日前�����,國內(nèi)最大的程序員社區(qū)CSDN網(wǎng)站的用戶數(shù)據(jù)庫被黑客公開發(fā)布,600萬用戶的登錄名及密碼被公開泄露��,隨后又有多家網(wǎng)站的用戶密碼被流傳于網(wǎng)絡���,知名中文社區(qū)天涯網(wǎng)的4000萬用戶的登錄名及密碼也被公開泄露����,連日來引發(fā)眾多網(wǎng)民對自己賬號�����、密碼等互聯(lián)網(wǎng)信息被盜取的普遍擔憂����。(12月25日《新華網(wǎng)》)
中國互聯(lián)網(wǎng)史上最大的泄密事件仍在進一步擴大,自上周CSDN�����、人人網(wǎng)���、貓撲等網(wǎng)站被曝用戶密碼外流后��,近期天涯��、新浪微博也難以獨善其身�。目前��,在天涯近4000萬用戶賬號密碼被掛到網(wǎng)上公然下載的情況下���,天涯社區(qū)已向用戶發(fā)致歉信����,新浪微博也開始強制要求用戶更改密碼���。(12月27日 《新民晚報》)
今年注定是互聯(lián)網(wǎng)安全領域重要的一年�����,網(wǎng)絡安全這個原本技術(shù)領域的小眾話題一下子躍入大眾的視野�����,天涯和CSDN的泄密事件引發(fā)了大眾對于泄露用戶隱私事件的關注����,而后各大網(wǎng)站的泄密數(shù)據(jù)庫也紛紛在網(wǎng)絡上傳播,搞的業(yè)界雞飛狗跳����,用戶忙著四處修改密碼,網(wǎng)站忙著加強密保措施��,而從這次泄密事件中也可以看出中國網(wǎng)絡安全現(xiàn)狀存憂��。
泄密規(guī)模巨大
此次事件是中國互聯(lián)網(wǎng)至今為止最大規(guī)模的一次用戶資料泄露事件����,泄密用戶數(shù)量高達五千萬,除此之外�����,預計還有許多已被盜取但尚未被公開傳播的泄密用戶信息�。
今年以來,在全球范圍內(nèi)發(fā)生過多起泄密事件�����,今年4月索尼游戲主機網(wǎng)絡平臺遭黑客入侵��,全球7700萬用戶的個人資料被竊取�,包含姓名、住址�����、生日��、登錄名和密碼�����、信用卡號等�。這一黑客攻擊事件導致索尼被迫關閉了該服務,索尼5月份表示���,攻擊導致其損失了1.7億美元�。
而已經(jīng)實行網(wǎng)絡實名制的韓國也發(fā)生過類似泄露事件,今年7月底���,韓國多個知名門戶網(wǎng)站遭黑客攻擊�����,約3500萬名用戶的個人信息外泄����,之后�,韓國行政安全部稱,出于保護網(wǎng)絡用戶個人信息安全考慮���,政府擬分階段逐步取消網(wǎng)絡實名����。
泄密的主要原因
這次“泄密門”���,是我國信息安全形勢堪憂的一次集中寫照�����。很多互聯(lián)網(wǎng)企業(yè)���,信息安全投入比例很低�,對于網(wǎng)絡安全沒有足夠的意識��,只有少數(shù)大型網(wǎng)站以及網(wǎng)銀支付網(wǎng)站采用較為安全的加密認證技術(shù)��,而一些中小型網(wǎng)站以及部分大型網(wǎng)站都缺少防范意識���。
對用戶密碼進行加密存儲,應該是商業(yè)網(wǎng)站的運營常識�,像天涯和CSDN這樣業(yè)界出名的大網(wǎng)站,竟然長期以明文方式保存用戶密碼�����,可見這些商業(yè)網(wǎng)站的安全意識是多么的淡薄��,如果當初這些網(wǎng)站采用加密的方式保存密碼����,那么黑客也不可能如此輕而易舉地獲取到如此龐大的用戶信息。
因為商業(yè)網(wǎng)站的安全意識淡薄�����,使得黑客竊取網(wǎng)站數(shù)據(jù)庫(刷庫)成為最近幾年非常流行的攻擊方式,黑客刷庫的危害已經(jīng)遠遠超過了盜號木馬����。此次的大規(guī)模泄密,就是因為黑客入侵了各個目標網(wǎng)站����,刷庫獲取了網(wǎng)民的賬號密碼數(shù)據(jù)。
不過幸運的是���,這次用戶的個人隱私數(shù)據(jù)以及財務支付等信息并沒有直接泄露��。但是�����,由于許多網(wǎng)民為了方便��,對于郵箱�、微博����、游戲、網(wǎng)上支付、購物等賬號設置了相同的密碼����,一旦密碼被泄露,很有可能導致網(wǎng)上支付等其他重要賬號一并失竊�,從而遭到更大程度的泄密以及財產(chǎn)損失。
泄密的法律探討
為什么這么多大公司都采取明文保存密碼���?相關信息安全法律不健全是一個重要原因���,對那些因為“泄密門”而遭受損失的網(wǎng)民來說���,很難去追究互聯(lián)網(wǎng)公司����,這種狀況�����,與一些國外企業(yè)相比��,具有相當大的差距��。
例如早先的索尼用戶個人資料泄密事件中,索尼承諾為所有泄密的美國用戶提供一項價值100萬美元的身份盜用保險��,用于防止被竊取用戶信用卡和個人信息被濫用而造成損失�����。而中國用戶提交的個人信息難以得到有效的保護��,發(fā)生泄密事件后�����,個人權(quán)益無法得到保證��,也沒有明確的用戶賠償機制�。所以,那些互聯(lián)網(wǎng)企業(yè)也不愿意花費大量資金投入網(wǎng)絡安全領域���,從而給黑客留下了可乘之機���。
泄密的影響和危害
這次事件中,天涯和CSDN等網(wǎng)站其實也是一個受害者����,由于其疏于網(wǎng)站安全管理��,缺乏安全意識����,這次也嘗到了惡果��,其聲譽遭到嚴重打擊�,網(wǎng)站的權(quán)威性會受到質(zhì)疑,網(wǎng)站形象受到負面影響�����,在網(wǎng)民中的口碑下降�。
各大網(wǎng)站通過這次泄密門����,已經(jīng)充分感受到了網(wǎng)絡安全和數(shù)據(jù)安全的重要性,因此將會投入不少精力到網(wǎng)站安全上����,不過由于安全領域的專業(yè)性,將網(wǎng)站安全外包給專業(yè)的安全公司可能會是一個成本較低的選擇����,這也會給專門做網(wǎng)絡安全的公司帶來不少機會。
用戶通過這次泄密事件,會更加重視對自己個人信息保護��,在互聯(lián)網(wǎng)上注冊信息時盡量不要留下過多個人真實信息���,而對于目前正在推行的微博實名制���,在目前愈演愈烈的泄密門影響下,眾多網(wǎng)友都開始擔心自己的真實身份資料可能會面臨同樣泄露的可能�,而天涯這樣的大型社區(qū)也出現(xiàn)泄密情況,這說明網(wǎng)友們的擔憂并非空穴來風����。即便微博實名制開始實施,也存在盜用他人的身份證號碼進行注冊的可能����,可見目前中國實行實名制時機并不太成熟。
亡羊補牢���、為時未晚
既然泄密事件已經(jīng)發(fā)生����,恐慌是沒用的�����,用戶修改密碼只是“治標”,如何建立健全信息安全制度保障���、營造互聯(lián)網(wǎng)健康環(huán)境才是“治本”���。
一方面,太原飛揚動力工作室建議網(wǎng)友對于注冊網(wǎng)絡服務�����,應該采取密碼分級管理�����,郵箱�、網(wǎng)上支付����、聊天賬號等重要賬號要單獨設置密碼;論壇等普通網(wǎng)站使用其他的密碼�����;網(wǎng)上銀行密碼不要和取款密碼相同,也不和其他網(wǎng)站密碼相同���。支付寶要安裝數(shù)字證書���,網(wǎng)銀則要申請USB KEY。
另一方面���,網(wǎng)站要加大信息安全方面的投入����,進行大規(guī)模的安全檢查����,切實保護好網(wǎng)友的個人信息,再也不要發(fā)生“明文保存密碼”這樣的低級錯誤��。
在監(jiān)管方面�����,國家在網(wǎng)絡安全方面的立法相對還較為滯后���,對于個人隱私保護和泄密的法律有待完善���,監(jiān)管部門的技術(shù)落伍�����,難以對黑客這種盜取網(wǎng)站數(shù)據(jù)的行為進行威懾��,因此迫切需要加快信息安全等方面的立法工作�,提高信息安全監(jiān)管部門的技術(shù)能力�����,加大對于黑客攻擊行為的打擊力度�。對于那些疏于安全保護的商業(yè)網(wǎng)站,如果今后再次發(fā)生用戶信息泄密事件��,應該通過完善相關法律�����,追究網(wǎng)站的瀆職之責�。
133 1343 5212