在一年前,我们发表文章盘点了2020年的软件质量事故《2020年,给你敲响警钟的十大软件质量事故》,其中总结的关键词是:疫情、美国大选、金融、航空、互联网服务。那么2021年软件质量事故的关键词是哪些呢。也许可以用这些来概括:用户信息、移动应用、违法违规、数字化基础设施。有些事故是由于系统故障引起的,也有些事故是服务提供者有意为之的违法操作。这说明,在万物互联以及数字化时代的今天,我们作为数字和系统的缔造者,在享受便利、智能的同时,也会遭受由此带来的负面影响,例如用户数据泄漏,用户权益受到侵害。
Log4j2爆出十年来最严重安全漏洞
2021年12月9日,知名日志框架Log4j2被爆出远程代码执行漏洞,差不多是近十年来最严重的、影响面非常大的安全漏洞。
Apache Log4j2是一款开源的基础框架,用于Java日志记录,大量的中间件采用了Log4j2作为日志记录工具,例如Apach Struts2、Apach Flink、Apache Druid、Kafaka、Elasticsearch等。在现代数字化基础设施建设中,日志系统的重要性不言而喻,Log4j2作为基础设施被大量企业用在业务系统的架构中。
事件回顾:2021年11 月 24 日,阿里云团队发现了Log4j2上的这个安全漏洞,并创建了 CVE 编号(CVE-2021-44228)。漏洞触发非常简单,无需特殊配置,攻击者即可通过构造恶意请求在目标服务器上执行任意代码,进而导致服务器被黑客控制,从而进行页面篡改、数据窃取、挖矿、勒索等行为。Log4j 官方于12月6日发布了一个RC(Release Candidate)版本,尝试修复这个漏洞,但是有人在 RC 版本中发现了这个漏洞,因而被披露出来,随后被发现和披露多个相关漏洞。
漏洞公开至今一个多月的时间里,黑白双方都在加班加点:Log4j2团队陆续发布多个补丁来修复漏洞,然而一直也存在补丁绕过的情况;企业系统修复升级也不是一两天就能搞定的事情,受影响的企业系统越复杂,升级系统并进行测试所需的时间就越长;黑客组织在此期间不断利用该漏洞发起攻击,升级攻击技术,绕过官方补丁。2021年12月20日,攻击者利用该漏洞成功攻击了比利时国防部的网络系统,使其陷入瘫痪状态,邮件系统宕机数日。同时,位于俄罗斯的Conti成为首个将Log4j2武器化的勒索团伙,已拥有完整的攻击链。
关于该系列漏洞的最新消息:2022年1月18日,官方发布公告披露了3个新的漏洞并发布修复版本。
Facebook史上最严重的服务中断
美国东部时间2021年10月4日,Facebook的多个社交服务在美国、英国在内的多个国家发生了中断故障。Facebook旗下四大社交产品,包括Facebook平台、移动聊天服务Messenger、WhatsApp,以及图片社交服务Instagram。这次宕机事故持续了长达7个小时,是Facebook历史上最严重的一次宕机事故。
关于故障原因,来自Facebook官方的声明显示:调度数据中心之间流量的骨干网路由器配置变化造成了这次通讯中断。这种网络流量中断对数据中心的通信产生了连锁效应,最终导致我们服务宕机。具体来说,调度数据中心之间网络流量的骨干路由器配置更改导致了边界网关协议撤销了Facebook自治域AS32934下包含Facebook域名服务器IP的IP地址块,抹去了Facebook需要的DNS路由信息,紧接着DNS服务器离线,用户无法解析Facebook和相关域名并访问服务。有报道说,事件发生时,Facebook有能力修复故障的工作人员的门卡都失效了,因此无法进入工作区及时处理和修复故障。
在2019年Facebook 合并旗下所有服务并实现集中化,使公司可以统一了解用户的互联网使用习惯。但是,这也使得本次单点故障影响了整个Facebook服务体系。
亚马逊休假系统错误导致严重HR问题
2021年10月,根据纽约时报(New York Times)发表的一篇文章,亚马逊内部员工请假系统非常混乱,在长达一年多的时间里,员工休假信息发生错误,导致大量员工的薪资计算出现错误,可能影响到亚马逊物流中心179个仓库的员工。有的员工明明已经被批准休假,但休假期间系统记录为员工旷工而遭解雇;休产假的女性员工看到自己的薪水莫名其妙地减少了。故障原因是由于亚马逊的休假管理系统是由来自不同供应商的多款软件拼凑而成。事件发生后,亚马逊试图用人工方式进行补救,让67名员工人工输入员工的休假数据。由于工作强度太大,很多人不得不通过休假来逃避这项工作。亚马逊目前员工已经超过了130万,很难相信这个事故发生在最佳雇主、并且是世界上首屈一指的云计算服务公司。
法国LCL银行的客户可以看到彼此账户
2021年2月23日,法国LCL银行的客户像往常一样登录自己的银行应用程序,但是奇怪的事情发生了:他们看到的是别人的银行账户信息。这个消息在推特上迅速传播开来,许多人猜测这可能是网络攻击的结果。但根据银行自己的说法,这实际上是一个软件错误的结果,在一天之内就被纠正了。虽然该银行表示,在故障期间客户只能看到其他客户的账户,但不能转账,但是有人指出,能够通过查看账户中的交易信息而识别出客户身份。故障发生时,可能数以万计的客户正在登录银行的应用程序。
京都大学超算系统重要数据被误删
日本京都大学发布公报称,2021 年 12 月 14 日 17 时 32 分至 2021 年 12 月 16 日 12 时 43 分,由于备份超级计算机系统(日本惠普公司制造)的程序存在缺陷,超级计算机系统出现了意外,其中存储(/ LARGE0)中的某些数据被误删除。
京都大学表示,该错误使得 /LARGE0 目录下的约 77TB 文件被误删,约 3400 万个文件丢失。据了解,日本惠普公司在备份程序的功能修复中,由于程序的粗心修改及其应用程序的问题,在删除旧的日志文件时,误删除了 /LARGE0 目录下的文件。备份过程目前已停止,预计 1 月底恢复备份。不过,在备份之前消失的文件已经无法恢复了,今后将保留增量备份等功能,还将改进操作管理,以防止再次发生。
日本惠普公司表示,对此次事件负全部责任,并承诺进行赔偿和善后。不知日本惠普公司如何赔偿?用户数据有时是无价之宝,我们也承认,在商业社会,一切都可以折算成money,但不会是一个小数据,日本惠普公司可能会赔上过去多年的利润。
随着移动互联网的普及和移动应用的大量使用,尤其是疫情以来,我们每个人的生活轨迹都离不开手机App,目前在架的APP数量达到了数百万。因此,手机App的使用已经成为个人信息违规收集和使用的重灾区。
“滴滴出行”因违规收集个人信息遭下架
2021年7月2日,网信中国发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》。公告称,将对“滴滴出行”实施网络安全审查,审查期间“滴滴出行”停止新用户注册。
2021年7月4日,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App。
多个App因侵害用户权益遭工信部通报
2021年工信部累计开展了12批次技术抽检,通报了1549款违规APP,下架了514款拒不整改的APP。被通报名单中,不乏像腾讯新闻、货拉拉、滴滴出行这样被广泛使用的App。
节选自2021年11月工信部通报的违规App
这些App涉及的违规问题包括:
违规收集和使用个人信息。这类App大量存在,问题所占比重最大,用户轻则每天接到大量广告及骚扰电话,重则由于个人微信、支付宝、银行卡等信息泄漏而造成财务损失。此外,中央电视台还曝光过App偷听隐私语音发出后录音还在继续,证实了当程序置于前台运行时,偷听是可以实现的。此外经过对比实验,发现在测试程序退至后台或在手机锁屏时,录音依然可持续一段时间。
涉嫌强制、频繁、过度索取用户权限。App明明没有必要获取某些用户信息,却强制用户提供,否则无法使用。例如,用户不绑定或验证手机根本无法进入App。
欺骗误导强迫用户。例如,具有分发功能的App欺骗诱导用户下载非用户所自愿下载的其它App,一些App设置了低俗、软色情等弹窗来诱导用户。
2021年11月1日,《中华人民共和国个人信息保护法》正式实施,将自然人姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等全面纳入保护范围,为信息处理者的合规工作提供了明确的方向性指导。法律明确规定了不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出了规制。2022年个人信息侵权或将现最高五千万罚单。相信对互联网处理个人信息的合规管理会日趋严格和规范,对于广大用户来说无疑是件好事。
参考: