拉勾和boss直聘的郵箱風波：盜一個賬號，究竟有多簡單？

| 事件分析

3月31日，拉勾網CEO許單單發微博公開致歉，承認其公司某員工自發使用黑客手段盜取其競爭對手看準網員工的工作郵箱和蘋果商店賬號，并將其產品“BOSS直聘”下架，公司表示完全不知情，然后表態呼吁良性競爭，不要彼此惡性攻擊。

（圖為Boss直聘在聲明里貼出的蘋果官方的賬號異常郵件通知）

拉勾的致歉信一出，許多網友就紛紛對“公司不知情”表示質疑，理由很簡單：如果一個程序員在沒有公司不知情，沒有任何激勵和授權的情況下，冒著法律風險自發作出如此行為，那么這個程序員對公司是多么的忠誠和熱愛，然而工作卻又如此不飽和，有閑工夫去當黑客，這顯然不符合常理。引入黑客來打擊對手的事情常有發生，所以必定是公司蓄謀的攻擊行為。

然而轉念一想，拉勾網真的會走這一步臭棋嗎？

首先，許多人認為黑客行蹤詭異，很難被發現，但事實并不是如此。大部分黑客入侵行為，只要有關部門要抓，都是能找到痕跡的，能夠做到無跡可尋的黑客是鳳毛麟角。

在看準網的產品被下線時，競爭雙方正就應用刷榜一事火拼。拉勾網官方真的會在這個時間節點下手嗎？一旦下手，對方首先就會懷疑到自己，而事實也正是如此，看準網剛發布聲明，輿論就立刻將矛頭指向拉勾網，雙方開始陷入公關撕扯，拉勾網顯然不會輕易做如此引火燒身之事，這是第一點。

致歉信中提到“該員工在騰訊企業后臺、蘋果APP開發者后臺做出了一些不恰當的舉動”試想，如果是拉勾網蓄謀，并且成功黑進對方管理員郵箱，選擇潛伏起來，不斷獲取競爭對手的工作溝通消息，豈不是收益更大? 一個拿到對方家門鑰匙，是會選擇潛伏起來，在恰當時機進行一番洗劫，還是直接闖入家門大鬧一番然后被發現，相信理智的都會選擇前者。如果是公司蓄謀行為，權衡利弊也不會如此魯莽。

我一向不喜歡陰謀論，但如果真的是員工自發的行為，那么有一種可能：盜號輕而易舉。會不會有可能拉勾網的員工自己閑來無事研究些黑客技術，結果輕易一試就盜走了看準網員工賬號呢？

| 盜一個賬號，到底多簡單？

企業員工賬號被盜這件事到底有多常見，文字一言難盡，但如果直接進入烏云網、漏洞盒子、補天等漏洞平臺，就能立刻親身體會到員工賬號被盜是多么稀松平常的事，涉及員工賬號、弱口令等關鍵詞的漏洞每天不斷上演。

（截取自烏云漏洞平臺）

通過烏云網公布的以往出現過的企業郵箱盜號事件案例，可以基本還原通過簡單手段輕松獲取對方賬號的過程。大家可以自行感受，即使是不懂技術的人，如何僅用最基本的搜索操作，就能進入別人的企業郵箱賬號。

第一步：找到企業郵箱地址

截取自烏云漏洞平臺

第二步：然后將賬號輸入到某社工庫中搜索，立即獲得了兩個用戶賬號密碼，隨即成功登錄對方的企業郵箱賬號。

這里科普一下社工庫的概念——

社工庫就是黑客將以往泄露出來的數據匯總到一起供人們隨意查詢和使用的數據庫。

截取自烏云漏洞平臺

怎么樣？是不是比你想像中還簡單？這僅僅是盜號最簡單的方法，其他手法更是層出不窮，但大部分也并不需要太高的技術要求，一個暴力破解腳本，搭配常用的弱密碼字典，就能讓賬號手到擒來。 

| 蒼蠅從不釘無縫的蛋

但無論如何，賬號被輕易盜用的前提依然是人們不安全的賬號使用習慣，要么是使用了弱口令導致被輕易猜測或暴力破解，要么則是在多處使用同一個賬號密碼，導致一處被盜，全部遭殃。

對于看準網員工賬號被盜一事，所有人的目光從一開始聚焦到應用刷榜、商業競爭到如今的程序員背鍋，甚至有人猜測兩家公司將要合并，卻沒有人來真正關心事件的源頭：如果看準網將員工的賬號安全做好，會有這些事嗎？

網絡安全問題被無視，恰恰是問題出現的關鍵。在如今黑客橫行，數據泄露頻發的今天，大家抱以看熱鬧的態度卻不警醒自己，那么下一個員工賬號被黑的很可能是自己。因此拉勾網在呼吁企業之間正當競爭的同時，也更應該提醒企業警惕做好自身防范。即使此次不是拉勾網的員工盜走賬號，依然會有其他的黑客這么做，只是早晚的區別。

| 員工賬號安全，企業該怎么做？

對于員工賬號安全，賬號安全公司Secken創始人吳洪聲給出了如下建議：

• 嘗試使用生物識別等其他因素來替代賬號密碼，可以杜絕員工使用簡單賬號密碼、共用賬號權限、賬號私自交接等情況的發生，有效保證賬戶安全。

• 建立統一的權限管理系統，盡可能將企業的各個系統應該整合在一起，在一個平臺上集中控制和管理企業內部的賬號權限，避免由于權限分散導致的管理混亂。

• 離職員工撤銷不及時不徹底是很常見的現象，因此加強人資部門和IT部門的溝通，員工離職后第一時間核對賬號權限并撤銷，防止“藕斷絲連”情況的發生，“換工作就得換密碼”。

目前國內企業的賬號安全意識仍有待提高，大部分企業都仍停留在亡羊補牢的情況，甚至發生安全事故依然無動于衷。企業可以采取措施或部署洋蔥令牌等產品來改善賬號安全現狀，但最終決定權依然在于企業領導，企業高層的安全意識才是關鍵因素。

無論如何，對于此次事件，有一點是可以確定的，看準網的賬號安全出現了問題，需要采取措施，企業需要引以為戒。人們進行了各種各樣的猜想，輿論的風向也幾次發生轉變，但與其跟風進行毫無根據推測，為什么不能把它當做一次普通的賬號安全事故？這個被忽略的問題，才是最應該直面的。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。