日前,國內最大的程序員社區CSDN網站的用戶數據庫被黑客公開發布,600萬用戶的登錄名及密碼被公開泄露,隨后又有多家網站的用戶密碼被流傳于網絡,知名中文社區天涯網的4000萬用戶的登錄名及密碼也被公開泄露,連日來引發眾多網民對自己賬號、密碼等互聯網信息被盜取的普遍擔憂。(12月25日《新華網》)
中國互聯網史上最大的泄密事件仍在進一步擴大,自上周CSDN、人人網、貓撲等網站被曝用戶密碼外流后,近期天涯、新浪微博也難以獨善其身。目前,在天涯近4000萬用戶賬號密碼被掛到網上公然下載的情況下,天涯社區已向用戶發致歉信,新浪微博也開始強制要求用戶更改密碼。(12月27日 《新民晚報》)
今年注定是互聯網安全領域重要的一年,網絡安全這個原本技術領域的小眾話題一下子躍入大眾的視野,天涯和CSDN的泄密事件引發了大眾對于泄露用戶隱私事件的關注,而后各大網站的泄密數據庫也紛紛在網絡上傳播,搞的業界雞飛狗跳,用戶忙著四處修改密碼,網站忙著加強密保措施,而從這次泄密事件中也可以看出中國網絡安全現狀存憂。
泄密規模巨大
此次事件是中國互聯網至今為止最大規模的一次用戶資料泄露事件,泄密用戶數量高達五千萬,除此之外,預計還有許多已被盜取但尚未被公開傳播的泄密用戶信息。
今年以來,在全球范圍內發生過多起泄密事件,今年4月索尼游戲主機網絡平臺遭黑客入侵,全球7700萬用戶的個人資料被竊取,包含姓名、住址、生日、登錄名和密碼、信用卡號等。這一黑客攻擊事件導致索尼被迫關閉了該服務,索尼5月份表示,攻擊導致其損失了1.7億美元。
而已經實行網絡實名制的韓國也發生過類似泄露事件,今年7月底,韓國多個知名門戶網站遭黑客攻擊,約3500萬名用戶的個人信息外泄,之后,韓國行政安全部稱,出于保護網絡用戶個人信息安全考慮,政府擬分階段逐步取消網絡實名。
泄密的主要原因
這次“泄密門”,是我國信息安全形勢堪憂的一次集中寫照。很多互聯網企業,信息安全投入比例很低,對于網絡安全沒有足夠的意識,只有少數大型網站以及網銀支付網站采用較為安全的加密認證技術,而一些中小型網站以及部分大型網站都缺少防范意識。
對用戶密碼進行加密存儲,應該是商業網站的運營常識,像天涯和CSDN這樣業界出名的大網站,竟然長期以明文方式保存用戶密碼,可見這些商業網站的安全意識是多么的淡薄,如果當初這些網站采用加密的方式保存密碼,那么黑客也不可能如此輕而易舉地獲取到如此龐大的用戶信息。
因為商業網站的安全意識淡薄,使得黑客竊取網站數據庫(刷庫)成為最近幾年非常流行的攻擊方式,黑客刷庫的危害已經遠遠超過了盜號木馬。此次的大規模泄密,就是因為黑客入侵了各個目標網站,刷庫獲取了網民的賬號密碼數據。
不過幸運的是,這次用戶的個人隱私數據以及財務支付等信息并沒有直接泄露。但是,由于許多網民為了方便,對于郵箱、微博、游戲、網上支付、購物等賬號設置了相同的密碼,一旦密碼被泄露,很有可能導致網上支付等其他重要賬號一并失竊,從而遭到更大程度的泄密以及財產損失。
泄密的法律探討
為什么這么多大公司都采取明文保存密碼?相關信息安全法律不健全是一個重要原因,對那些因為“泄密門”而遭受損失的網民來說,很難去追究互聯網公司,這種狀況,與一些國外企業相比,具有相當大的差距。
例如早先的索尼用戶個人資料泄密事件中,索尼承諾為所有泄密的美國用戶提供一項價值100萬美元的身份盜用保險,用于防止被竊取用戶信用卡和個人信息被濫用而造成損失。而中國用戶提交的個人信息難以得到有效的保護,發生泄密事件后,個人權益無法得到保證,也沒有明確的用戶賠償機制。所以,那些互聯網企業也不愿意花費大量資金投入網絡安全領域,從而給黑客留下了可乘之機。
泄密的影響和危害
這次事件中,天涯和CSDN等網站其實也是一個受害者,由于其疏于網站安全管理,缺乏安全意識,這次也嘗到了惡果,其聲譽遭到嚴重打擊,網站的權威性會受到質疑,網站形象受到負面影響,在網民中的口碑下降。
各大網站通過這次泄密門,已經充分感受到了網絡安全和數據安全的重要性,因此將會投入不少精力到網站安全上,不過由于安全領域的專業性,將網站安全外包給專業的安全公司可能會是一個成本較低的選擇,這也會給專門做網絡安全的公司帶來不少機會。
用戶通過這次泄密事件,會更加重視對自己個人信息保護,在互聯網上注冊信息時盡量不要留下過多個人真實信息,而對于目前正在推行的微博實名制,在目前愈演愈烈的泄密門影響下,眾多網友都開始擔心自己的真實身份資料可能會面臨同樣泄露的可能,而天涯這樣的大型社區也出現泄密情況,這說明網友們的擔憂并非空穴來風。即便微博實名制開始實施,也存在盜用他人的身份證號碼進行注冊的可能,可見目前中國實行實名制時機并不太成熟。
亡羊補牢、為時未晚
既然泄密事件已經發生,恐慌是沒用的,用戶修改密碼只是“治標”,如何建立健全信息安全制度保障、營造互聯網健康環境才是“治本”。
一方面,太原飛揚動力工作室建議網友對于注冊網絡服務,應該采取密碼分級管理,郵箱、網上支付、聊天賬號等重要賬號要單獨設置密碼;論壇等普通網站使用其他的密碼;網上銀行密碼不要和取款密碼相同,也不和其他網站密碼相同。支付寶要安裝數字證書,網銀則要申請USB KEY。
另一方面,網站要加大信息安全方面的投入,進行大規模的安全檢查,切實保護好網友的個人信息,再也不要發生“明文保存密碼”這樣的低級錯誤。
在監管方面,國家在網絡安全方面的立法相對還較為滯后,對于個人隱私保護和泄密的法律有待完善,監管部門的技術落伍,難以對黑客這種盜取網站數據的行為進行威懾,因此迫切需要加快信息安全等方面的立法工作,提高信息安全監管部門的技術能力,加大對于黑客攻擊行為的打擊力度。對于那些疏于安全保護的商業網站,如果今后再次發生用戶信息泄密事件,應該通過完善相關法律,追究網站的瀆職之責。