《模拟人生》《极品飞车》《战地》《FIFA》,应该都是大家耳熟能详的游戏。出品这些游戏的美国艺电公司(EA),在全球范围内有超过4.5亿注册玩家。就是这么一家知名公司,前段时间发生了数据泄漏事件。与以往不同,这次数据泄露事件被盗的不是用户的数据,而是EA的源代码。黑客一开始以2800万美元的价格寻找买家未果,随后用这些数据勒索EA,然而EA也无动于衷。黑客一直等待到7月26日,最后在一个地下网络犯罪论坛曝光了这些数据。事件追溯到6月10日,有黑客在黑客论坛发帖声称他们拥有EA数据并愿以2800万美元的价格出售。黑客是如何获取到这些数据的呢?据悉,他们先是从暗网市场购买了EA内部Slack频道的认证cookie,然后利用获取的cookie模仿EA员工账号进入Slack频道,通过诱骗EA的IT支持员工进入公司的内部网络,进而从EA的内部代码库下载了超过780G的源代码和工具。
起初,黑客们以为能通过这种行为大赚一笔。但没想到,当他们兜售这些数据的时候,并没有”顾客“上门。他们这才意识到,对其他网络犯罪组织来说,源代码远不及用户个人数据有利用价值。黑客并不死心,7月14日,他们公布了1.3G的《FIFA》源代码,试图勒索EA,如果EA不想数据泄露的话需要支付给他们一笔未公开的金额。对于黑客的威胁,EA方无动于衷。EA的一位发言人在接受The Record采访时表示他们正在调查此事,发现只有数量有限的源代码和相关工具被盗,没有访问到任何玩家的数据,玩家的隐私不存在风险。并表示他们在事件发生后已经改进了安全性,预计不会对游戏或者业务产生任何影响。
代码安全问题不仅需要类似EA这种大型企业加强重视,在网络安全日益成为国家重点关注话题的环境下,源代码安全意味着系统和网络安全,同时也能减少因系统漏洞造成网络攻击。保障源代码安全可以从以下几点着手:- 在编写程序过程中,检查代码中是否存在逻辑及语义缺陷,静态代码检测可以帮助开发人员有效查找;
- 在引入开源代码时,及时检查开源代码中是否存在漏洞,常见有效的工具如SCA等;
- 结合动态应用程序测试,在检查是否有易受攻击的漏洞时,及时返回原代码中检查是否存在代码缺陷;
- 加强开发人员安全意识,网络安全应该随时体现在系统开发的整个过程中,时时警惕系统安全问题,做好安全防御才能尽可能减少遭受网络袭击的几率。
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458389440&idx=2&sn=dab1bdb83e0c80a24fb29266203f85f0&chksm=b18f3b4a86f8b25c04f6f8d252da0f36b1345c99dd075dab87a636a7286e2f5af356f1df4a0e#rd
如有侵权请联系:admin#unsafe.sh