不过,“淘宝网”官方微博昨日13时23分声明,淘宝未发现受Struts命令执行漏洞影响,淘宝网已于当天第一时间对该漏洞进行修复,并确认此漏洞没有被成功利用。截至目前,用户的数据安全和账户数据未见异常。
该微博的背景信息要从7月17日说起,一名叫Finger的用户在网站安全漏洞发布平台乌云网发布“淘宝网某分站Struts命令执行漏洞”,将漏洞危害等级标为“高”。18日,淘宝确认该漏洞存在,回应危害等级为“中”。
Struts2是国际上应用最广泛的Web应用框架之一,许多银行、政府、互联网公司等都使用Struts2构建网站,所以这个漏洞影响面非常广。
阿里巴巴集团高级安全专家云舒在接受采访时曾表示,阿里巴巴主要使用自己开发的webx框架,少量地方使用struts,“阿里对安全的研究属于业内领先水平,struts的同类漏洞我们很早就知道,也跟官方做过沟通,并给出了通用解决方案。因此,这个漏洞对阿里的影响不大,更谈不上数据被拖库。”
安全宝的抽样统计显示,超过80%的网站存在Struts2漏洞。乌云平台上确认的数据显示,17日以来,已有淘宝、国家电网、浦发银行信用卡服务中心、中国银行某分行网站等百余个得到确认的漏洞信息。
不过,一位不愿透露姓名的互联网安全业内人士分析称,乌云网上的漏洞报告,只能说明该网站有被拖库的风险,但即使被拖库,也不等于用户密码泄露,顶多是个人信息泄露,CSDN密码泄露事件是因为历史库是明文保存密码。
微信一个月内多次故障
无论是腾讯被挖断了光缆还是淘宝网可能存在的数据库漏洞,都让不少网民抓狂。在iTunes社交类免费软件排行榜上,微信下载量一度排名第一。这个注册用户突破3亿的通讯类软件,此前还引发了三大通讯运营商是否对其收费的争议。
实际上,上个月,微信曾经连续发生故障:6月24日早上,部分用户登录公众平台时发生故障,页面显示为“服务器暂时不可用”;6月22日下午,有不少网友反映微信公众平台后台无法实现跳转;6月20日,网友称腾讯旗下产品QQ空间、微信公众平台等服务页面大面积瘫痪。
此外,腾讯微信官方新浪微博“腾讯微信团队”称,4月10日19时25分,由于机房(IDC)一台交换机出现硬件故障,导致部分微信用户约10分钟发送消息失败。
