日前��,國內最大的程序員社區(qū)CSDN網(wǎng)站的用戶數(shù)據(jù)庫被黑客公開發(fā)布���,600萬用戶的登錄名及密碼被公開泄露,隨后又有多家網(wǎng)站的用戶密碼被流傳于網(wǎng)絡��,知名中文社區(qū)天涯網(wǎng)的4000萬用戶的登錄名及密碼也被公開泄露��,連日來引發(fā)眾多網(wǎng)民對自己賬號、密碼等互聯(lián)網(wǎng)信息被盜取的普遍擔憂��。(12月25日《新華網(wǎng)》)
中國互聯(lián)網(wǎng)史上最大的泄密事件仍在進一步擴大���,自上周CSDN����、人人網(wǎng)��、貓撲等網(wǎng)站被曝用戶密碼外流后�,近期天涯、新浪微博也難以獨善其身�����。目前���,在天涯近4000萬用戶賬號密碼被掛到網(wǎng)上公然下載的情況下,天涯社區(qū)已向用戶發(fā)致歉信����,新浪微博也開始強制要求用戶更改密碼。(12月27日 《新民晚報》)
今年注定是互聯(lián)網(wǎng)安全領域重要的一年�����,網(wǎng)絡安全這個原本技術領域的小眾話題一下子躍入大眾的視野,天涯和CSDN的泄密事件引發(fā)了大眾對于泄露用戶隱私事件的關注��,而后各大網(wǎng)站的泄密數(shù)據(jù)庫也紛紛在網(wǎng)絡上傳播�,搞的業(yè)界雞飛狗跳,用戶忙著四處修改密碼�,網(wǎng)站忙著加強密保措施,而從這次泄密事件中也可以看出中國網(wǎng)絡安全現(xiàn)狀存憂����。
泄密規(guī)模巨大
此次事件是中國互聯(lián)網(wǎng)至今為止最大規(guī)模的一次用戶資料泄露事件,泄密用戶數(shù)量高達五千萬�,除此之外,預計還有許多已被盜取但尚未被公開傳播的泄密用戶信息���。
今年以來�����,在全球范圍內發(fā)生過多起泄密事件���,今年4月索尼游戲主機網(wǎng)絡平臺遭黑客入侵,全球7700萬用戶的個人資料被竊取��,包含姓名、住址�����、生日����、登錄名和密碼、信用卡號等����。這一黑客攻擊事件導致索尼被迫關閉了該服務,索尼5月份表示��,攻擊導致其損失了1.7億美元����。
而已經(jīng)實行網(wǎng)絡實名制的韓國也發(fā)生過類似泄露事件���,今年7月底�,韓國多個知名門戶網(wǎng)站遭黑客攻擊�,約3500萬名用戶的個人信息外泄,之后����,韓國行政安全部稱���,出于保護網(wǎng)絡用戶個人信息安全考慮,政府擬分階段逐步取消網(wǎng)絡實名���。
泄密的主要原因
這次“泄密門”�,是我國信息安全形勢堪憂的一次集中寫照��。很多互聯(lián)網(wǎng)企業(yè)����,信息安全投入比例很低,對于網(wǎng)絡安全沒有足夠的意識����,只有少數(shù)大型網(wǎng)站以及網(wǎng)銀支付網(wǎng)站采用較為安全的加密認證技術,而一些中小型網(wǎng)站以及部分大型網(wǎng)站都缺少防范意識��。
對用戶密碼進行加密存儲�����,應該是商業(yè)網(wǎng)站的運營常識��,像天涯和CSDN這樣業(yè)界出名的大網(wǎng)站,竟然長期以明文方式保存用戶密碼��,可見這些商業(yè)網(wǎng)站的安全意識是多么的淡薄�,如果當初這些網(wǎng)站采用加密的方式保存密碼,那么黑客也不可能如此輕而易舉地獲取到如此龐大的用戶信息�。
因為商業(yè)網(wǎng)站的安全意識淡薄,使得黑客竊取網(wǎng)站數(shù)據(jù)庫(刷庫)成為最近幾年非常流行的攻擊方式����,黑客刷庫的危害已經(jīng)遠遠超過了盜號木馬。此次的大規(guī)模泄密�����,就是因為黑客入侵了各個目標網(wǎng)站����,刷庫獲取了網(wǎng)民的賬號密碼數(shù)據(jù)。
不過幸運的是��,這次用戶的個人隱私數(shù)據(jù)以及財務支付等信息并沒有直接泄露��。但是��,由于許多網(wǎng)民為了方便�,對于郵箱、微博����、游戲、網(wǎng)上支付���、購物等賬號設置了相同的密碼�����,一旦密碼被泄露��,很有可能導致網(wǎng)上支付等其他重要賬號一并失竊�����,從而遭到更大程度的泄密以及財產(chǎn)損失��。
泄密的法律探討
為什么這么多大公司都采取明文保存密碼��?相關信息安全法律不健全是一個重要原因�,對那些因為“泄密門”而遭受損失的網(wǎng)民來說�����,很難去追究互聯(lián)網(wǎng)公司,這種狀況�����,與一些國外企業(yè)相比����,具有相當大的差距。
例如早先的索尼用戶個人資料泄密事件中���,索尼承諾為所有泄密的美國用戶提供一項價值100萬美元的身份盜用保險����,用于防止被竊取用戶信用卡和個人信息被濫用而造成損失���。而中國用戶提交的個人信息難以得到有效的保護��,發(fā)生泄密事件后����,個人權益無法得到保證����,也沒有明確的用戶賠償機制。所以�����,那些互聯(lián)網(wǎng)企業(yè)也不愿意花費大量資金投入網(wǎng)絡安全領域�����,從而給黑客留下了可乘之機�。
泄密的影響和危害
這次事件中,天涯和CSDN等網(wǎng)站其實也是一個受害者�,由于其疏于網(wǎng)站安全管理,缺乏安全意識��,這次也嘗到了惡果�����,其聲譽遭到嚴重打擊�����,網(wǎng)站的權威性會受到質疑���,網(wǎng)站形象受到負面影響�����,在網(wǎng)民中的口碑下降�。
各大網(wǎng)站通過這次泄密門,已經(jīng)充分感受到了網(wǎng)絡安全和數(shù)據(jù)安全的重要性���,因此將會投入不少精力到網(wǎng)站安全上�����,不過由于安全領域的專業(yè)性��,將網(wǎng)站安全外包給專業(yè)的安全公司可能會是一個成本較低的選擇�����,這也會給專門做網(wǎng)絡安全的公司帶來不少機會����。
用戶通過這次泄密事件�����,會更加重視對自己個人信息保護,在互聯(lián)網(wǎng)上注冊信息時盡量不要留下過多個人真實信息�����,而對于目前正在推行的微博實名制�,在目前愈演愈烈的泄密門影響下����,眾多網(wǎng)友都開始擔心自己的真實身份資料可能會面臨同樣泄露的可能,而天涯這樣的大型社區(qū)也出現(xiàn)泄密情況�����,這說明網(wǎng)友們的擔憂并非空穴來風���。即便微博實名制開始實施���,也存在盜用他人的身份證號碼進行注冊的可能,可見目前中國實行實名制時機并不太成熟��。
亡羊補牢����、為時未晚
既然泄密事件已經(jīng)發(fā)生�����,恐慌是沒用的����,用戶修改密碼只是“治標”�,如何建立健全信息安全制度保障、營造互聯(lián)網(wǎng)健康環(huán)境才是“治本”��。
一方面�����,太原飛揚動力工作室建議網(wǎng)友對于注冊網(wǎng)絡服務�����,應該采取密碼分級管理��,郵箱���、網(wǎng)上支付�����、聊天賬號等重要賬號要單獨設置密碼�;論壇等普通網(wǎng)站使用其他的密碼;網(wǎng)上銀行密碼不要和取款密碼相同�,也不和其他網(wǎng)站密碼相同。支付寶要安裝數(shù)字證書��,網(wǎng)銀則要申請USB KEY�。
另一方面,網(wǎng)站要加大信息安全方面的投入��,進行大規(guī)模的安全檢查�,切實保護好網(wǎng)友的個人信息�,再也不要發(fā)生“明文保存密碼”這樣的低級錯誤。
在監(jiān)管方面�����,國家在網(wǎng)絡安全方面的立法相對還較為滯后�����,對于個人隱私保護和泄密的法律有待完善����,監(jiān)管部門的技術落伍�,難以對黑客這種盜取網(wǎng)站數(shù)據(jù)的行為進行威懾�,因此迫切需要加快信息安全等方面的立法工作,提高信息安全監(jiān)管部門的技術能力��,加大對于黑客攻擊行為的打擊力度���。對于那些疏于安全保護的商業(yè)網(wǎng)站�����,如果今后再次發(fā)生用戶信息泄密事件���,應該通過完善相關法律,追究網(wǎng)站的瀆職之責��。
133 1343 5212