售前咨询
技术支持
渠道合作

电商巨头陷漏洞风波,网购平台成网络安全重灾区

经过一个愉悦的周末修整后,又一场电商大战双十二年终大购物准备开始。然而当各位网购达人准备剁手的时候,电商巨头京东交易平台却被暴出一件大冷门事件——疑似京东12个G数据遭泄露并在黑市上流通,数据涉及用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度信息,达数千万条数据。对此,京东方面回应称,该数据源于此前2013年Struts 2的安全漏洞。

什么是Struts?

Struts是Apache基金会的一个开源项目,广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。2013年,Struts曾存在2个高危漏洞,这些漏洞可让黑客直接通过浏览器获取服务器的“最高权限”,进行任意操作并获取敏感内容,从而使企业服务器变成黑客手中的“肉鸡”。据媒体报道,当时国内几乎所有互联网企业,以及大量国内银行和政府机构都出现了不同程度的信息泄露。

SSL服务器证书,HTTPS

但Apache在发现一处安全漏洞之后并没有像行业通行的发出漏洞警告,而是非常轻率和儿戏地放出了该漏洞的源代码,才导致将信息安全的软肋暴露给全球的黑客,成为网络信息黑产业的帮凶,京东不过是公开的受害者之一。可见,仍有大量的未公开的网络平台仍存在Struts 2安全漏洞,人们难免对信息安全产生忧虑:以后参与网购,电商平台能保隐私安全吗?

为此,GDCA就用户如何提高网络安全意识提出以下观点:

  • 提高用户的安全意识和使用习惯

不少用户还会认为,信息安全应该由网络警察来管,与自己无关,但事实上,用户的安全意识和使用习惯,对于信息安全也具有非常大的影响。很多用户在不同的网站都用一样的账号名和密码,其中一个被攻破,其它所有的账号难逃撞库攻击的风险;有些用户为了图省事好记,用自己或家人的生日做密码,而生日之类的数据信息现在获取成本和难度都非常低,这也给不法分子提供了巨大的便利。

  • 学会辨别更高级更安全网站

近年来,随着科学技术发展,SSL证书的加密应用越来越广泛,促使HTTPS加密的网址比HTTP未加密的网址更加安全。近期苹果iOS强制开启ATS标准、Chrome浏览器将把非HTTPS网站标记为不安全,各大浏览器们纷纷对HTTP页面亮出红牌、英美政府要求所有政府网站完成全站HTTPS部署等事件可见,越来越多企业或政府加入HTTPS加密的网页阵型。

 SSL服务器证书,HTTPS

  • 如何识别HTTPS是否有加密

是否所有的HTTPS都是安全加密的网页,答案是否定的。只有部署了SSL证书,才是安全加密的网站。用户如何辨别HTTPS网页是否部署了SSL证书,下面以部署了GDCA的恒信 EV SSL证书为例:

当用户访问已部署恒信 EV SSL证书的网站时,可通过新一代安全浏览器(如:IE7/IE8、火狐3等)的标志快速识别网站的真实性和可靠性

标志一:浏览器绿色地址栏
标志二:访问地址从“http”变成“https”
标志三:安全锁标志和轮流显示该网站的单位名称及该证书的颁发机构(数安时代科技股份有限公司)

 SSL服务器证书,HTTPS

 

SSL服务器证书,HTTPS

GDCA早已通过WebTrust EV的国际认证,是全球可信任的证书签发机构。其签发的SSL证书,是国际认证的安全加密证书之一。GDCA专业技术团队根据用户具体情况为其提供最优的产品选择建议,针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。

上一篇:

下一篇:

相关新闻

 

领取优惠
免费预约

申请试用SSL证书

提交成功!

咨询客服