从滴滴打车内网漫游漏洞看企业内网管理

公司上网行为管理，就用洞察眼MIT局域监控软件：免费下载试用

在漏洞修复前，外人并不清楚漏洞细节。仅从漏洞描述可见严重程度：可登录任意司机&乘客账号、查看所有订单、大量内部系统、所有源代码。从漏洞信息未看到拖库之类的风险，不过，对黑客来说，写个查询输出数据的脚本似乎没难度。

对于专车公司而言，最具技术含量的是基于海量数据的大数据分析，可以从任意司机、乘客的行车路线分析其家庭住址、工作单位、日常行为（电影院、咖啡厅还是旅馆、夜店），间接分析客户层级、收入，这些用户信息极具商业价值。还可以统计司机收入，看看滴滴司机每天的业务量真的是多少，外界报道的数据有没有水分，这对投资人和行业分析是最有价值的信息。交管局分析参考这些数据，是否可以缓解城市拥堵。

对了，VC们会聘用黑客参与市场调查吗？如果黑客出手得到真实数据，象某APP作弊弄一套假数据骗投资人的事会下降不少。

像滴滴这样的独角兽公司，源代码一定倍受业界垂青：拿来改造成其他O2O应用是不是挺简单。还可分析这家公司除了公众熟知的打车应用，是不是还有其他秘密项目，滴滴的用户规模到底有多大，野心有多大。Uber会对这些数据感兴趣吗？

总之，数据越有价值，漏洞风险就越大。

漫游内网是怎么实现的？

公开的资料目前还不会披露技术细节，必须得等相关厂商修复漏洞之后，我们可以猜一猜路人甲是怎么实现的。

推测黑客先入侵内网某一台电脑或某个ID的权限(企业分配给员工的VPN帐号，拿到这个基本就能漫游了，如果碰巧帐号的级别挺高，那就更痛快了)，再实现内网漫游，逐步得到最有价值的订单信息和源代码。对一个超大型企业来讲，内网的安全短板往往是那些基本不怎么懂安全的员工。普通员工可轻易掉进黑客陷阱：聊天时点击一个链接，可能遭遇XSS攻击而泄露帐号密码。邮件查看一个文档，遭遇漏洞攻击，被安装病毒木马；还有广泛存在的弱密码使用问题。

很多人使用Web邮箱和云服务，个人云空间中保存了较多企业文档。邮箱密码又不幸出现在黑客的数据库中，大量商业秘密就此泄露。这些信息都有助于黑客在内网中漫游。当黑客控制了内网某台PC，就可继续使用黑客工具渗透，分析网络结构，找到关键节点。再利用系统漏洞和社工欺骗，尝试入侵下一个关键节点，直到自由访问整个网络，随意下载关键数据和源代码。并不是所有程序员都关注数据安全，几乎所有人都会轻易相信来自内部的访问请求。

大量企业内网管理相当宽松，其安全措施可能还比不上一般的网吧：网吧还知道用系统还原卡一键恢复系统，网吧安装的软件也会在重启电脑后还原。而在很多公司，员工的电脑可以随意安装软件，存在隐患的PC接入网络也不会有任何警报。手机和平板可随意接入公司网络，大量员工手机安装有WiFi密码分享工具，这些工具大大方便了黑客入侵。

云服务也基本上没怎么管，个人数据、公司数据，随意存储。普通员工还非常容易被欺骗：某位同学QQ被盗了，现在小偷正登录这个QQ和财务人员聊天，财务同学会把关键资料发过去吗？在越来越多的人习惯使用Web邮箱而不是OUTLOOK的时候，日常工作文件基本上全存在邮箱里，一旦邮箱权限被黑客拿到，所有历史信息就会被黑客翻个底儿朝天。你有启用邮箱双重验证吗？可能很多企业邮箱连异常登录提醒都没有。

内网安全制度和员工培训

与国内企业相比，外资企业的网络管理更加严格：直接部署域安全策略控制每一台终端机的行为，想自己装个软件，不允许，你只是电脑的操作员，而没有管理员权限。当黑客入侵后只是得到普通操作员权限时，黑客必须使用能提升权限的漏洞做进一步的攻击，网管集中部署的漏洞修补系统会大大降低这种攻击的成功率。用最低的权限实现必要的计算，这是网络安全的基本原则。

一些更敏感的部门，比如数据中心、运营中心、财务部、人事部，这些系统需要更严格的身份验证，一些文档被加密，想看到内容必须先获得密钥。密码被系统强制定期更新并要求足够复杂。私人手机、平台接入公司网络，因设备ID不在允许名单中，只能访问公共WiFi热点，该热点不能访问任何敏感资源。

网管和员工都对企业网络安全负有重要责任，如果你所在的公司上网几乎不受限制，系统安全全靠个人习惯和安全常识而不是具体的制度规范来约束。这样的企业网络被黑客入侵只是时间问题，数据泄露也只是时间问题。