日前��,國內(nèi)最大的程序員社區(qū)CSDN網(wǎng)站的用戶數(shù)據(jù)庫被黑客公開發(fā)布�����,600萬用戶的登錄名及密碼被公開泄露�,隨后又有多家網(wǎng)站的用戶密碼被流傳于網(wǎng)絡(luò),知名中文社區(qū)天涯網(wǎng)的4000萬用戶的登錄名及密碼也被公開泄露���,連日來引發(fā)眾多網(wǎng)民對自己賬號����、密碼等互聯(lián)網(wǎng)信息被盜取的普遍擔(dān)憂���。(12月25日《新華網(wǎng)》)
中國互聯(lián)網(wǎng)史上最大的泄密事件仍在進一步擴大���,自上周CSDN��、人人網(wǎng)�����、貓撲等網(wǎng)站被曝用戶密碼外流后����,近期天涯��、新浪微博也難以獨善其身���。目前���,在天涯近4000萬用戶賬號密碼被掛到網(wǎng)上公然下載的情況下,天涯社區(qū)已向用戶發(fā)致歉信�,新浪微博也開始強制要求用戶更改密碼。(12月27日 《新民晚報》)
今年注定是互聯(lián)網(wǎng)安全領(lǐng)域重要的一年�����,網(wǎng)絡(luò)安全這個原本技術(shù)領(lǐng)域的小眾話題一下子躍入大眾的視野���,天涯和CSDN的泄密事件引發(fā)了大眾對于泄露用戶隱私事件的關(guān)注���,而后各大網(wǎng)站的泄密數(shù)據(jù)庫也紛紛在網(wǎng)絡(luò)上傳播�,搞的業(yè)界雞飛狗跳����,用戶忙著四處修改密碼,網(wǎng)站忙著加強密保措施����,而從這次泄密事件中也可以看出中國網(wǎng)絡(luò)安全現(xiàn)狀存憂��。
泄密規(guī)模巨大
此次事件是中國互聯(lián)網(wǎng)至今為止最大規(guī)模的一次用戶資料泄露事件����,泄密用戶數(shù)量高達(dá)五千萬,除此之外���,預(yù)計還有許多已被盜取但尚未被公開傳播的泄密用戶信息�。
今年以來����,在全球范圍內(nèi)發(fā)生過多起泄密事件,今年4月索尼游戲主機網(wǎng)絡(luò)平臺遭黑客入侵���,全球7700萬用戶的個人資料被竊取�,包含姓名、住址���、生日�����、登錄名和密碼�、信用卡號等��。這一黑客攻擊事件導(dǎo)致索尼被迫關(guān)閉了該服務(wù)�,索尼5月份表示,攻擊導(dǎo)致其損失了1.7億美元��。
而已經(jīng)實行網(wǎng)絡(luò)實名制的韓國也發(fā)生過類似泄露事件��,今年7月底�,韓國多個知名門戶網(wǎng)站遭黑客攻擊,約3500萬名用戶的個人信息外泄�����,之后,韓國行政安全部稱��,出于保護網(wǎng)絡(luò)用戶個人信息安全考慮����,政府?dāng)M分階段逐步取消網(wǎng)絡(luò)實名。
泄密的主要原因
這次“泄密門”���,是我國信息安全形勢堪憂的一次集中寫照����。很多互聯(lián)網(wǎng)企業(yè)���,信息安全投入比例很低,對于網(wǎng)絡(luò)安全沒有足夠的意識��,只有少數(shù)大型網(wǎng)站以及網(wǎng)銀支付網(wǎng)站采用較為安全的加密認(rèn)證技術(shù)���,而一些中小型網(wǎng)站以及部分大型網(wǎng)站都缺少防范意識����。
對用戶密碼進行加密存儲�,應(yīng)該是商業(yè)網(wǎng)站的運營常識,像天涯和CSDN這樣業(yè)界出名的大網(wǎng)站���,竟然長期以明文方式保存用戶密碼�����,可見這些商業(yè)網(wǎng)站的安全意識是多么的淡薄�����,如果當(dāng)初這些網(wǎng)站采用加密的方式保存密碼�����,那么黑客也不可能如此輕而易舉地獲取到如此龐大的用戶信息��。
因為商業(yè)網(wǎng)站的安全意識淡薄���,使得黑客竊取網(wǎng)站數(shù)據(jù)庫(刷庫)成為最近幾年非常流行的攻擊方式�����,黑客刷庫的危害已經(jīng)遠(yuǎn)遠(yuǎn)超過了盜號木馬��。此次的大規(guī)模泄密�����,就是因為黑客入侵了各個目標(biāo)網(wǎng)站����,刷庫獲取了網(wǎng)民的賬號密碼數(shù)據(jù)。
不過幸運的是�����,這次用戶的個人隱私數(shù)據(jù)以及財務(wù)支付等信息并沒有直接泄露�����。但是�,由于許多網(wǎng)民為了方便,對于郵箱��、微博����、游戲�、網(wǎng)上支付、購物等賬號設(shè)置了相同的密碼�����,一旦密碼被泄露,很有可能導(dǎo)致網(wǎng)上支付等其他重要賬號一并失竊���,從而遭到更大程度的泄密以及財產(chǎn)損失�。
泄密的法律探討
為什么這么多大公司都采取明文保存密碼���?相關(guān)信息安全法律不健全是一個重要原因���,對那些因為“泄密門”而遭受損失的網(wǎng)民來說,很難去追究互聯(lián)網(wǎng)公司����,這種狀況,與一些國外企業(yè)相比��,具有相當(dāng)大的差距��。
例如早先的索尼用戶個人資料泄密事件中�����,索尼承諾為所有泄密的美國用戶提供一項價值100萬美元的身份盜用保險��,用于防止被竊取用戶信用卡和個人信息被濫用而造成損失。而中國用戶提交的個人信息難以得到有效的保護���,發(fā)生泄密事件后��,個人權(quán)益無法得到保證�,也沒有明確的用戶賠償機制��。所以�����,那些互聯(lián)網(wǎng)企業(yè)也不愿意花費大量資金投入網(wǎng)絡(luò)安全領(lǐng)域���,從而給黑客留下了可乘之機�。
泄密的影響和危害
這次事件中�,天涯和CSDN等網(wǎng)站其實也是一個受害者,由于其疏于網(wǎng)站安全管理����,缺乏安全意識,這次也嘗到了惡果����,其聲譽遭到嚴(yán)重打擊,網(wǎng)站的權(quán)威性會受到質(zhì)疑����,網(wǎng)站形象受到負(fù)面影響,在網(wǎng)民中的口碑下降�����。
各大網(wǎng)站通過這次泄密門���,已經(jīng)充分感受到了網(wǎng)絡(luò)安全和數(shù)據(jù)安全的重要性���,因此將會投入不少精力到網(wǎng)站安全上,不過由于安全領(lǐng)域的專業(yè)性�����,將網(wǎng)站安全外包給專業(yè)的安全公司可能會是一個成本較低的選擇�����,這也會給專門做網(wǎng)絡(luò)安全的公司帶來不少機會���。
用戶通過這次泄密事件�����,會更加重視對自己個人信息保護��,在互聯(lián)網(wǎng)上注冊信息時盡量不要留下過多個人真實信息��,而對于目前正在推行的微博實名制�����,在目前愈演愈烈的泄密門影響下�����,眾多網(wǎng)友都開始擔(dān)心自己的真實身份資料可能會面臨同樣泄露的可能�����,而天涯這樣的大型社區(qū)也出現(xiàn)泄密情況���,這說明網(wǎng)友們的擔(dān)憂并非空穴來風(fēng)�。即便微博實名制開始實施����,也存在盜用他人的身份證號碼進行注冊的可能���,可見目前中國實行實名制時機并不太成熟���。
亡羊補牢�、為時未晚
既然泄密事件已經(jīng)發(fā)生��,恐慌是沒用的��,用戶修改密碼只是“治標(biāo)”��,如何建立健全信息安全制度保障����、營造互聯(lián)網(wǎng)健康環(huán)境才是“治本”。
一方面�����,太原飛揚動力工作室建議網(wǎng)友對于注冊網(wǎng)絡(luò)服務(wù)�,應(yīng)該采取密碼分級管理,郵箱����、網(wǎng)上支付��、聊天賬號等重要賬號要單獨設(shè)置密碼�;論壇等普通網(wǎng)站使用其他的密碼�����;網(wǎng)上銀行密碼不要和取款密碼相同�����,也不和其他網(wǎng)站密碼相同���。支付寶要安裝數(shù)字證書���,網(wǎng)銀則要申請USB KEY。
另一方面�����,網(wǎng)站要加大信息安全方面的投入�����,進行大規(guī)模的安全檢查,切實保護好網(wǎng)友的個人信息�����,再也不要發(fā)生“明文保存密碼”這樣的低級錯誤����。
在監(jiān)管方面���,國家在網(wǎng)絡(luò)安全方面的立法相對還較為滯后��,對于個人隱私保護和泄密的法律有待完善��,監(jiān)管部門的技術(shù)落伍�,難以對黑客這種盜取網(wǎng)站數(shù)據(jù)的行為進行威懾����,因此迫切需要加快信息安全等方面的立法工作,提高信息安全監(jiān)管部門的技術(shù)能力�����,加大對于黑客攻擊行為的打擊力度�����。對于那些疏于安全保護的商業(yè)網(wǎng)站,如果今后再次發(fā)生用戶信息泄密事件�,應(yīng)該通過完善相關(guān)法律,追究網(wǎng)站的瀆職之責(zé)���。
133 1343 5212