日前,國內(nèi)最大的程序員社區(qū)CSDN網(wǎng)站的用戶數(shù)據(jù)庫被黑客公開發(fā)布,600萬用戶的登錄名及密碼被公開泄露,隨后又有多家網(wǎng)站的用戶密碼被流傳于網(wǎng)絡,知名中文社區(qū)天涯網(wǎng)的4000萬用戶的登錄名及密碼也被公開泄露,連日來引發(fā)眾多網(wǎng)民對自己賬號、密碼等互聯(lián)網(wǎng)信息被盜取的普遍擔憂。(12月25日《新華網(wǎng)》)
中國互聯(lián)網(wǎng)史上最大的泄密事件仍在進一步擴大,自上周CSDN、人人網(wǎng)、貓撲等網(wǎng)站被曝用戶密碼外流后,近期天涯、新浪微博也難以獨善其身。目前,在天涯近4000萬用戶賬號密碼被掛到網(wǎng)上公然下載的情況下,天涯社區(qū)已向用戶發(fā)致歉信,新浪微博也開始強制要求用戶更改密碼。(12月27日 《新民晚報》)
今年注定是互聯(lián)網(wǎng)安全領域重要的一年,網(wǎng)絡安全這個原本技術領域的小眾話題一下子躍入大眾的視野,天涯和CSDN的泄密事件引發(fā)了大眾對于泄露用戶隱私事件的關注,而后各大網(wǎng)站的泄密數(shù)據(jù)庫也紛紛在網(wǎng)絡上傳播,搞的業(yè)界雞飛狗跳,用戶忙著四處修改密碼,網(wǎng)站忙著加強密保措施,而從這次泄密事件中也可以看出中國網(wǎng)絡安全現(xiàn)狀存憂。
泄密規(guī)模巨大
此次事件是中國互聯(lián)網(wǎng)至今為止最大規(guī)模的一次用戶資料泄露事件,泄密用戶數(shù)量高達五千萬,除此之外,預計還有許多已被盜取但尚未被公開傳播的泄密用戶信息。
今年以來,在全球范圍內(nèi)發(fā)生過多起泄密事件,今年4月索尼游戲主機網(wǎng)絡平臺遭黑客入侵,全球7700萬用戶的個人資料被竊取,包含姓名、住址、生日、登錄名和密碼、信用卡號等。這一黑客攻擊事件導致索尼被迫關閉了該服務,索尼5月份表示,攻擊導致其損失了1.7億美元。
而已經(jīng)實行網(wǎng)絡實名制的韓國也發(fā)生過類似泄露事件,今年7月底,韓國多個知名門戶網(wǎng)站遭黑客攻擊,約3500萬名用戶的個人信息外泄,之后,韓國行政安全部稱,出于保護網(wǎng)絡用戶個人信息安全考慮,政府擬分階段逐步取消網(wǎng)絡實名。
泄密的主要原因
這次“泄密門”,是我國信息安全形勢堪憂的一次集中寫照。很多互聯(lián)網(wǎng)企業(yè),信息安全投入比例很低,對于網(wǎng)絡安全沒有足夠的意識,只有少數(shù)大型網(wǎng)站以及網(wǎng)銀支付網(wǎng)站采用較為安全的加密認證技術,而一些中小型網(wǎng)站以及部分大型網(wǎng)站都缺少防范意識。
對用戶密碼進行加密存儲,應該是商業(yè)網(wǎng)站的運營常識,像天涯和CSDN這樣業(yè)界出名的大網(wǎng)站,竟然長期以明文方式保存用戶密碼,可見這些商業(yè)網(wǎng)站的安全意識是多么的淡薄,如果當初這些網(wǎng)站采用加密的方式保存密碼,那么黑客也不可能如此輕而易舉地獲取到如此龐大的用戶信息。
因為商業(yè)網(wǎng)站的安全意識淡薄,使得黑客竊取網(wǎng)站數(shù)據(jù)庫(刷庫)成為最近幾年非常流行的攻擊方式,黑客刷庫的危害已經(jīng)遠遠超過了盜號木馬。此次的大規(guī)模泄密,就是因為黑客入侵了各個目標網(wǎng)站,刷庫獲取了網(wǎng)民的賬號密碼數(shù)據(jù)。
不過幸運的是,這次用戶的個人隱私數(shù)據(jù)以及財務支付等信息并沒有直接泄露。但是,由于許多網(wǎng)民為了方便,對于郵箱、微博、游戲、網(wǎng)上支付、購物等賬號設置了相同的密碼,一旦密碼被泄露,很有可能導致網(wǎng)上支付等其他重要賬號一并失竊,從而遭到更大程度的泄密以及財產(chǎn)損失。
泄密的法律探討
為什么這么多大公司都采取明文保存密碼?相關信息安全法律不健全是一個重要原因,對那些因為“泄密門”而遭受損失的網(wǎng)民來說,很難去追究互聯(lián)網(wǎng)公司,這種狀況,與一些國外企業(yè)相比,具有相當大的差距。
例如早先的索尼用戶個人資料泄密事件中,索尼承諾為所有泄密的美國用戶提供一項價值100萬美元的身份盜用保險,用于防止被竊取用戶信用卡和個人信息被濫用而造成損失。而中國用戶提交的個人信息難以得到有效的保護,發(fā)生泄密事件后,個人權益無法得到保證,也沒有明確的用戶賠償機制。所以,那些互聯(lián)網(wǎng)企業(yè)也不愿意花費大量資金投入網(wǎng)絡安全領域,從而給黑客留下了可乘之機。
泄密的影響和危害
這次事件中,天涯和CSDN等網(wǎng)站其實也是一個受害者,由于其疏于網(wǎng)站安全管理,缺乏安全意識,這次也嘗到了惡果,其聲譽遭到嚴重打擊,網(wǎng)站的權威性會受到質(zhì)疑,網(wǎng)站形象受到負面影響,在網(wǎng)民中的口碑下降。
各大網(wǎng)站通過這次泄密門,已經(jīng)充分感受到了網(wǎng)絡安全和數(shù)據(jù)安全的重要性,因此將會投入不少精力到網(wǎng)站安全上,不過由于安全領域的專業(yè)性,將網(wǎng)站安全外包給專業(yè)的安全公司可能會是一個成本較低的選擇,這也會給專門做網(wǎng)絡安全的公司帶來不少機會。
用戶通過這次泄密事件,會更加重視對自己個人信息保護,在互聯(lián)網(wǎng)上注冊信息時盡量不要留下過多個人真實信息,而對于目前正在推行的微博實名制,在目前愈演愈烈的泄密門影響下,眾多網(wǎng)友都開始擔心自己的真實身份資料可能會面臨同樣泄露的可能,而天涯這樣的大型社區(qū)也出現(xiàn)泄密情況,這說明網(wǎng)友們的擔憂并非空穴來風。即便微博實名制開始實施,也存在盜用他人的身份證號碼進行注冊的可能,可見目前中國實行實名制時機并不太成熟。
亡羊補牢、為時未晚
既然泄密事件已經(jīng)發(fā)生,恐慌是沒用的,用戶修改密碼只是“治標”,如何建立健全信息安全制度保障、營造互聯(lián)網(wǎng)健康環(huán)境才是“治本”。
一方面,太原飛揚動力工作室建議網(wǎng)友對于注冊網(wǎng)絡服務,應該采取密碼分級管理,郵箱、網(wǎng)上支付、聊天賬號等重要賬號要單獨設置密碼;論壇等普通網(wǎng)站使用其他的密碼;網(wǎng)上銀行密碼不要和取款密碼相同,也不和其他網(wǎng)站密碼相同。支付寶要安裝數(shù)字證書,網(wǎng)銀則要申請USB KEY。
另一方面,網(wǎng)站要加大信息安全方面的投入,進行大規(guī)模的安全檢查,切實保護好網(wǎng)友的個人信息,再也不要發(fā)生“明文保存密碼”這樣的低級錯誤。
在監(jiān)管方面,國家在網(wǎng)絡安全方面的立法相對還較為滯后,對于個人隱私保護和泄密的法律有待完善,監(jiān)管部門的技術落伍,難以對黑客這種盜取網(wǎng)站數(shù)據(jù)的行為進行威懾,因此迫切需要加快信息安全等方面的立法工作,提高信息安全監(jiān)管部門的技術能力,加大對于黑客攻擊行為的打擊力度。對于那些疏于安全保護的商業(yè)網(wǎng)站,如果今后再次發(fā)生用戶信息泄密事件,應該通過完善相關法律,追究網(wǎng)站的瀆職之責。