎,我的信息也在其中…
    2017-10-17
    8
  • javaadu
    使用开源框架,千万要注意其BUG和安全性,去年我们发现fastjson有个安全问题,整个公司在一个星期内都紧急检查和升级。现在github做得很好的一点是,会对我们的代码进行安全扫描,发现有包含安全性问题的版本的代码的时候,会给出升级提醒,在大一点的公司里也可以自己做这种安全扫描和提醒。
    2018-11-17
    1
    7
  • 月伴寒江
    struts漏洞实在太多,补都补不赢,之前的项目后来都换成了Spring MVC。对于一些安全意识不高的企业,确实没什么人关注这些。
    2018-06-14
    5
  • 渡鹤影
    今天网传12306信息也泄露了……
    2018-06-13
    4
  • iDev_周晶
    没想到 Struts2 现在还有那么大的份额
    2018-03-10
    4
  • yaoel
    有时项目因为赶进度,会决定先上线再加强安全问题!但经常就直接搁置了...虽然当时省了一些力,却可能(一定)在n年会付出惨痛的代价!所以安全问题不容忽视
    2017-10-22
    4
  • 风起
    作为一个新员工,终于明白公司为什么有一个团队专门坐开源组建扫描评级, 还有为啥有代码安全扫描。
    2018-06-11
    3
  • wholly
    使用开源软件,一方面需要及时关注开源社区发布的安全预警及版本迭代时的changelog,另一方面,如果使用过程发现问题,及时向开源反馈,做到使用开源,回馈开源。
    2019-08-09
    2
  • Dylan
    吸取教训了~安全意识不管是大公司或者像我现在自己创业的项目,对于安全总是想得很侥幸,但是一旦爆发出来可能就对公司产生致命影响了
    2018-01-07
    2
  • javaadu
    安全意识为零,再多的漏洞也补不过来
    2018-11-12
    1
  • Hesher
    Spring MVC 借机上位
    2018-04-26
    1
  • missa
    安全意识,在开发,部署的过程中应该一直有。
    2018-03-13
    1
  • woody
    struts漏洞的确多,爆出漏洞的频率挺好的,每次都会造成挺大的影响。还是早日替换掉好。
    2018-03-09
    1
  • Neil
    安全无小事,除了 Struts 的锅,Equifax 在安全上的意识也太薄弱了……
    2018-02-06
    1
  • 山哥
    国内现在用struts2已经不多了吧。。
    2019-12-05
收起评论
45
返回
顶部