12月26日�,電子商務網(wǎng)站淘寶網(wǎng)���、京東商城和美團網(wǎng)也被爆受到影響?��!盎ヂ?lián)網(wǎng)泄密門”已開始波及電子商務、團購網(wǎng)站��。隨著各大網(wǎng)站相繼被“攻破”����,一場互聯(lián)網(wǎng)年末恐慌如多米諾骨牌般迅速傳導。
“改密碼改到手軟�����。”
在中關村上班的趙星不幸地成為了CSDN用戶泄密門的受害者�����,而他在人人網(wǎng)���、網(wǎng)易郵箱���、新浪微博����、天涯社區(qū)……幾乎所有常用的網(wǎng)站用的都是同樣的ID和密碼�����,“密碼設成一樣就是想少點麻煩�,現(xiàn)在卻成了最大的麻煩。”
趙星只是上千萬受害者中的一個���,從2011年12月21日國內(nèi)最大的程序員網(wǎng)站CSDN用戶數(shù)據(jù)泄露后����,天涯社區(qū)��、開心網(wǎng)�����、多玩網(wǎng)��、百合網(wǎng)、新浪微博等十幾家網(wǎng)站先后卷入其中�,曬在網(wǎng)上的用戶信息條數(shù)已過億,成為中國互聯(lián)網(wǎng)史上最大規(guī)模的用戶信息泄露事件�。而通過“泄密門”折射出的,則是整個中國互聯(lián)網(wǎng)企業(yè)自身安全的脆弱和對用戶數(shù)據(jù)安全保護的輕視�。
“泄密門”持續(xù)蔓延
12月25日,天涯社區(qū)被爆4000萬用戶的賬號密碼郵箱遭泄露��。隨后����,天涯社區(qū)發(fā)布聲明,承認網(wǎng)站信息被盜��,但強調此次被盜的是2009年之前的備份數(shù)據(jù)��,2010年之后���,天涯升級改造了用戶賬號管理功能。據(jù)悉�,天涯社區(qū)目前已就該事件向海南省公安廳和海口市公安局報警��。
與此同時���,作為中國最大的社交網(wǎng)絡平臺之一���,“新浪微博”上“密碼被泄”話題受持續(xù)關注���,相關微博逾千萬條。眾多網(wǎng)友或為賬號安全擔憂�,或調侃天書似的“安全密碼”時不禁發(fā)問:互聯(lián)網(wǎng)安全這是怎么了?
對此,新浪方面在聲明中表示��,新浪微博用戶賬號信息采用加密存儲�����,并未泄露�����,至于網(wǎng)上傳聞��,經(jīng)核實后�,確認該份數(shù)據(jù)絕大部分不是新浪微博賬號。但新浪微博相關負責人提醒�����,目前可供用戶使用的互聯(lián)網(wǎng)服務很多����,基本都通過用戶郵箱注冊����。用戶可能在不同的網(wǎng)站注冊時,經(jīng)常會設置相同的密碼����。這就導致一旦一個網(wǎng)站的密碼被盜,就可能導致多個網(wǎng)站的賬號都被盜����。“近期發(fā)現(xiàn)的微博賬號被盜現(xiàn)象,很多都是這個原因導致�。”
12月26日,電子商務網(wǎng)站淘寶網(wǎng)��、京東商城和美團網(wǎng)也被爆受到影響��。“互聯(lián)網(wǎng)泄密門”已開始波及電子商務��、團購網(wǎng)站�。隨著各大網(wǎng)站相繼被“攻破”���,一場互聯(lián)網(wǎng)年末恐慌如多米諾骨牌般迅速傳導��。
在此次泄密事件中�����,很少有用戶能逃過一劫�,尤其是老網(wǎng)民。面對網(wǎng)民們洶涌的查詢“熱情”�����,不少外泄密碼查詢網(wǎng)站也以調侃的方式奉勸用戶放棄僥幸心理�,直接修改密碼。
明文密碼并非“禍首”
幾百萬��、上千萬的用戶賬號和密碼����,究竟是如何從網(wǎng)站“流出”的?
已承認用戶數(shù)據(jù)被盜的CSDN和天涯社區(qū)在對外說明中,除將矛頭指向攻擊網(wǎng)站的黑客外���,都同時提及了“明文密碼”��。CSDN和天涯社區(qū)在聲明中稱���,因網(wǎng)站早期使用過明文密碼��,所以導致用戶信息被盜�。
“明文密碼就是不加密的密碼�����。”360網(wǎng)絡安全專家石曉虹說����,最不安全的數(shù)據(jù)保存方式就是直接存儲明文,一旦數(shù)據(jù)庫泄露�����,黑客就可直接掌握所有的賬號和密碼信息�,肆無忌憚地盜取用戶權益。這次“泄密門”之所以會涉及如此眾多用戶資料��,密碼直接存儲明文只是誘因之一�����,更根本的原因是部分網(wǎng)站對于用戶賬號“重吸引輕保護”的態(tài)度�。
隨著中國互聯(lián)網(wǎng)近年來快速發(fā)展,爭奪用戶成為每家網(wǎng)站迅速“長大”的重點�����。在風投資金的催化作用下���,巨大的用戶量是網(wǎng)站吸引更多風投的資本�。因此����,網(wǎng)站紛紛簡化注冊過程,以擴充注冊用戶數(shù)為第一要務��。但與吸引用戶時的“揮金如土”不同�����,很多網(wǎng)站在用戶數(shù)據(jù)安全保護上的投入?yún)s是“錙銖必較”�����。
“小偷能偷到東西����,不是因為我們把錢包放在了桌子上����,而是因為家里的防盜門沒鎖�。”一位業(yè)內(nèi)人士的話一針見血地指出,“泄密門”并不是因為用戶密碼的保存方式�����,而是因為網(wǎng)站在信息安全保護上“偷工減料”�。
“只有在國內(nèi)排行前100的網(wǎng)站,才有專門的安全團隊�����,剩下的網(wǎng)站幾乎都是"不設防"�。”這位人士透露,互聯(lián)網(wǎng)公司建立自己的安全運維團隊資金投入量很大��,比如大型B2C購物網(wǎng)站每年的安全投入可達千萬元級別����,普通網(wǎng)站要想免于黑客攻擊每年也要付出幾十萬元的成本。但是目前��,許多小公司的安全投入最多幾十萬元,有的只有幾萬元�,甚至有的互聯(lián)網(wǎng)公司連基本的公司防火墻都沒有設置��,黑客進出自由����。
一些互聯(lián)網(wǎng)企業(yè)不重視用戶數(shù)據(jù),是覺得安全對一個企業(yè)來說是要“花錢但不產(chǎn)生收入”的事情��,即使用戶數(shù)據(jù)被盜��,對企業(yè)來說也損失不大�����。因此����,在安全防范方面投入非常少,即使在出事之后也不重視���,而是想辦法遮掩���。[nextpage]
千萬用戶數(shù)據(jù)能賣幾百萬元
與網(wǎng)站對于用戶信息安全保護的冷漠態(tài)度相比,活躍于互聯(lián)網(wǎng)各個角落的黑客對用戶數(shù)據(jù)庫卻很有“熱情”。
一位黑客“圈里人”告訴記者����,目前黑客行業(yè)最賺錢的營生主要有三種,分別是安放木馬�����、設置釣魚網(wǎng)站和盜取數(shù)據(jù)庫信息�,相比于前兩項生意,市場上對于數(shù)據(jù)庫信息的需求更多��。
黑客從網(wǎng)站盜取用戶信息庫后�,會把這些用戶信息倒賣、分銷給黑公關或釣魚集團�����。前者利用這些用戶信息打擊競爭對手或發(fā)放垃圾廣告;后者則利用這些信息傳送木馬���、病毒或發(fā)布詐騙信息��,甚至直接在網(wǎng)上支付平臺自動批量發(fā)起交易���,如果恰好試探出用戶泄露的密碼和網(wǎng)上支付密碼相同���,支付賬戶中的余額就可能被黑客全部盜取。
“最多的時候���,千萬級的用戶數(shù)據(jù)庫能賣幾百萬元。”這位黑客表示�,從盜取到分銷再到獲利,“圈里”都有專人服務和特定的規(guī)則����,早已成為“一條龍”產(chǎn)業(yè)。
同時��,他還爆料�����,地方上一些小的團購網(wǎng)站手里也收集了大量用戶資料�,隨著這些團購網(wǎng)站紛紛倒閉,這些用戶數(shù)據(jù)也成了“孤兒數(shù)據(jù)”�,被放在網(wǎng)上公開叫賣。更要命的是�����,這些數(shù)據(jù)往往還都直接關聯(lián)著用戶的網(wǎng)銀賬戶和交易信息。
專家:立法治理用戶數(shù)據(jù)監(jiān)管缺位
面對還在持續(xù)發(fā)酵的“泄密門”�,網(wǎng)友們正忙于修改自己的賬號密碼,而陷入其中的CSDN���、天涯等網(wǎng)站卻在道了一聲歉后就此緘默�。不少網(wǎng)友表示���,數(shù)據(jù)是從網(wǎng)站泄露�,網(wǎng)站應承擔責任�,并進行一定的賠償,但又苦于拿不出相關證據(jù)和法律條文作支撐���。
“目前法律對于普通用戶的信息安全保護還是一片空白����。”社科院信息化研究所秘書長�����、互聯(lián)網(wǎng)專家姜奇平表示�����,除了國家相關機構有保密法外,對于企業(yè)的用戶數(shù)據(jù)保護并沒有相應的法律規(guī)定��,甚至都沒有一套成形的行業(yè)準則�����,各家網(wǎng)站都是各自為政��。在沒有一個權威第三方的監(jiān)管之下�,用戶數(shù)據(jù)安全目前處在一個“沒人管”的困局�,因而這次“泄密門”中的受害用戶維權困難很大。
姜奇平認為���,“泄密門”事件凸顯出個人信息時代法規(guī)的缺失����。2005年時��,立法部門就曾推動過個人信息保護法的立法進程�����,但一直未能正式出臺����。此次“泄密門”給業(yè)界�����、網(wǎng)民和監(jiān)管部門都提了個醒�����,讓大家認識到個人信息安全保護的重要性����。他建議政府盡快立法�����,從權利保護�����、責任認定����、責任追究和法律保障上對個人信息予以保護,將個人���、網(wǎng)站和監(jiān)管機構所應承擔的責任�、義務厘清。
除此以外���,姜奇平還建議以經(jīng)濟手段來打擊黑客���,徹底掐斷地下的用戶信息買賣黑市渠道。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺�。如使用任何字體和圖片文字有冒犯其版權所有方的,皆為無意�����。如您是字體廠商�����、圖片文字廠商等版權方����,且不允許本站使用您的字體和圖片文字等素材��,請聯(lián)系我們��,本站核實后將立即刪除!任何版權方從未通知聯(lián)系本站管理者停止使用�����,并索要賠償或上訴法院的��,均視為新型網(wǎng)絡碰瓷及敲詐勒索��,將不予任何的法律和經(jīng)濟賠償�����!敬請諒解��!
粵公網(wǎng)安備 44030402000264號